Sign in Subscribe

ENS desde dentro (II): Cómo crear una política de seguridad en ENS (y que no sea papel mojado)

Cómo crear una política de seguridad en ENS que realmente funcione y pase auditoría. Enfoque práctico basado en experiencia real.

ENS desde dentro (II): Cómo crear una política de seguridad en ENS (y que no sea papel mojado)
Serie ENS desde dentro | Política de seguridad

Introducción

Si estás empezando con el ENS, hay un documento que aparece siempre al principio:

👉 La política de seguridad.

Se redacta, se aprueba, se firma…
y muchas veces se guarda sin que vuelva a utilizarse.

Y ahí empieza el problema.

Porque en el ENS, la política no es un trámite.

👉 Es la base de todo el sistema.

Este artículo forma parte de la serie ENS desde dentro.

👉 Puedes ver la guía completa aquí:
https://www.handersonboratto.com/ens-desde-dentro/

El punto de partida: marco organizativo (org.1)

Dentro del ENS, la política de seguridad forma parte del marco organizativo (org).

Y es el primer nivel:

  • org.1 → Política de seguridad
  • org.2 → Normativa de seguridad
  • org.3 → Procedimientos
  • org.4 → Proceso de autorización

👉 Es decir:

La política define las reglas del juego…
pero necesita bajar a normas y procedimientos para ser aplicable.

Qué exige realmente el ENS

El ENS no te pide solo que tengas una política.

Te exige que:

  • esté aprobada por dirección
  • defina responsabilidades claras
  • establezca el marco de seguridad
  • y, sobre todo, que se aplique

👉 Tener el documento no es suficiente.

Cómo crear una política de seguridad en ENS paso a paso

Aquí es donde empieza el trabajo de verdad.

1. Define responsabilidades (antes de escribir nada)

Antes de redactar una sola línea, necesitas tener claro:

  • Responsable de seguridad
  • Responsable del sistema
  • Responsable de la información
  • Responsable del servicio
  • Comité de seguridad

👉 Si esto no está definido, la política no sirve.

2. Define el alcance

La política debe dejar claro a qué aplica:

  • sistemas de información
  • usuarios
  • proveedores
  • servicios

👉 Sin alcance, no hay control.

3. Establece los principios de seguridad

Aquí defines cómo entiende la organización la seguridad:

  • gestión basada en riesgos
  • seguridad integral
  • prevención, detección y respuesta
  • mejora continua

👉 Esto marca cómo se tomarán las decisiones después.

4. Define la estructura de seguridad

Una política ENS no vive sola.

Debe definir su ecosistema:

  • Política (nivel estratégico)
  • Normas (qué se debe hacer)
  • Procedimientos (cómo se hace)

👉 Este punto es clave y muchas veces se ignora.

5. Aprobación por dirección

Este paso no es formal.

👉 Es obligatorio en ENS.

La política debe estar:

  • aprobada
  • firmada
  • respaldada por dirección

💡 Sin esto, no hay compromiso real.

6. Difusión (donde todo falla)

Aquí es donde la mayoría de organizaciones fallan:

  • los usuarios no la conocen
  • no se comunica
  • no se integra en el día a día

👉 Una política que no se comunica, no existe.

7. Mantenimiento y revisión

El ENS no es estático.

La política debe:

  • revisarse periódicamente
  • versionarse
  • adaptarse a cambios

👉 Si no evoluciona, deja de ser válida.

Errores comunes (y muy reales)

Después de trabajar con políticas ENS, estos fallos se repiten siempre:

❌ Copiar plantillas

Políticas genéricas que no reflejan la realidad de la organización

❌ No definir responsabilidades

Todo el mundo es responsable… y nadie lo es realmente

❌ No comunicarla

Se firma, pero no llega a los usuarios

❌ No alinearla con la operación

Los procedimientos reales no siguen la política

❌ No mantenerla

Se queda obsoleta en poco tiempo

🔥 Cómo se evidencia una política en una auditoría ENS

Aquí está la diferencia entre cumplir… y parecer que cumples.

En una auditoría te van a pedir:

✔️ Aprobación

  • documento firmado por dirección

✔️ Difusión

  • evidencias de comunicación
  • aceptación por parte de usuarios

✔️ Aplicación

  • procedimientos alineados
  • controles en funcionamiento

✔️ Mantenimiento

  • revisiones periódicas
  • control de versiones
  • historial de cambios

👉 Sin estas evidencias, la política no tiene valor en ENS.

Cómo debería usarse en la práctica

Una política útil no es un documento decorativo.

Es:

  • una guía para tomar decisiones
  • una base para auditorías
  • un marco para definir controles

👉 Debería influir en cómo trabaja la organización cada día.

Recomendaciones prácticas

Si estás creando tu política ENS:

  • Empieza por las responsabilidades, no por el documento
  • Asegura el compromiso real de dirección
  • Comunícala (no solo la firmes)
  • Alinea todo lo demás con ella
  • Y desde el primer día: genera evidencias

Cierre

En el ENS, el marco organizativo es el punto de partida.

Y todo empieza aquí:

Política → Normas → Procedimientos

Si la base falla… todo lo demás se construye mal.

Próximo artículo

La política define… pero no es suficiente.

👉 En el siguiente paso, esa política se convierte en reglas reales que los usuarios deben cumplir:

👉 Normativa de seguridad en ENS: cómo definir reglas claras

👉 Accede a la guía completa del ENS:
https://www.handersonboratto.com/ens-desde-dentro/

Subscribe to Handerson Boratto

Sign up now to get access to the library of members-only issues.
Jamie Larson
Subscribe