Política de uso aceptable: qué incluir y cómo comunicarla
La política de uso aceptable (Acceptable Use Policy o AUP) es uno de los documentos del SGSI que más directamente afecta el comportamiento cotidiano de los empleados. El control A.5.10 de ISO 27001:2022 exige que se definan e implementen reglas de uso aceptable para la información y otros activos asociados. Una política bien redactada y comunicada efectivamente reduce los riesgos humanos significativamente.
¿Qué es el control A.5.10?
El control A.5.10 — "Uso aceptable de la información y otros activos" — establece que deben identificarse, documentarse e implementarse reglas para el uso aceptable y procedimientos para el manejo de la información y otros activos. Las reglas deben considerar los distintos tipos de activos (información, hardware, software, servicios de red) y el ciclo de vida completo de la información.
Estructura recomendada de la política
| Sección | Contenido |
|---|---|
| Propósito y alcance | Por qué existe la política y a quién aplica (empleados, contratistas, proveedores) |
| Uso de equipos corporativos | Computadores, móviles, tablets, impresoras, medios extraíbles |
| Uso del correo electrónico | Uso personal, adjuntos, phishing, retención |
| Uso de internet | Sitios permitidos/prohibidos, uso personal razonable, redes sociales |
| Dispositivos personales (BYOD) | Si se permiten y bajo qué condiciones |
| Trabajo remoto | Requisitos de seguridad para trabajo desde casa |
| Manejo de información | Clasificación, almacenamiento, transmisión, eliminación |
| Contraseñas | Requisitos mínimos, prohibición de compartir |
| Software | Software autorizado, prohibición de instalación no autorizada |
| Incidentes | Cómo reportar eventos de seguridad |
| Consecuencias | Marco disciplinario para incumplimiento |
Uso de correo electrónico corporativo
El correo electrónico es el vector de ataque más común (phishing) y una fuente frecuente de fugas de información. La política debe establecer:
- El correo corporativo es una herramienta de trabajo, no personal
- Se permite un uso personal razonable, pero sin comprometer la seguridad ni el rendimiento
- Está prohibido abrir adjuntos de remitentes desconocidos sin verificar
- No se debe enviar información confidencial o restringida por correo sin cifrado
- No se deben usar cuentas personales para enviar información de trabajo
- Los correos del trabajo pueden ser monitoreados y revisados por la empresa (de acuerdo con la legislación aplicable)
Uso de internet
La política de uso de internet debe equilibrar la seguridad con la productividad. Evita listas excesivamente restrictivas que generen fricción y lleven a los empleados a buscar formas de eludirlas.
- Prohibido explícitamente: Acceso a contenido ilegal, pornográfico o que viole derechos de terceros; descarga de software pirata; actividades que expongan a la organización a riesgos legales o de reputación
- Restringido: Redes sociales (uso personal durante el trabajo, si la organización lo permite); servicios de almacenamiento en la nube personal (Dropbox, Google Drive personal) para información corporativa
- Permitido con precaución: Banca en línea personal, compras online en sitios conocidos
Dispositivos personales en el trabajo (BYOD)
BYOD (Bring Your Own Device) presenta beneficios de productividad pero riesgos de seguridad significativos. La política debe definir una postura clara:
Opción 1: Sin BYOD
Solo se usan dispositivos corporativos. Más seguro, más costoso para la empresa, puede afectar la satisfacción del empleado.
Opción 2: BYOD controlado
Los dispositivos personales pueden usarse para acceder al correo corporativo y aplicaciones de trabajo, pero deben cumplir requisitos mínimos: PIN/contraseña, cifrado activado, sistema operativo actualizado, capacidad de borrado remoto, antivirus. La organización puede borrar remotamente los datos corporativos (no el dispositivo completo).
Opción 3: BYOA (Bring Your Own App)
Solo se permiten ciertas aplicaciones corporativas en dispositivos personales (por ejemplo, solo la aplicación de autenticación MFA).
Manejo de información según clasificación
La política de uso aceptable debe hacer referencia al esquema de clasificación de la información e indicar las reglas de manejo para cada nivel:
- Público: Sin restricciones especiales
- Interno: No compartir externamente sin autorización; no publicar en redes sociales
- Confidencial: Cifrar al transmitir; usar solo sistemas corporativos; no almacenar en dispositivos personales
- Restringido: Solo acceder desde la red corporativa o VPN; MFA obligatorio; registro de acceso
Consecuencias del incumplimiento
La política debe indicar claramente que el incumplimiento puede derivar en:
- Amonestación verbal o escrita
- Suspensión temporal de accesos
- Acciones disciplinarias según el reglamento interno
- Acciones legales en casos de uso malicioso
Cómo comunicar la política efectivamente
Una política que los empleados no conocen o no entienden no tiene valor. La comunicación efectiva incluye:
- Incorporación en el proceso de onboarding: Todo nuevo empleado lee y firma que recibió y entiende la política
- Capacitación inicial: Una sesión de 30–60 minutos explicando los puntos más importantes y respondiendo preguntas
- Recordatorio anual: Al actualizar la política, enviar un comunicado a todos los empleados con el resumen de cambios
- Accesibilidad: La política debe ser fácilmente accesible (intranet, portal del empleado)
- Versión simplificada: Considera una versión de una página con los puntos más importantes para empleados que no necesitan leer el documento completo
Gestiona la política de uso aceptable con GRC360
GRC360 incluye plantillas de políticas adaptadas a ISO 27001:2022 en español, con flujo de aprobación, registro de distribución y seguimiento de reconocimiento por parte de los empleados.
Crear Cuenta GratisRelaciona esta política con la política de seguridad de la información, la clasificación de la información y el control de acceso.
¿Necesitas gestionar tu compliance?
GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.
Crear Cuenta Gratis