Ciberseguridad

Política de ciberseguridad empresarial: qué debe incluir

· Alejandro Garres
← Volver al Blog

Una política de ciberseguridad empresarial debe incluir diez apartados: alcance y responsabilidades, análisis de riesgos, inventario de activos, control de accesos, protección de red y endpoints, copias de seguridad, gestión de incidentes, seguridad en proveedores, formación del equipo y revisión periódica. Estos diez bloques cubren los requisitos del artículo 21 de la NIS2 y definen cualquier programa de seguridad serio.

Por qué las PYMEs no pueden improvisar en ciberseguridad

El INCIBE gestionó 122.223 incidentes de ciberseguridad en 2025, un 26% más que en 2024, y el 50% de las PYMEs en España sufre al menos un ciberataque relevante cada año (INCIBE, Balance de Ciberseguridad 2025). El coste medio de un incidente para una empresa pequeña oscila entre 35.000 y 80.000 euros, una cifra que puede comprometer la continuidad de la empresa.

La raíz del problema casi nunca es la falta de herramientas técnicas. En la mayoría de los casos, las empresas que sufren incidentes graves no tenían claro quién era responsable de qué, ni qué debía hacerse en los primeros minutos tras detectar un problema. Una política de ciberseguridad bien redactada resuelve exactamente eso: establece reglas, asigna responsabilidades y define procedimientos antes de que llegue el incidente.

Sin ese documento, cada decisión se toma sobre la marcha y bajo presión. Con él, el equipo sabe exactamente qué hacer.

Qué debe incluir una política de ciberseguridad

La Directiva NIS2 (Directiva (UE) 2022/2555) detalla en su artículo 21 las medidas mínimas que toda entidad obligada debe cubrir. Pero esos mismos diez bloques son también el estándar de facto para cualquier PYME que quiera gestionar su seguridad de forma ordenada, independientemente de si le aplica la NIS2.

1. Declaración de alcance y responsabilidades

El primer apartado define a quién aplica la política (todos los empleados, proveedores con acceso a sistemas, contratistas), qué activos cubre (equipos, servidores, aplicaciones, datos) y quién es responsable de su cumplimiento. Sin un alcance claro, la política queda en papel mojado.

Designa explícitamente un responsable de seguridad: puede ser el responsable IT interno o un proveedor externo como IBERSYA Consultoría S.L. Lo que no puede es quedar sin nombre asignado.

2. Análisis y gestión de riesgos

Describe cómo la empresa identifica y valora los riesgos sobre sus activos críticos. No requiere metodologías complejas para una PYME: una tabla de activos con probabilidad de incidente y nivel de impacto es suficiente como punto de partida.

Este apartado debe actualizarse al menos una vez al año o cuando se produzcan cambios significativos en la infraestructura: nuevos sistemas, nuevos proveedores, cambios en el equipo. El análisis de riesgos es el documento que el artículo 21 de la NIS2 señala como obligatorio para entidades esenciales e importantes.

3. Inventario y clasificación de activos

No se puede proteger lo que no se conoce. Este apartado recoge todos los activos de información: equipos físicos, máquinas virtuales, aplicaciones en la nube, cuentas de usuario, repositorios de datos y accesos de terceros. Herramientas como Snipe-IT permiten mantener este inventario actualizado con mínimo esfuerzo.

La clasificación de activos por criticidad —crítico, importante, ordinario— determina qué nivel de control se aplica a cada uno. Un servidor de producción de Odoo no necesita el mismo nivel de control que un equipo de pruebas.

4. Control de accesos y autenticación

Establece que cada usuario solo tiene acceso a los recursos que necesita para su trabajo (principio de mínimo privilegio). Define los criterios para crear, modificar y revocar cuentas, el proceso de baja de empleados y los controles sobre cuentas con privilegios elevados.

Incluye también la obligación de usar autenticación multifactor (MFA) en accesos remotos, sistemas críticos y cuentas con permisos administrativos. El artículo 21 de la NIS2 señala el MFA como medida explícita. Microsoft reporta que el MFA bloquea más del 99,9% de los ataques automatizados sobre cuentas corporativas.

5. Protección de endpoints y red perimetral

Recoge los requisitos técnicos mínimos para equipos corporativos: solución antivirus empresarial con consola centralizada, actualizaciones automáticas de sistema operativo y aplicaciones, cifrado de disco en portátiles y política de uso aceptable de dispositivos.

