0

Política de seguridad de la información: ejemplo práctico

  2. ISO 27001
  3. Política de seguridad de la información: ejemplo práctico
Política de seguridad de la información: ejemplo práctico

Cómo redactar una política efectiva y alineada con ISO 27001

Una política de seguridad de la información es uno de los documentos más importantes dentro de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO/IEC 27001. Este documento define el compromiso de la organización con la protección de los activos de información y establece las reglas generales para gestionar los riesgos de seguridad.

En este artículo te explicaremos qué debe contener una política de seguridad, cómo redactarla paso a paso y te compartiré un ejemplo práctico que puedes adaptar a tu empresa.

Ejemplos de controles del Anexo A ISO 27001

¿Qué es una política de seguridad de la información?

Es un documento formal, aprobado por la alta dirección, que establece los lineamientos, objetivos y compromisos relacionados con la gestión de la seguridad de la información dentro de una organización.

La política debe estar alineada con los requisitos de la norma ISO 27001 y servir como guía para la definición de procedimientos, controles, roles y responsabilidades.

¿Por qué es importante?

Una buena política de seguridad:

  • Demuestra el compromiso de la alta dirección con la seguridad de la información.
  • Define el marco para establecer objetivos de seguridad y controles adecuados.
  • Ayuda a cumplir con requisitos legales y contractuales.
  • Genera conciencia entre los empleados sobre la importancia de proteger la información.
  • Es uno de los requisitos obligatorios para obtener la certificación ISO 27001.

Requisitos que debe cumplir según ISO 27001

La norma establece que la política debe:

  • Estar apropiada al propósito de la organización.
  • Incluya objetivos de seguridad o permita establecerlos.
  • Contenga un compromiso de mejora continua del SGSI.
  • Sea comunicada internamente y a partes interesadas pertinentes.
  • Esté disponible como información documentada y controlada.

Estructura sugerida para redactar una política

Aquí tienes una estructura básica que puedes seguir:

  1. Encabezado y título del documento
     Nombre del documento, código, fecha, versión.
  2. Propósito y alcance
     Qué busca la política y a qué áreas, sistemas o ubicaciones aplica.
  3. Declaración de compromiso
     Postura de la alta dirección respecto a la protección de la información.
  4. Principios generales
     Confidencialidad, integridad, disponibilidad, cumplimiento legal, etc.
  5. Roles y responsabilidades
     Quién se encarga de qué dentro del SGSI.
  6. Cumplimiento y sanciones
     Consecuencias por el incumplimiento de la política.
  7. Revisión y aprobación
     Frecuencia de revisión, responsables, versión y firma de la dirección.

Ejemplo práctico de política de seguridad de la información

A continuación, te comparto un modelo base que puedes personalizar:

Nombre del documento: POL-SEGINFO-001
Versión: 1.0
Fecha de emisión: 01/04/2025
Revisión: Anual
Aprobado por: Gerente General

1. Propósito

Establecer los principios y compromisos de la organización respecto a la gestión de la seguridad de la información, protegiendo su confidencialidad, integridad y disponibilidad frente a amenazas internas o externas.

2. Alcance

Esta política aplica a todos los colaboradores, contratistas y terceros que accedan o procesen información propiedad de [Nombre de la empresa], en todas las áreas, plataformas tecnológicas y ubicaciones físicas.

3. Compromiso de la alta dirección

La dirección se compromete a:

  • Garantizar los recursos necesarios para implementar y mantener el SGSI.
  • Cumplir con los requisitos legales, regulatorios y contractuales aplicables.
  • Identificar y tratar los riesgos de seguridad de forma proactiva.
  • Promover la mejora continua del sistema y la cultura de seguridad.

4. Principios generales

Todos los colaboradores deben:

  • Mantener la confidencialidad de la información según su nivel de clasificación.
  • Asegurar la integridad de los datos, evitando modificaciones no autorizadas.
  • Garantizar la disponibilidad de la información para quien la necesite.
  • Reportar de inmediato cualquier incidente de seguridad.
  • Cumplir con las políticas, procedimientos y controles establecidos por el SGSI.

5. Roles y responsabilidades

  • Comité de Seguridad: Lidera y da seguimiento al SGSI.
  • Responsable del SGSI: Coordina actividades de gestión de riesgos, auditorías y concientización.
  • Usuarios finales: Cumplen las políticas y reportan anomalías.

6. Incumplimiento

El incumplimiento de esta política puede dar lugar a medidas disciplinarias, conforme al reglamento interno y la legislación aplicable.

7. Revisión

Esta política será revisada y actualizada anualmente o cuando existan cambios relevantes en el entorno tecnológico, organizacional o legal.

Aprobado por:
 Nombre y firma del Gerente General
Fecha: 01/04/2025

Recomendaciones finales

  • Adapta el lenguaje y el enfoque a la cultura de tu organización.
  • Comunica y capacita al personal sobre esta política.
  • Controla versiones para evitar confusiones.
  • Asegúrate de que esté disponible en formatos accesibles (físico y digital).
  • Incluye esta política como parte central del sistema de gestión.

Una política de seguridad de la información bien redactada es la base para construir un sistema robusto conforme a ISO 27001. No es solo un documento más: es una declaración de principios, compromiso y responsabilidad que orienta el comportamiento de toda la organización frente a los desafíos de la era digital.

¿Necesitas ayuda con la implementación de tu política? Contáctanos y recibe asesoría de un experto

Política de seguridad de la información: ejemplo práctico
mayo 28, 2025
ISO 27001
Previous Post
Next Post