Redactar la politica de seguridad según ENS es una de las tareas que debes llevar a cabo para implementar y certificar el ENS.
Si te estás enfrentando a estas tareas quizás te estés preguntando:
- A qué se refiere el ENS con la política de seguridad.
- Cómo puedo redactar una política de seguridad para mi organización para cumplir con el ENS.
- Que información debe contener esta política, con algunos ejemplos.
- Cómo estructuro la información en el documento de la política de seguridad.
Estas son todas las respuestas que vas a tener en este artículo.
Así que si quieres de verdad salir de dudas lee este artículo con calma porque te lo voy a explicar paso a paso.
Contents
¿Qué es una Politica de Seguridad de la Información?
Una política de seguridad de la información es un conjunto de directrices y normas que definen cómo se protege la información en una organización.
Se trata de un documento estratégico y operativo que fija el marco global para la implementación de controles, la gestión de riesgos y la respuesta ante incidentes.
En una política de seguridad de la información se debe de hablar sobre las normas para accesos lógicos, responsabilidades de cada rol, cómo se protege la información contra ataques, etc.
Bien, y ¿qué contenido mínimo debe tener una política de seguridad de la información según el ENS?
Es justo lo que te voy a describir a continuación.
Contenido Mínimo de la Política de Seguridad según ENS
El ENS, a través del Artículo 12, establece el contenido mínimo que debe incluir la política de seguridad de la información.
Este contenido se distribuye en diferentes apartados, que debes tener en cuenta al redactar el documento.
En concreto, el Artículo 12.1 detalla que la política debe incluir al menos los siguientes aspectos:
a) Los objetivos o misión de la organización.
b) El marco regulatorio en el que se desarrollan las actividades.
c) Los roles o funciones de seguridad, definiendo para cada uno sus deberes y responsabilidades, y el procedimiento para su designación y renovación.
d) La estructura y composición del comité de seguridad y la coordinación entre sus miembros.
e) Las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso.
f) Los riesgos que se derivan del tratamiento de los datos personales.
Además, el Artículo 12.6 complementa estos aspectos con los requisitos mínimos que debes tener en cuenta para desarrollar la política de seguridad.
Es decir que aparte de incluir los aspectos que te mencioné en los apartados a) al f), al redactar la política debes tener en cuenta una serie de requisitos mínimos.
Por lo tanto para desarrollar la política de seguridad de la información debes tener en cuenta:
- Aspectos que deben estar incluidos.
- Requisitos mínimos a la hora de redactar los aspectos a incluir.
Por lo tanto, ahora voy a entrar en detalle de cada uno de los aspectos mínimo que debe tener la política, empezando por los objetivos o la misión y terminando por los riesgos derivados del tratamiento de los datos personales.
Y finalmente, te diré qué requisitos mínimos debes tener en cuenta a la hora de desarrollar cada uno de los aspectos mínimos.
Objetivos o Misión de la Organización a redactar en la política de seguridad
Tu política de seguridad debe comenzar definiendo claramente los objetivos o la misión de tu organización y cómo lo vas a conseguir mediante la seguridad de la información.
Redacta esto de tal forma que oriente todas las acciones y medidas que se implementarán, en función de la protección de la información y la continuidad del servicio.
Cómo aplicarlo en tu organización:
- Establece metas claras: Por ejemplo, la misión podría ser “Garantizar la confidencialidad, integridad y disponibilidad de la información crítica para brindar servicios confiables a nuestros ciudadanos/usuarios”.
- Incluye indicadores de éxito: Define KPIs que permitan medir el nivel de protección, como la reducción en incidentes de seguridad o la eficacia de la respuesta ante incidentes.
Por ejemplo, tu organización podría establecer como objetivo reducir cada año el número de incidentes de ciberseguridad, mediante la implementación de controles específicos y la formación continua del personal.
Marco Regulatorio a redactar en la política de seguridad
El marco regulatorio se refiere al conjunto de leyes y normativas que regulan las actividades de la organización en materia de seguridad de la información.
La política debe identificar y hacer referencia a estas normativas para asegurar que todas las medidas implementadas estén en conformidad con ellas.
