Saltar al contenido
CertENS
EN
Implantación

Política de Seguridad de la Información: plantilla comentada

Qué debe contener la política de seguridad que exige el ENS (medida org.1), cómo estructurarla y una plantilla completa comentada sección a sección.

7 min de lectura Diego Aranda · Implantador ENS · CertENS

La Política de Seguridad de la Información es la primera medida del Anexo II (org.1) y el documento sobre el que se apoya todo el edificio ENS. Es también la medida que con más frecuencia se despacha con un Word genérico bajado de internet y firmado sin leer. Esa política “de armario” es precisamente lo que el auditor detecta en los primeros cinco minutos.

En este artículo repasamos qué debe contener una política de seguridad útil (no solo cumplidora) y compartimos una plantilla comentada sección a sección.

Qué exige el ENS

La medida org.1 obliga a que exista una política de seguridad de la información, aprobada por el órgano superior competente, que:

  • Refleje el compromiso de la alta dirección.
  • Establezca los principios rectores.
  • Defina el marco organizativo.
  • Designe responsables.
  • Se revise periódicamente.
  • Se comunique a toda la organización.

Breve en extensión, dura en exigencia: la política tiene que existir, tiene que ser conocida y tiene que ser viva.

Estructura recomendada

1. Propósito y ámbito

Dos o tres párrafos para dejar claro:

  • Qué hace la organización.
  • Qué sistemas y procesos cubre la política.
  • A quién obliga (personal interno, colaboradores, proveedores).

Consejo: evita frases grandilocuentes. “Esta política es el marco de referencia para la gestión de la seguridad de la información de [Organización], en el contexto de los sistemas y servicios incluidos en el alcance ENS publicado en la Declaración de Aplicabilidad vigente.”

2. Normativa de referencia

Enumera el marco regulatorio aplicable:

  • RD 311/2022 (ENS).
  • Reglamento (UE) 2016/679 (RGPD) y LOPDGDD.
  • Ley 39/2015 y 40/2015.
  • Ley 9/2017 (contratos del sector público).
  • ISO/IEC 27001 si aplica.
  • Cualquier normativa sectorial (sanidad, educación, financiero).

No copies artículos: referénciales. Mantenible.

3. Principios rectores

Traslada los principios del ENS (seguridad integral, gestión de riesgos, proporcionalidad, prevención, detección y respuesta). Añade los principios propios si los hay (zero trust, least privilege, privacidad por diseño).

4. Objetivos

Objetivos concretos y medibles, no genéricos. Ejemplo:

  • Reducir el número de incidentes de seguridad con impacto operacional a menos de 3 por año.
  • Asegurar la disponibilidad 99,5 % de los servicios críticos.
  • Lograr una tasa de formación en seguridad superior al 95 %.
  • Mantener la certificación ENS sin no conformidades mayores.

5. Estructura organizativa

La parte que más miran los auditores. Debe nombrar y describir:

  • Órgano de gobierno (dirección, pleno, comité ejecutivo) que aprueba la política.
  • Comité de Seguridad de la Información con composición y funciones.
  • Responsable de la Información — decide sobre impacto en las dimensiones ENS.
  • Responsable del Servicio — define requisitos funcionales.
  • Responsable de la Seguridad — asegura el cumplimiento del marco.
  • Responsable del Sistema — operación técnica.

Cada rol debe tener una fila en la tabla con funciones. Si una persona asume dos roles (frecuente en pymes), dilo explícitamente.

6. Gestión de riesgos

Declara qué metodología se usa (MAGERIT v3 con PILAR), qué periodicidad tiene la revisión, y quién aprueba el Plan de Tratamiento de Riesgos.

7. Gestión documental

Cómo se aprueban, versionan, difunden y retiran los documentos. Qué portal / repositorio se usa. Quién tiene acceso.

8. Formación y concienciación

Marca la exigencia de formación inicial, formación continua y formación específica por rol. Referencia a procedimiento y a registro de evidencia.

9. Gestión de incidentes

Principios de clasificación, canales de notificación internos, obligación de notificar al CCN-CERT los incidentes aplicables, procedimiento de mejora continua.

10. Relación con terceros

Cláusulas mínimas que todo contrato con proveedores debe cumplir: confidencialidad, ENS, notificación, auditoría, subcontratación.

11. Cumplimiento y sanciones

Consecuencias del incumplimiento, régimen disciplinario, canal de denuncia.

12. Aprobación y revisión

  • Fecha de aprobación.
  • Órgano que la aprueba.
  • Periodicidad de revisión (anual mínimo, y tras cambios relevantes).
  • Histórico de versiones.

Ejemplo de redacción (fragmento)

Artículo 3 — Responsable de la Seguridad de la Información (RSI)

El RSI es responsable de mantener el marco de seguridad de la información en coherencia con la estrategia de la organización y con el RD 311/2022. Sus funciones son:

a) Velar por el cumplimiento del ENS en los sistemas incluidos en el alcance. b) Promover la formación y concienciación en seguridad. c) Aprobar la Declaración de Aplicabilidad y el Plan de Tratamiento de Riesgos, elevándolos al Comité de Seguridad. d) Supervisar la gestión de incidentes de seguridad. e) Reportar anualmente al órgano de gobierno el estado de la seguridad.

El RSI reporta jerárquicamente al [cargo] y funcionalmente al Comité de Seguridad. No puede simultanear su rol con el de Responsable del Sistema.

Errores frecuentes

  • Firmar la política por un rol que no corresponde. La política se aprueba por el órgano de gobierno (pleno, consejo, dirección general), no por el jefe de TI.
  • Política genérica sin menciones a la organización real. El auditor pregunta: “¿quién es aquí el Responsable del Servicio?” Si no hay nombre, falla.
  • Política “aprobada” sin acta de aprobación. Necesitas el acta o registro formal.
  • Nunca revisarla. La política con fecha de hace 5 años es un mal indicio. Revisión anual mínima.
  • No difundirla. Si el personal no recuerda haberla visto, el cumplimiento falla en la entrevista.

Plantilla de repositorio

En CertENS entregamos a los clientes una plantilla de política comentada (un Word de unas 15–20 páginas con notas guía en cada sección). Si quieres un punto de partida realista, contáctanos y te la enviamos personalizada para tu contexto.

Recomendación final

La política no es un documento estático. Debe vivir, evolucionar y reflejar lo que pasa realmente en la organización. Una política trabajada durante 8 horas en dos sesiones con la dirección y los responsables vale cien veces más que una plantilla bajada de internet y firmada a toda prisa.

Sigue leyendo

Implantación

Errores más comunes al redactar el Análisis de Riesgos

Los errores que aparecen una y otra vez en los análisis de riesgos ENS: alcance mal definido, valoraciones infladas, amenazas genéricas y controles desalineados con la DA.

7 min
Implantación

Cómo calcular el coste real de certificarse en ENS

Desglose honesto del coste de certificación ENS: consultoría, auditoría, inversión técnica, horas internas y coste recurrente de mantenimiento.

6 min
Implantación

Gestión de activos [op.pl.1] sin morir en el intento

Cómo construir y mantener un inventario de activos útil, mantenible y aprobado en auditoría, sin convertirlo en un Excel monstruo.

6 min

¿Listo para certificarte en el ENS?

Diagnóstico inicial sin coste y sin compromiso. Te contestamos en menos de 24 horas laborables.

Solicitar diagnóstico info@certificacionens.eu