¿Cómo se redacta la política de seguridad de la información en el ENS? La política de seguridad es el documento marco del Esquema Nacional de Seguridad: el que fija los principios, los roles y el compromiso de la organización con la seguridad. Lo regula el artículo 12 del Real Decreto 311/2022, que obliga a que esté formalmente aprobada por el órgano competente —en el sector privado que presta servicios públicos, por el órgano con las máximas competencias ejecutivas—. Una buena política debe contener objeto y alcance, principios de seguridad, estructura de roles y responsabilidades, marco normativo y compromiso de gestión de riesgos. En este artículo te explico qué incluir, quién la aprueba y cómo redactarla para que pase la auditoría.

¿Qué es la política de seguridad de la información?

Firma de documento corporativo de politica de seguridad
Foto: chimpwithcan (CC BY 2.0)

La política de seguridad de la información es el documento de más alto nivel del sistema de seguridad de una organización. No describe configuraciones técnicas concretas, sino que establece la voluntad de la dirección, los principios que guían la seguridad, cómo se estructuran las responsabilidades y el compromiso de gestionar los riesgos. Todo lo demás —procedimientos, normativa de detalle, controles técnicos— cuelga de ella.

En el ENS es un documento obligatorio: el artículo 12 del RD 311/2022 exige que toda organización en su ámbito cuente con una política de seguridad formalmente aprobada. Sin política aprobada, no hay base sobre la que sostener el resto del sistema, y la auditoría lo detecta de inmediato.

¿Quién aprueba la política de seguridad en el ENS?

Política de seguridad en el ENS: cómo redactarla
Foto: chimpwithcan (CC BY 2.0)

El artículo 12 del RD 311/2022 es preciso en este punto, y conviene leerlo con cuidado porque la aprobación incorrecta es uno de los fallos más comunes:

La clave está en ese "máximas competencias ejecutivas": la política no la firma el técnico de sistemas ni el responsable de seguridad, la firma la dirección. Es una declaración de la cúpula de la organización, no un documento operativo del departamento de TI. Esta exigencia de aprobación por la dirección es uno de los pilares del marco organizativo del ENS, que desarrollo en mi guía sobre los controles del ENS: marco organizativo, operacional y de protección.

Estructura de la política de seguridad

Estructura de la política de seguridad del ENS: objeto y alcance, roles y comité, gestión de riesgos, aprobación de dirección
Bloques esenciales de una política de seguridad conforme al ENS. Elaboración propia — Summum Marketing.

¿Qué debe incluir la política de seguridad?

Una política de seguridad alineada con el artículo 12 del ENS debe contener, como mínimo, estos bloques:

  1. Objeto y alcance. Qué cubre la política, a qué sistemas de información, servicios, información y personas aplica.
  2. Principios de seguridad. Los principios básicos del ENS recogidos en el RD 311/2022: la seguridad como proceso integral, la gestión de la seguridad basada en el riesgo, la prevención-detección-respuesta-conservación, la existencia de líneas de defensa, la vigilancia continua, la reevaluación periódica y la diferenciación de responsabilidades.
  3. Marco normativo. Referencia a la legislación aplicable (el propio RD 311/2022, normativa sectorial, la normativa de protección de datos cuando proceda) y a la normativa interna que desarrolla la política.
  4. Estructura organizativa y roles. Definición de los roles de seguridad del ENS y sus responsabilidades, así como el comité de seguridad si existe.
  5. Gestión de riesgos. El compromiso de realizar y mantener actualizado el análisis de riesgos como base de las decisiones de seguridad.
  6. Datos de carácter personal. Cuando aplique, la referencia al tratamiento de datos personales y su protección.
  7. Obligaciones del personal y revisión. Las obligaciones de quienes acceden a los sistemas y el compromiso de revisar la política periódicamente.

Los roles de seguridad que la política debe diferenciar

Uno de los principios del ENS es la diferenciación de responsabilidades, y la política debe reflejarlo definiendo, al menos, estos roles:

Que el responsable de seguridad y el del sistema sean roles separados es un requisito que los auditores comprueban. Desarrollo cada función en mi guía sobre los roles y la política de seguridad de la información en ISO 27001 y ENS.

¿Necesito una política distinta para ENS e ISO 27001?

No necesariamente. Aunque ENS e ISO 27001 son marcos distintos, ambos exigen una política de seguridad aprobada por la dirección y comparten gran parte de su contenido: principios, alcance, roles, gestión de riesgos y compromiso de mejora continua. Lo eficiente es redactar una única política integrada que satisfaga los requisitos de los dos marcos, con los matices propios de cada uno donde difieran. Mantener dos políticas separadas multiplica el trabajo de revisión y abre la puerta a contradicciones entre documentos.

