ENS desde dentro (III): Cómo definir una normativa de seguridad (guía paso a paso)
Cómo definir una normativa de seguridad en ENS paso a paso: reglas claras, errores comunes y cómo hacerla aplicable en el día a día.
Este artículo forma parte de la serie ENS desde dentro.
👉 Puedes ver la guía completa aquí:
https://www.handersonboratto.com/ens-desde-dentro/
👉 Si es tu primera vez en la serie, te recomiendo empezar por aquí:
https://www.handersonboratto.com/blog/que-es-ens/
Introducción
Si en el artículo anterior hablábamos de la política de seguridad, ahora toca bajar un nivel más.
👉 Pasamos del “qué” al “cómo”.
Porque aquí es donde empiezan los problemas reales.
Muchas organizaciones tienen política de seguridad…
pero cuando preguntas:
👉 “¿Qué puede hacer realmente un usuario?”
👉 “¿Qué está permitido y qué no?”
No hay una respuesta clara.
Qué es la normativa de seguridad en ENS
La normativa de seguridad es el documento que traduce la política en reglas concretas.
Es decir:
👉 define cómo deben usarse los sistemas
👉 qué está permitido
👉 qué está prohibido
👉 y qué responsabilidades tiene cada usuario
El error más común
❌ Crear una normativa genérica que nadie lee
Documentos largos, legales, copiados de plantillas…
👉 que no se aplican en el día a día
Cómo construir una normativa útil (paso a paso)
Aquí es donde cambia todo.
1. Empieza por lo que realmente ocurre
No empieces desde la normativa.
Empieza desde la realidad:
👉 cómo trabajan los usuarios
👉 qué herramientas usan
👉 dónde hay riesgos
2. Define reglas claras (sin ambigüedad)
Una normativa útil no deja espacio a interpretación.
Ejemplo real:
❌ “Se debe hacer un uso responsable del equipo”
✅ “Está prohibido instalar software sin autorización”
3. Cubre los bloques clave
Basado en experiencia real, una normativa debe cubrir como mínimo:
🔹 Uso de equipos
- Uso corporativo
- Instalación de software
- Configuración de equipos
🔹 Accesos y credenciales
- Uso individual de cuentas
- Prohibición de compartir contraseñas
- Uso de MFA
🔹 Correo electrónico
- Uso corporativo
- Gestión de adjuntos
- Prevención de phishing
🔹 Internet
- Uso permitido
- Descargas
- Navegación segura
🔹 Movilidad y teletrabajo
- Uso de VPN
- Prohibición de redes públicas
- Uso de dispositivos corporativos
🔹 Dispositivos externos
- USB
- almacenamiento externo
- control de entrada/salida
🔹 Incidentes
- obligación de notificar
- tiempos
- canal
💡 Todo esto lo estás cubriendo perfectamente en tu normativa actual
4. Añade prohibiciones claras
Esto es clave.
Tu documento lo hace muy bien:
👉 software malicioso
👉 manipulación de logs
👉 conexiones no autorizadas
👉 uso indebido de recursos
5. Define responsabilidades
Una normativa sin responsabilidades…
👉 no sirve
Debe quedar claro:
- quién es responsable
- qué pasa si no se cumple
- quién gestiona la normativa
6. Asegura revisión y mantenimiento
Otro punto crítico que muchas organizaciones olvidan:
👉 la normativa debe revisarse periódicamente
En tu caso:
✔️ revisión anual
✔️ gestión por comité de seguridad
El punto clave: que sea aplicable
Aquí está la diferencia entre cumplir ENS o no.
No se trata de tener normativa.
👉 Se trata de que se cumpla.
Cómo demostrarlo en auditoría
Aquí empieza lo importante:
👉 evidencias
Ejemplos reales:
- Documento firmado por usuarios
- Registro de aceptación
- Formación realizada
- Incidentes reportados
Error crítico que debes evitar
❌ Hacer la normativa perfecta… y no desplegarla
Porque entonces:
👉 no sirve para nada
Resumen
La normativa de seguridad:
👉 traduce la política
👉 define reglas claras
👉 establece responsabilidades
👉 y debe ser aplicable en el día a día
Próximo artículo
👉 Procedimientos de seguridad en ENS: donde todo se convierte en operativa real