Una política de seguridad informática define y documenta la declaración de intenciones, principios y enfoques de una empresa para garantizar una gestión eficaz de los riesgos, explica la consultora Gartner.
Esta política garantiza que las áreas operativas y la de seguridad trabajen en conjunto para garantizar que las posibilidades de un ataque cibernético sean limitadas y, si ocurre un ataque, el equipo de Tecnologías de la Información (TI), el equipo operativo y los ejecutivos comerciales sepan exactamente qué pasos tomar para limitar el daño.
Mientras los delitos informáticos avanzan, en México, solamente 37% de las empresas ha desarrollado manuales de recuperación cibernética a nivel organizacional, indica el estudio Digital Trust Insights 2025 de PwC.
Importancia en el entorno empresarial
Los ciberataques son de las principales amenazas para la continuidad del negocio y la reputación de la empresa, así lo demuestran los directivos entrevistados por la consultora KPMG quienes advierten que las vulneraciones informáticas son el segundo riesgo más relevante para las organizaciones en el corto plazo.
Las Perspectivas de la Alta Dirección en México 2025 de KPMG revelan que 66% de los encuestados consideran que los ciberataques como un riesgo significativo en el negocio durante los siguientes 12 meses.
Principales riesgos empresariales
Esto evidencia la importancia de contar con políticas de seguridad informática para incrementar la protección ante riesgos de ciberseguridad a través de pruebas de penetración desarrolladas por equipos profesionales que puedan evaluar los modos de defensa.
También se debe fomentar una cultura de la seguridad informática en la organización para lograr una gestión de amenazas adecuada.
“Es fundamental que las compañías contemplen planes de seguridad en todo momento, a fin de minimizar la exposición. Para conseguirlo, socializar el tema con todas las áreas ayudará a desplegar líneas de defensa en todos los niveles”, explica el reporte de KPMG.
Tipos de políticas y sus aplicaciones
Una política de seguridad informática esencial va más allá de un simple manual con reglas y estrategias de acción ante ciberataques.
La política debe contemplar diferentes áreas de la empresa desde el uso de dispositivos, la gestión de incidentes, el cuidado de los datos personales y la forma de garantizar la continuidad del negocio ante un ataque cibernético.
De acuerdo con Tiffin University, las principales políticas de seguridad informática que debe contemplar una empresa son las siguientes:
Política de uso aceptable
Establece las reglas que deben seguir los empleados para el uso de recursos tecnológicos y la red de la compañía, incluyendo el uso adecuado y seguro de dispositivos, software, internet y correos electrónicos.
También indica las actividades que los colaboradores no pueden realizar al conectarse a la red o usar dispositivos conectados a la intranet empresarial como la descarga de software no autorizado o el acceso a sitios web peligrosos.
Política de gestión de incidentes
Cuando la empresa ha sufrido una intrusión cibernética, esta política ayuda a conocer los pasos a seguir como son identificar, reportar, contener y mitigar el impacto del incidente y los pasos para recuperar la normalidad operativa lo antes posible. Su objetivo es que el daño sea mínimo y, a la par, proteger los activos digitales de la organización.
Política de seguridad de la información
Las empresas manejan gran cantidad de información, mucha de esta confidencial, por lo que requieren de parámetros que indiquen la manera en que se resguardará la confidencialidad, integridad y disponibilidad de los datos dentro de una compañía. Este documento contiene la forma en cómo se manejará , almacenará y transmitirá la información confidencial, incluyendo las personas con acceso a la misma
Política de copias de seguridad y actualizaciones
Detalla los pasos a seguir cuando se requieren llevar a cabo copias de seguridad de datos de la empresa así como para mantener los sistemas de la empresa actualizados. El objetivo es evitar la pérdida de datos durante las transferencias de los mismos así como proteger los equipos de vulnerabilidades que dejan huecos para los ciberataques.
Política de gestión de riesgos
Este documento cuenta con la información para identificar, evaluar y mitigar los posibles riesgos que pueden vulnerar la ciberseguridad de una organización. Esta política contempla la evaluación continua de riesgos, la priorización de acciones correctivas y la implementación de controles para proteger los activos digitales de la organización.
Política de continuidad del negocio
Diariamente las empresas enfrentan posibles vulneraciones cibernéticas, por lo que se requiere de un plan integral para que la compañía pueda recuperarse tras in incidente de este tipo. Con esta política se busca que el impacto sea bajo, que la información esté resguardada y que los servicios básicos de operación permanezcan activos y se puedan restaurar con celeridad.