Cómo aplicarlo en tu organización:
- Identificar normativas aplicables: Por ejemplo, haciendo mención al Reglamento General de Protección de Datos (RGPD), la Ley Orgánica 3/2018 de Protección de Datos, entre otras normativas sectoriales.
- Integrar estos marcos en la política: Tu organización debe especificar cómo se alinean sus procesos y controles con estos marcos regulatorios.
Por ejemplo, podrías incluir un apartado en el que detalles algo así… “La presente política se elabora en conformidad con el RGPD y la Ley Orgánica 3/2018, de esta forma garantizamos que todos nuestros procesos cumplen con las obligaciones legales vigentes”.
Roles o Funciones de Seguridad a redactar en la política de seguridad
El ENS estipula que se deben definir los roles y funciones específicas en materia de seguridad de la información.
Esto implica que debes diferenciar entre el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema. Cada uno debe tener claras sus funciones y deberes.
Si trabajas en una organización pequeña, el tener cada uno de estos roles es muy complicado y nada realista.
Si te ocurre esto, lo que deberías de hacer es aplicar medidas compensatorias como solución a la acumulación de roles en una misma persona.
En el artículo que titulé “Principios del Esquema Nacional de Seguridad – Impleméntalos Así en Tu Organización” te explico qué podrías hacer para aplicar medidas compensatorias.
Cómo aplicarlo en tu organización:
- Asigna roles de forma documentada: Elabora un organigrama o registro donde se indique quién es el responsable de cada función.
- Define responsabilidades: Haz una descripción de puestos de trabajo donde redactes las funciones, responsabilidades y competencias para desarrollar ese puesto de trabajo.
En el artículo “Todo lo que debes saber sobre la descripción de puestos de trabajo” te indico cómo llevar a cabo esto.
Estructura y Composición del Comité de Seguridad a redactar en la política de seguridad
El Esquema Nacional de Seguridad subraya la importancia de contar con un comité para la gestión y coordinación de la seguridad.
Este órgano debe encargarse de supervisar, implementar y mantener la seguridad de la información en general de tu organización.
Cómo aplicarlo en tu organización:
- Constitución del comité: Si tu organización es grande te recomendaría formar un comité de seguridad que incluya representantes de diferentes áreas (TI, legal, recursos humanos, etc.). Pero si tu organización es pequeña, puedes conformar el comité con el Responsable de Seguridad y el Responsable de Gestión de la Información, que también podría hacer las veces de Responsable del Servicio. Pero para hacer esto, recuerda que debes tener en cuenta aplicar medidas compensatorias.
- Funciones del comité: El comité debe reunirse periódicamente para revisar la eficacia de las medidas implementadas, analizar incidentes de seguridad y proponer mejoras.
Por ejemplo En tu política podrías redactar algo así… “El Comité de Seguridad está conformado por el Responsable de la Seguridad, el Responsable de Gestión de la Información y del Servicio del Sistema y un representante de recursos humanos”.
Y continuar diciendo… “este comité se reunirá trimestralmente para revisar los reportes de monitorización, las auditorías internas, la identificación de posibles brechas de seguridad y realizar propuestas de mejora”.
Estructuración de la Documentación de Seguridad, su Gestión y Acceso en la redacción de la política de seguridad
La política de seguridad según el ENS, debe incluir una redacción sobre sobre cómo se organiza, gestiona y se da acceso a la documentación de seguridad.
Lo que pretende el Esquema Nacional de Seguridad es que todos los registros, procedimientos y normativas estén centralizados y sean accesibles para las personas autorizadas.
Cómo aplicarlo en tu organización:
- Almacenamiento centralizado: La política de seguridad debes describirla indicando dónde se aloja el repositorio de tu organización y cuáles son los criterios para que sea accesible solo para personal autorizado.
- Define permisos y el control de acceso: Debes describir quién puede acceder a cada tipo de información interna de la organización, quién la aprueba y quién tiene la facultad de modificarla.
- Gestión de versiones: Debes de tener implementado un control de versiones para asegurar de que las personas trabajan siempre con documentos vigentes y no obsoletos.