Para la red, define la segmentación mínima (red corporativa / red de invitados / zona DMZ si aplica), los requisitos del cortafuegos perimetral y las condiciones de uso de VPN para acceso remoto. Las empresas que utilizan firewall gestionado para empresas tienen este bloque cubierto con supervisión continua.

6. Copias de seguridad y continuidad de negocio

Define la estrategia de backup: qué sistemas se respaldan, con qué frecuencia, dónde se almacenan las copias y —lo más importante— con qué periodicidad se verifican las restauraciones. La regla 3-2-1 (tres copias, dos soportes diferentes, una copia fuera de la ubicación principal) es el mínimo recomendado.

Este apartado también incluye el objetivo de tiempo de recuperación (RTO) y el objetivo de punto de recuperación (RPO): cuánto tiempo puede estar la empresa sin operar y hasta qué punto en el tiempo se puede recuperar la información. Definirlos en frío, antes de un incidente, es lo que convierte un backup en un plan real de continuidad.

7. Gestión de incidentes y notificación

Describe el procedimiento paso a paso cuando se detecta un incidente: quién lo detecta, a quién se notifica primero, cómo se aísla el sistema afectado, cuándo se llama a soporte externo y cómo se documenta todo.

Para empresas afectadas por la NIS2, incluye también los plazos de notificación obligatorios: alerta temprana en 24 horas, notificación inicial a la autoridad competente en 72 horas e informe final en un mes. Incluso para empresas no obligadas por la NIS2, documentar el procedimiento de respuesta ahorra tiempo crítico en las primeras horas de un incidente.

¿Tu empresa no tiene definido qué hacer en las primeras dos horas de un ciberataque? En IBERSYA diseñamos el plan de ciberseguridad para tu empresa incluyendo protocolo de respuesta a incidentes adaptado a tu tamaño y sector. Cuéntanos tu situación.

8. Seguridad en la cadena de suministro

Uno de los vectores de ataque que más ha crecido en los últimos años. Este apartado establece los requisitos de seguridad que deben cumplir los proveedores con acceso a sistemas de la empresa: software que instalan, credenciales de acceso remoto, transferencia de datos y condiciones contractuales.

El artículo 21 de la NIS2 dedica una mención explícita a la seguridad de la cadena de suministro. En la práctica para una PYME, esto se traduce en una cláusula contractual con proveedores TIC y una revisión anual de los accesos activos de terceros.

9. Formación y concienciación del equipo

El factor humano sigue siendo la causa principal de los incidentes de seguridad: el phishing, la ingeniería social y el uso de contraseñas débiles se evitan con formación, no con tecnología. Este apartado define la frecuencia de las sesiones de concienciación (mínimo una al año), los temas obligatorios y cómo se mide la efectividad.

En IBERSYA impartimos formaciones bonificadas en ciberseguridad para empresas con coste cero o reducido para la empresa gracias a la financiación de FUNDAE.

10. Revisión y mejora continua

La política de ciberseguridad no es un documento estático. Este apartado establece la cadencia de revisión (mínimo anual para una PYME, trimestral para empresas con mayor exposición), los criterios que obligan a una revisión extraordinaria (incidente grave, cambio normativo, incorporación de nuevos sistemas) y el proceso de aprobación de las actualizaciones.

Qué aprueba la dirección y qué ejecuta IT

Uno de los errores más habituales al redactar políticas de ciberseguridad es dejar toda la responsabilidad en el equipo técnico. La NIS2 es explícita: los órganos de dirección deben aprobar las medidas de gestión de riesgos de ciberseguridad y son responsables de su incumplimiento.

En la práctica, esto implica esta división de trabajo:

La dirección aprueba:

  • La declaración de alcance y el compromiso con la política
  • El nivel de riesgo aceptable para la empresa
  • El presupuesto asignado a medidas de seguridad
  • Los objetivos de RTO y RPO del plan de continuidad
  • La política de formación y sus recursos

IT implementa:

  • Los controles técnicos (antivirus, firewall, backups, MFA)
  • Los procedimientos operativos (gestión de cuentas, parches, incidentes)
  • El inventario de activos y su clasificación
  • Las auditorías técnicas y los informes de estado para dirección

Sin firma de dirección, la política no tiene peso en una inspección. Sin implementación técnica, la política es solo un PDF sin efecto real.