| Tipo de Política | Descripción |
|---|
| Política de uso aceptable | Establece reglas para el uso de recursos tecnológicos y la red, incluyendo el manejo adecuado de dispositivos, software e internet. Prohíbe actividades como la descarga de software no autorizado o el acceso a sitios web peligrosos. |
| Política de gestión de incidentes | Ayuda a conocer los pasos a seguir ante una intrusión cibernética, incluyendo identificar, reportar, contener y mitigar el impacto del incidente, con el objetivo de proteger los activos digitales y recuperar la normalidad operativa. |
| Política de seguridad de la información | Define cómo se resguardará la confidencialidad, integridad y disponibilidad de los datos dentro de la compañía, incluyendo el manejo, almacenamiento y transmisión de información confidencial. |
| Política de copias de seguridad y actualizaciones | Detalla los procedimientos para realizar copias de seguridad de datos y mantener los sistemas actualizados para proteger contra la pérdida de datos y vulnerabilidades que facilitan ciberataques. |
| Política de gestión de riesgos | Incluye procedimientos para identificar, evaluar y mitigar riesgos que pueden afectar la ciberseguridad de la organización, con evaluación continua y priorización de acciones correctivas. |
| Política de continuidad del negocio | Establece un plan para la recuperación de la compañía tras incidentes cibernéticos, buscando minimizar el impacto, proteger la información y asegurar la continuidad operativa de servicios esenciales. |
Pasos para implementar una política efectiva
De acuerdo con la Cyber Management Alliance es importante que cada negocio invierta de manera seria en la longevidad y privacidad de los datos de sus clientes internos y externos, por lo que requiere de una política efectiva de seguridad informática.
Para lograr una política integral se necesitan elementos esenciales que formen parte de ella.
- Comprender lo importante que es la seguridad: es importante comprender la importancia de la ciberseguridad en la empresa, para o cual es importante entender el objetivo del negocio y sus componentes como la tecnología, ventas, atención al cliente, inversiones, productos y servicios. Estos factores influyen en la forma en que estructura la política de ciberseguridad.
- Identificar y priorizar activos, riesgos y amenazas: resulta clave identificar y priorizar sus activos, junto con los riesgos o amenazas potenciales que se ciernen sobre estos activos. Para ello, hay que contemplar los riesgos y amenazas para la empresa, principales preocupaciones en materia de ciberseguridad y qué tipo de vulneraciones perjudicarían más al negocio.
- Establecer metas realistas: la organización debe asegurarse que la política se pueda implementar en etapas y los empleados, inversionistas y clientes deben conocer el objetivo de contar con una política de seguridad informática.
- Verificar la política: la política de seguridad informática debe ser un documento vivo, donde puedan incluirse necesidades que detecten el equipo de Tecnologías de la Información. Además, requiere de un seguimiento para garantizar su cumplimiento y que se encuentre acorde a la regulación gubernamental.
- Hacer pruebas: antes de que ocurra un ciberataque es importante que el equipo conozca las posibles vulneraciones que enfrentaría, por ejemplo, correos electrónicos falsos, requerimientos de acceso a cuentas y a sistemas que o suele realizarse fuera del protocolo que indica la política.
Beneficios de mantener políticas actualizadas
Las amenazas cibernéticas se actualizan a la par de los avances tecnológicos por lo que las empresas necesitan contar con una respuesta oportuna y eficaz a cualquier posible ciberataque.
En México, solamente 2% de las organizaciones considera que están en una etapa madura de preparación en materia de seguridad informática, el 22% se encuentra en etapa progresiva, el 64% en etapa formativa y 12% dijeron estar en una etapa de principiantes, de acuerdo a una encuesta de Cisco realizada a empresas.
Con información de Cisco
Estos datos demuestran que hace falta trabajar en políticas de seguridad informática esenciales para cualquier organización considerando que tiene como beneficios la protección de los datos personales que maneja el negocio y la información confidencial.
El tener un buen manejo de los sistemas y no permitir intrusiones ayuda a que la reputación de la organización no se vea impactada por la filtración de información privilegiada.
También favorece la productividad, ya que los empleados tienen la garantía de que existe un protocolo de acción ante cualquier ciberataque y enfocan sus esfuerzos en conseguir sus objetivos.
Además, las políticas de ciberseguridad permiten que la empresa cumpla con normas y regulaciones que aplican en el país donde opera, incluso puede adelantarse a reglas que son válidas en otros países, permitiéndole hacer negocios internacionales.
FAQs | Preguntas y respuestas
¿Cómo se realiza una evaluación de riesgos en seguridad informática?
La evaluación de riesgos en seguridad informática se realiza a través de una política de gestión de riesgos. Este documento establece un proceso para identificar, evaluar y mitigar los posibles riesgos que pueden afectar la ciberseguridad de una organización.
¿Qué es un plan de respuesta a incidentes y por qué es importante?
Un plan de respuesta a incidentes se formaliza mediante una política de gestión de incidentes, cuyo objetivo es minimizar el daño causado por un ataque cibernético.
¿Qué es la autenticación multifactor y cómo mejora la seguridad?
La autenticación multifactor, se puede relacionar con las políticas de seguridad que buscan reducir vulnerabilidades. La autenticación multifactor es un mecanismo que requiere más de un método de verificación (por ejemplo, una contraseña y un código enviado al teléfono) para acceder a un sistema.
¿Cómo se gestionan los accesos y privilegios en una organización?
La gestión de accesos y privilegios se regula mediante la política de seguridad de la información. Esta política establece quiénes tienen acceso a información confidencial y cómo se almacena y transmite dicha información.