Por ejemplo podrías describir algo así en tu política…
“Trabajamos con un repositorio digital interno a través de una intranet segura (o gestión documental en la nube) en la que se almacena toda la documentación relacionada con la seguridad de la información”.
Y continuar diciendo… “para garantizar la seguridad de este repositorio trabajamos con controles de acceso, gestión de versión documental y revisiones periódicas de accesos y privilegios al acceso de la información”.
Riesgos que se Derivan del Tratamiento de los Datos Personales en la redacción de la política de seguridad
La política de seguridad según el ENS, debe identificar y abordar los riesgos específicos que se derivan del tratamiento de datos personales.
Este apartado es fundamental para cumplir con la normativa de protección de datos y para garantizar que se implementen medidas que protejan la confidencialidad, integridad y disponibilidad de la información de carácter personal.
Cómo aplicarlo en tu organización:
- Identifica riesgos: Realiza un análisis de riesgos específico para el tratamiento de datos personales e identifica posibles amenazas: accesos no autorizados, pérdida de información, fugas de información, etc.
- Medidas de mitigación: Define controles que aseguren la protección de los datos de carácter personal: usando el cifrado, el control de accesos, monitorizar ciertas actividades, etc. Podrías usar por ejemplo mailCrip para enviar por email información confidencial con datos de carácter personal como contraseñas, cuentas bancarias, dni y documentos legales.
Por ejemplo, en tu política podrías describir algo así… “… los datos de carácter personal que tratamos están bajo nuestras políticas internas de seguridad. El documento de seguridad de “acceso a datos personales” describe el tipo de información y datos que contiene datos de carácter personal”.
Y continuar diciendo… “solo las personas autorizadas tienen acceso a dicha información y para acceder a ella se necesitan de permisos concedidos por parte del Responsable de seguridad”.
Requisitos Mínimos para la redacción de la Política de Seguridad
Bien hasta aquí te he hablado de los aspectos básicos que debe contener la política de seguridad según el ENS.
Ahora te voy a comentar cuáles son los requisitos mínimos debes de tener en cuenta en el contenido que debe tener la propia política.
Recuerda el gráfico del principio del post.
Por lo tanto, ahora voy a centrarme en los requisitos mínimos.
Los requisitos mínimos con los que se debe desarrollar la política de seguridad según el ENS los siguientes:
a) Organización e implantación del proceso de seguridad.
b) Análisis y gestión de los riesgos.
c) Gestión de personal.
d) Profesionalidad.
e) Autorización y control de los accesos.
f) Protección de las instalaciones.
g) Adquisición de productos de seguridad y contratación de servicios de seguridad.
h) Mínimo privilegio.
i) Integridad y actualización del sistema.
j) Protección de la información almacenada y en tránsito.
k) Prevención ante otros sistemas de información interconectados.
l) Registro de la actividad y detección de código dañino.
m) Incidentes de seguridad.
n) Continuidad de la actividad.
ñ) Mejora continua del proceso de seguridad.
El Artículo 12.6 del ENS indica que la redacción de la política de seguridad debe estar basada en los requisitos mínimos que acabas de leer.
¿qué significa esto?
Pues que a medida que vas redactando cada uno de los aspectos básicos, debes de alinearlo con estos requisitos.
¿Cómo aplicar estos requisitos mínimos en la redacción de tu política de seguridad según el ENS?
Voy a alinearte de forma super clara, cada aspecto mínimo (artículo 12.1) que debe contener tu política de seguridad y redactarlo usando un requisito mínimo (artículo 12.6).
Voy a ponerte cuatro ejemplos, espero que sean suficientes para ti.
Ejemplo: Objetivos o Misión de la Organización
Aspecto Básico (Art. 12.1 a):
La política de seguridad debe comenzar definiendo claramente los objetivos o la misión de la organización en materia de seguridad de la información.
Requisito Mínimo Aplicado (12.6 a – Organización e implantación del proceso de seguridad):
Al redactar este apartado, tu organización podría especificar de forma clara y medible cómo se estructurará e implementará el proceso de seguridad.
Un ejemplo de esto podría ser:
“Nuestra misión es garantizar la confidencialidad, integridad y disponibilidad de toda la información crítica, mediante la implantación de un proceso de seguridad estructurado y en continua actualización.