Cómo alinear tu política con la NIS2

Si tu empresa está en el ámbito de la NIS2 —más de 50 empleados o más de 10 millones de facturación en sectores como energía, salud, transporte, infraestructura digital o servicios financieros— los diez apartados descritos arriba cubren directamente los requisitos del artículo 21. Pero hay tres elementos adicionales específicos de la NIS2 que la política debe recoger:

  • Registro de incidentes: documentación de todos los incidentes con su clasificación, impacto y medidas tomadas. Es el historial que las autoridades pueden requerir en una inspección.
  • Evaluación de la eficacia: procedimiento para medir si las medidas funcionan: tests de phishing simulado, auditorías técnicas, resultados de restauración de backups.
  • Criptografía: política sobre el uso de cifrado en comunicaciones y almacenamiento de datos sensibles. En términos prácticos: qué datos se cifran, con qué estándar y quién gestiona las claves.

Para profundizar en el alcance y los plazos de la NIS2, consulta nuestra guía completa sobre la directiva NIS2 y cómo afecta a las empresas españolas.

Errores frecuentes al redactar una política de ciberseguridad

Redactar la política sin análisis de riesgos previo. El resultado es un documento genérico que no refleja los activos reales ni las amenazas concretas de la empresa. Una política así no supera ninguna auditoría y no protege de nada.

Dejar apartados sin responsable nominado. Frases como “el departamento correspondiente se encargará” son inaceptables. Si no hay un nombre —o al menos un rol definido— asociado a cada obligación, nadie se siente responsable y nadie actúa.

No revisar la política tras cambios en la infraestructura. Migrar a la nube, añadir un nuevo ERP o incorporar trabajo remoto masivo cambia el perfil de riesgo de la empresa. Una política redactada antes de esos cambios protege una empresa que ya no existe.

Equiparar la política con el cumplimiento. Tener el documento firmado no significa que las medidas estén implementadas. El error más caro es creer que el papel cubre la realidad. Las inspecciones de la AEPD y las investigaciones posteriores a un incidente revisan si las medidas descritas en la política se aplicaban de verdad.

No incluir a proveedores en el alcance. Un ataque a través de un proveedor con acceso remoto a los sistemas es tan grave como un ataque directo. Si la política no menciona la cadena de suministro, hay un hueco crítico en la cobertura.

Si quieres una revisión independiente del estado de seguridad de tu empresa, la auditoría de ciberseguridad es el primer paso para saber dónde estás realmente antes de redactar o revisar ningún documento.

Preguntas frecuentes sobre política de ciberseguridad

¿Es obligatorio tener una política de ciberseguridad en España?

Para empresas afectadas por la NIS2 (más de 50 empleados en sectores críticos), la política de ciberseguridad es un requisito explícito del artículo 21. Para el resto de empresas no existe obligación legal directa, pero la AEPD y el CNI recomiendan disponer de ella como parte del cumplimiento del RGPD y las buenas prácticas de seguridad.

¿Cuánto tiempo lleva redactar una política de ciberseguridad?

Una política básica para una PYME de 20-50 empleados requiere entre 2 y 4 días de trabajo real: un día para el análisis de riesgos inicial, uno o dos días para redactar los apartados y un día para revisión y aprobación por dirección. INCIBE ofrece plantillas gratuitas que reducen el tiempo de redacción significativamente.

¿Qué diferencia hay entre una política de ciberseguridad y un plan de seguridad?

La política de ciberseguridad es el documento estratégico que establece qué se protege, por qué y quién es responsable. El plan de seguridad detalla cómo se implementan esas decisiones: herramientas, procedimientos, calendarios y controles técnicos. La política la aprueba la dirección; el plan lo ejecuta IT.

Si tu empresa no tiene todavía una política de ciberseguridad —o la que tiene no se ha revisado en más de dos años—, es el momento de ponerla al día. En IBERSYA ayudamos a empresas de entre 20 y 100 empleados a redactar su política, implementar los controles técnicos necesarios y mantenerlos operativos. Cuéntanos tu situación.

Recursos relacionados

Siguiente paso si quieres llevar este tema al entorno real de tu empresa

Servicio Ver servicio relacionado Siguiente paso práctico para llevar este tema al entorno real de la empresa. BOFU NIS2 en España Riesgos, alcance y plan de adecuación. BOFU SOC gestionado para pymes Vigilancia, respuesta y continuidad proporcionada.

¿Necesitas ayuda con esto?

Cuéntanos tu situación y te asesoramos sin compromiso.

Teléfono 665 87 93 46
Horario Lunes a Viernes: 8:00 - 20:00
¡Te llamamos!
¿Te llamamos?

Déjanos tu teléfono y te contactamos en menos de 1 hora.

Al enviar aceptas nuestra política de privacidad.