La política de seguridad de la información es el documento fundacional sobre el que se construye todo el sistema de gestión de seguridad. Es lo primero que revisan los auditores, tanto del ENS como de ISO 27001, y su calidad establece el tono para el resto de la auditoría. Una política bien redactada demuestra compromiso de la dirección, claridad en los objetivos y madurez organizativa. Una política deficiente o genérica levanta todas las alarmas. Esta guía le ayudará a redactar una política que satisfaga simultáneamente los requisitos de ambos marcos.
🔗 ENLACE INTERNO: Consulte nuestras guías del ENS e ISO 27001 para entender los requisitos completos de cada marco.
¿Cuáles son los requisitos de ENS para la política de seguridad?
El Anexo II del Real Decreto 311/2022 establece el contenido mínimo obligatorio de la política de seguridad (control org.1). Este contenido incluye los objetivos o misión de la organización, el marco regulatorio en que se desarrolla la actividad, los roles de seguridad con sus funciones y responsabilidades, la estructura del comité de seguridad, las directrices para la categorización de los sistemas, las directrices para el análisis y gestión de riesgos, y las directrices de formación y concienciación en materia de seguridad.
Además, la política debe estar firmada por el titular del órgano superior correspondiente (en la Administración) o por la dirección general (en el sector privado), y debe ser comunicada a todo el personal.
¿Cuáles son los requisitos de ISO 27001 para la política?
ISO 27001 exige en su cláusula 5.2 que la alta dirección establezca una política de seguridad de la información que sea apropiada al propósito de la organización, incluya objetivos de seguridad o el marco para establecerlos, incluya el compromiso de satisfacer los requisitos aplicables, y incluya el compromiso de mejora continua del SGSI.
La política debe estar disponible como información documentada, ser comunicada dentro de la organización, y estar disponible para las partes interesadas cuando sea apropiado.
Estructura recomendada para una política que cumpla ambos marcos
Una política que satisfaga simultáneamente ENS e ISO 27001 puede estructurarse en las siguientes secciones.
Encabezamiento y control documental
Incluya el nombre del documento, la versión, la fecha de aprobación, el nombre y cargo de quien la aprueba, y la clasificación de seguridad del propio documento (habitualmente INTERNO o PÚBLICO).
Objeto y alcance
Defina qué pretende la política (establecer los principios y directrices de seguridad de la información), a qué sistemas de información aplica (alcance del SGSI para ISO 27001 y del sistema para ENS) y a qué personas obliga (todo el personal, proveedores, colaboradores).
Marco normativo
Enumere la legislación y normativa de referencia: Real Decreto 311/2022 (ENS), ISO/IEC 27001:2022, RGPD, LOPDGDD, NIS2 y cualquier otra normativa sectorial aplicable.
Principios de seguridad
Establezca los principios que guían la seguridad en la organización. El ENS define principios básicos (seguridad integral, gestión de riesgos, prevención, reacción y recuperación, líneas de defensa, reevaluación periódica, función diferenciada) que deben reflejarse en la política.
Organización de la seguridad: roles y responsabilidades
Esta sección es crítica para el ENS, que exige una segregación formal de funciones entre cuatro roles. El responsable de la información determina los requisitos de seguridad de la información tratada. El responsable del servicio determina los requisitos de seguridad de los servicios prestados. El responsable de seguridad determina las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios. Y el responsable del sistema se encarga de la operación del sistema de información.
El ENS exige que los roles de responsable de la información y del servicio estén separados del responsable de seguridad, y que el responsable de seguridad esté separado del responsable del sistema. En organizaciones pequeñas, es posible que una misma persona asuma varios roles, pero las funciones deben estar formalmente diferenciadas.
Comité de seguridad
Describa la composición, funciones y régimen de funcionamiento del comité de seguridad: quién lo compone, con qué frecuencia se reúne (mínimo semestral), qué decisiones toma, y cómo se documentan sus acuerdos.
Categorización de los sistemas
Establezca las directrices para la categorización de los sistemas de información conforme al Anexo I del ENS, referenciando el procedimiento detallado de categorización.
Gestión de riesgos
Defina el enfoque de la organización para la gestión de riesgos: metodología utilizada (MAGERIT), herramienta de soporte (PILAR), criterios de aceptación del riesgo, y frecuencia de revisión del análisis.
Desarrollo de la política
Indique cómo se desarrolla la política a través de normativas sectoriales, procedimientos operativos e instrucciones técnicas. Esto crea la pirámide documental que tanto el ENS como ISO 27001 requieren.
Formación y concienciación
Establezca el compromiso de la organización con la formación continua del personal en materia de seguridad, incluyendo la frecuencia y los contenidos mínimos del programa de concienciación.
Gestión de incidentes
Defina a alto nivel el compromiso de la organización con la gestión de incidentes de seguridad, referenciando el procedimiento detallado y la obligación de notificación al CCN-CERT.
Conformidad y cumplimiento
Explicite el compromiso de la organización con el cumplimiento del ENS, de ISO 27001 y de toda la legislación aplicable.
Revisión y actualización
Establezca que la política se revisará al menos anualmente o cuando se produzcan cambios significativos en la organización, la tecnología, el entorno de amenazas o el marco normativo.
Errores más frecuentes en la política de seguridad
El error más grave es la falta de los elementos obligatorios del ENS. Los auditores verifican punto por punto que el contenido del Anexo II está reflejado en la política. Otro error habitual es la política genérica que no se adapta a la realidad de la organización: una política copiada de una plantilla se detecta inmediatamente. También es frecuente la falta de aprobación formal por la dirección, la ausencia de evidencias de comunicación al personal, y la falta de revisiones periódicas documentadas.
🔗 ENLACE INTERNO: Consulte nuestra guía de gestión documental ISO para organizar eficientemente toda la documentación del sistema de seguridad.
📩 CTA: ¿Necesita redactar o revisar su política de seguridad de la información? Contacte con nosotros. Le ayudamos a crear una política que cumpla simultáneamente los requisitos del ENS y la ISO 27001, adaptada a la realidad de su organización.
Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs. Relacionado: Análisis de Riesgos MAGERIT para ENS: Guía Práctica.
¿Necesitas ayuda con esto?
Trabaja conmigo en Adecuación al ENS
Consultoría a medida en adecuación al ENS. Primera sesión sin coste.
Agendar sesión →