Este proceso se implementará de forma sistemática, con revisiones anuales que permitan adaptarnos a las nuevas amenazas y tecnologías, asegurando así la protección de nuestros activos y la continuidad de nuestros servicios.”
Ejemplo: Marco Regulatorio
Aspecto Básico (Art. 12.1 b):
La política debe incluir una sección en la que se identifique el marco regulatorio en el que se desarrollan las actividades, haciendo referencia a todas las normativas aplicables (por ejemplo, RGPD y Ley Orgánica de Protección de Datos).
Requisito Mínimo Aplicado (12.6 b – Análisis y gestión de los riesgos):
En la redacción de este apartado podrías vincular con un análisis de riesgos, de forma que especifiques cómo evaluarás y gestionarás los riesgos derivados del entorno regulatorio.
Un ejemplo de esto podría ser:
“Esta política de seguridad se elabora en base al Reglamento General de Protección de Datos y la Ley Orgánica 3/2018.
Se realizará un análisis de riesgos periódico que permita identificar, evaluar y tratar las amenazas derivadas del cumplimiento normativo, mediante la implementación de controles específicos y auditorías internas que garanticen el cumplimiento de las normativas vigentes.”
Ejemplo: Estructura y Composición del Comité de Seguridad
Aspecto Básico (Art. 12.1 d):
La política debe detallar la estructura y la composición del comité de seguridad, que es el órgano encargado de coordinar la gestión y supervisión de las medidas de seguridad.
Requisito Mínimo Aplicado (12.6 d – Profesionalidad):
En la redacción puedes incluir la necesidad de que los miembros del comité cuenten con la formación y experiencia adecuada para garantizar la profesionalidad en la gestión de la seguridad.
Un ejemplo de esto podría ser:
“El Comité de Seguridad estará conformado por representantes de las áreas de TI y Recursos Humanos, seleccionados en función de su experiencia y formación en ciberseguridad”
La profesionalidad de los miembros es esencial, por lo que se requerirá que cada integrante cuente con la formación reglada, certificaciones y experiencia reconocida para mantener un alto nivel de competencia en el área”
“El comité se reunirá trimestralmente para revisar la implementación de la política de seguridad y proponer mejoras continuas.”
Ejemplo: Estructuración de la Documentación de Seguridad, su Gestión y Acceso
Aspecto Básico (Art. 12.1 e):
La política debe incluir directrices para la estructuración, gestión y control de acceso a toda la documentación de seguridad, no solo la política.
Requisito Mínimo Aplicado (12.6 e – Autorización y control de los accesos):
En la redacción podrías especificar cómo se gestionará el acceso a la documentación de seguridad mediante controles basados en roles, garantizando que sólo el personal autorizado pueda modificar o visualizar la información.
Un ejemplo de esto podría ser:
“Toda la documentación de seguridad que maneja la organización se almacena en un repositorio centralizado y seguro.
Se aplica para ello un sistema de autorización basado en roles, de modo que solo el Comité de Seguridad y el equipo de TI tengan permisos de edición, mientras que el resto del personal dispondrá de acceso en modalidad de solo lectura.
Bueno pues espero que ahora te haya quedado mucho más claro cómo redactar una politica de seguridad de la información según ENS.
Fecha: 07 abril 2025
Fuente Bibliográfica: Elaboración propia tras lectura del Real Decreto 311/2022
Fuente imagen principal: Freepik
- Licenciado en Administración y Dirección de Empresas,
- Colegiado nº1498 por el colegio de economistas de Las Palmas de Gran Canaria,
- IRCA Certified ISO 9001 Lead Auditor con nº ENR-00555531
- Experto en Customer Experience Management
En mi web podrás encontrar información gratuita de mucho valor que comparto para mejorar la gestión de las empresas.
También encontrarás otros recursos como libros y otras herramientas que ofrezco al mercado para profundizar en las áreas que conozco y ayudar así a las organizaciones a ser más competitivas.
Autor del libro Como Implantar ISO 9001:2015 Paso a Paso.
Autor de la Academia Online IVE Academy