Tabla: errores frecuentes al redactar la política y cómo evitarlos

Estos son, de elaboración propia a partir de la experiencia en proyectos ENS, los errores que más comprometen una política en auditoría:

ErrorPor qué fallaCómo evitarlo
Aprobarla un cargo técnicoEl art. 12 exige aprobación por el órgano con máximas competencias ejecutivasFirma de la dirección, con acta o resolución
Copiar una plantilla genéricaNo refleja la organización real ni su alcanceAdaptar alcance, roles y sistemas a la entidad concreta
Mezclar política con procedimientosLa política es de alto nivel; el detalle va en normativa derivadaPolítica marco + normas y procedimientos aparte
No definir roles separadosVulnera la diferenciación de responsabilidades del ENSSeparar responsable de seguridad y del sistema
No fecharla ni revisarlaUna política sin revisión periódica se considera desactualizadaIncluir versión, fecha y ciclo de revisión
No publicarla internamenteEl personal debe conocerla y cumplirlaDifundirla y dejar constancia de su comunicación

Cómo redactarla para que pase la auditoría: paso a paso

Más allá de los bloques de contenido, el orden de trabajo importa. Esta es la secuencia que recomiendo para que la política no solo exista, sino que resista una auditoría:

  1. Define primero el alcance real. Antes de escribir, ten claro qué sistemas, servicios e información cubre. Una política con un alcance vago o copiado no encaja con la organización y el auditor lo nota.
  2. Recoge los principios del ENS, no genéricos. Cita los principios básicos del RD 311/2022 y conéctalos con tu organización, en lugar de frases de marketing sobre "la importancia de la seguridad".
  3. Asigna roles a personas u órganos concretos. No basta con enumerar los roles del ENS: hay que indicar quién los ocupa y garantizar la separación entre responsable de seguridad y del sistema.
  4. Vincula la política a la gestión de riesgos. Deja explícito el compromiso de realizar y mantener el análisis de riesgos, porque es el motor de las decisiones de seguridad.
  5. Somételo a aprobación de la dirección. La firma del órgano con máximas competencias ejecutivas debe quedar documentada (acta, resolución o equivalente).
  6. Versiona, fecha y publica. Asigna número de versión y fecha, define el ciclo de revisión y comunícala al personal dejando constancia.

Una política redactada así no es un documento de adorno: es coherente con la realidad de la organización, está aprobada por quien debe y demuestra que la seguridad se gestiona de verdad. Eso es justo lo que el auditor busca confirmar.

¿Cada cuánto hay que revisar la política de seguridad?

La política de seguridad no es estática. El ENS se basa en el principio de reevaluación periódica, por lo que la política debe revisarse con regularidad y, en todo caso, cuando se produzcan cambios relevantes en la organización, en los sistemas, en los servicios prestados o en la normativa aplicable. Una política fechada hace cinco años y nunca revisada es una señal de alarma para cualquier auditor: indica que el sistema de seguridad no se mantiene vivo. Lo razonable es fijar en la propia política un ciclo de revisión —por ejemplo, anual o ligado al ciclo de auditoría del ENS— y dejar constancia de cada revisión, aunque la conclusión sea que no hacen falta cambios.

¿Necesito una plantilla de política de seguridad?

Una plantilla puede ayudarte a no olvidar bloques, pero no resuelve el trabajo. El error más habitual es descargar una política genérica, cambiar el nombre de la empresa y darla por buena. Una política que no refleja tu alcance real, tus sistemas y tu estructura de roles no pasa una auditoría seria, porque el auditor contrasta lo que dice el documento con lo que ocurre de verdad en la organización. La plantilla es un punto de partida; el contenido lo tienes que construir sobre tu realidad.

Política de seguridad y normativa derivada: no lo metas todo en el mismo documento

Uno de los errores que más enturbian una política es intentar que diga absolutamente todo. La política es el documento marco, de alto nivel; de ella deben colgar otros documentos más concretos. Una arquitectura documental sana en el ENS distingue tres niveles:

Separar estos niveles tiene una ventaja práctica enorme: puedes actualizar un procedimiento técnico sin tener que volver a llevar la política a aprobación de la dirección cada vez. Si lo metes todo en un único documento, cualquier cambio menor obliga a reaprobar el conjunto, y eso, en la práctica, hace que el documento se quede desactualizado. La política estable arriba, el detalle cambiante abajo: así es como se mantiene vivo el sistema sin paralizar a la dirección.

Conclusión

La política de seguridad es el documento marco del ENS y la base sobre la que se sostiene todo lo demás. Para que sea válida tiene que estar aprobada por la dirección (art. 12 del RD 311/2022), recoger los principios de seguridad, definir el alcance y los roles diferenciados, comprometer la gestión de riesgos y revisarse periódicamente. No es un trámite que delegar en el departamento técnico: es una declaración de la cúpula de la organización. Redactada con rigor y adaptada a tu realidad —y no copiada de una plantilla genérica—, es el cimiento que hace que el resto del Esquema Nacional de Seguridad tenga sentido.

Preguntas frecuentes

¿Qué es la política de seguridad de la información?

Es el documento de más alto nivel del sistema de seguridad: establece la voluntad de la dirección, los principios de seguridad, el alcance, los roles y el compromiso de gestionar los riesgos. En el ENS es obligatoria y de ella cuelgan los procedimientos y controles de detalle.

¿Quién aprueba la política de seguridad en el ENS?

El órgano competente. En el sector privado que presta servicios públicos, el órgano con las máximas competencias ejecutivas de la entidad, según el artículo 12 del RD 311/2022. No la aprueba el responsable técnico: es una declaración de la dirección.

¿Qué debe incluir la política de seguridad?

Como mínimo: objeto y alcance, principios de seguridad del ENS, marco normativo, estructura organizativa y roles diferenciados, compromiso de gestión de riesgos, referencia a datos personales cuando aplique y obligaciones del personal con revisión periódica.

¿Necesito una política distinta para ENS e ISO 27001?

No necesariamente. Ambos marcos exigen una política aprobada por la dirección y comparten gran parte del contenido. Lo eficiente es una única política integrada que satisfaga los dos, con los matices propios de cada marco, evitando duplicar documentos y contradicciones.

Fuentes

Contenido elaborado por Summum Marketing para angelortegacastro.com.