certmundo.
es‑mx
Seguridad en Redes: Protege tu Infraestructura Digital9/9

6 min de lectura

¿Cómo construir una política de seguridad en redes para tu organización?

Una política de seguridad en redes es un documento oficial que define las reglas, responsabilidades y procedimientos para proteger la infraestructura digital de tu organización.

Tu empresa sin política de seguridad es como una casa sin llave

Imagina que contratas a un nuevo empleado en tu empresa. Le das acceso al correo, al servidor de archivos y al sistema de facturación. Nadie le explica qué puede hacer y qué no. Un mes después, comparte una contraseña por WhatsApp "para agilizar el trabajo". No lo hace con mala intención: simplemente nadie le dijo que estaba prohibido. Ese vacío de información es exactamente lo que una política de seguridad resuelve.

Sin un documento formal, cada persona toma decisiones de seguridad según su criterio personal. El resultado es caos: unos usan contraseñas de cuatro dígitos, otros conectan dispositivos personales a la red corporativa, y nadie sabe a quién reportarle un incidente. Una política bien escrita elimina esa ambigüedad desde el primer día.

El Marco DESDE: cinco secciones que no pueden faltar

Una política de seguridad efectiva no es una lista de prohibiciones. Es un sistema vivo que guía decisiones. Usa el Marco DESDE para estructurarla:

  • Definiciones y alcance
  • Estándares y controles técnicos
  • Situaciones de riesgo y respuesta
  • Deberes y responsabilidades
  • Evaluación y actualización

Cada sección cumple una función específica. Juntas forman un documento que cualquier empleado puede consultar y cualquier auditor puede verificar.

Sección 1: Definiciones y alcance

Aquí defines a quién aplica la política y qué activos protege. Sé específico. No escribas "todos los sistemas de la empresa". Escribe: "Esta política aplica a todos los colaboradores, proveedores y prestadores de servicios que accedan a la red corporativa de [nombre de la empresa], incluyendo equipos de escritorio, laptops, servidores, dispositivos móviles y servicios en la nube contratados por la organización."

También define términos clave. Por ejemplo, ¿qué es un "incidente de seguridad" para tu empresa? ¿Qué es "información confidencial"? Estos acuerdos básicos evitan malentendidos costosos.

Ejemplo práctico: Una PyME distribuidora en Monterrey que usa el SAT para facturación electrónica debe incluir en su alcance el acceso al portal del SAT, las credenciales FIEL y los archivos XML de comprobantes fiscales. Esos datos tienen valor legal y fiscal. Perderlos o exponerlos genera consecuencias reales.

Sección 2: Estándares y controles técnicos

Esta sección traduce las buenas prácticas en reglas concretas. No digas "usar contraseñas seguras". Escribe reglas medibles:

  • Las contraseñas deben tener mínimo 12 caracteres, combinar letras, números y símbolos.
  • Se debe activar autenticación de dos factores en todos los accesos remotos.
  • Las actualizaciones de sistema operativo deben instalarse dentro de los 72 horas de su publicación.
  • Está prohibido conectar dispositivos de almacenamiento USB no autorizados a equipos corporativos.

Incluye también los controles de red: segmentación, uso de VPN, configuración de firewall y política de acceso a redes WiFi. Si tu empresa usa servicios en la nube como Microsoft 365, Google Workspace o AWS, especifica las reglas de acceso y configuración mínima.

Ejemplo práctico: FEMSA, con operaciones en múltiples estados, necesita que sus políticas de acceso remoto sean uniformes en todas las sucursales. Un estándar claro evita que la oficina de Guadalajara tenga configuraciones más laxas que la de Ciudad de México.

Sección 3: Situaciones de riesgo y respuesta

Aquí describes qué hacer cuando algo sale mal. Esta sección conecta tu política con el proceso de respuesta a incidentes que ya conoces del Marco PICERC.

Define al menos tres escenarios:

  1. Sospecha de acceso no autorizado: El empleado notifica al responsable de TI en menos de una hora. No apaga el equipo. Espera instrucciones.
  2. Pérdida o robo de dispositivo corporativo: El empleado reporta en menos de cuatro horas. El área de TI activa el borrado remoto si el dispositivo lo permite.
  3. Correo de phishing recibido: El empleado no hace clic, reenvía el correo al buzón de seguridad y lo elimina de su bandeja.

Cada escenario debe tener un responsable, un tiempo máximo de respuesta y un canal de comunicación definido.

Sección 4: Deberes y responsabilidades

Una política sin dueño es papel mojado. Define claramente quién hace qué.

Rol Responsabilidad principal
Director General Aprobar y financiar la política
Responsable de TI Implementar controles técnicos
Responsable de Datos Personales Garantizar cumplimiento con la LFPDPPP
Cada colaborador Seguir las reglas y reportar incidentes
Proveedores externos Firmar acuerdo de confidencialidad y cumplir la política

En México, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) exige designar a un responsable de datos personales. Si tu empresa maneja información de clientes, este rol no es opcional: es una obligación legal ante el INAI.

La STPS también establece obligaciones de seguridad en entornos de trabajo que incluyen sistemas digitales. Documentar los deberes de cada rol te protege ante auditorías y disputas laborales.

Sección 5: Evaluación y actualización

Una política que nunca se revisa queda obsoleta en meses. Establece un ciclo formal:

  • Revisión anual obligatoria: El responsable de TI evalúa si los controles siguen siendo adecuados.
  • Revisión inmediata tras un incidente grave: Cualquier brecha de seguridad activa una revisión de la sección afectada.
  • Revisión al contratar nuevos servicios o tecnologías: Si tu empresa adopta un nuevo ERP o migra a la nube, la política se actualiza antes de la implementación.

Registra la fecha de cada revisión, quién la realizó y qué cambios se hicieron. Ese historial es evidencia de buenas prácticas ante cualquier auditoría regulatoria.

Errores comunes al redactar políticas de seguridad

Muchas empresas cometen los mismos errores. Evítalos desde el inicio:

Error 1: Copiar una política genérica de internet. Una política de seguridad copiada de otro país o empresa no considera tus sistemas reales, tu sector ni el marco legal mexicano. Personaliza cada sección.

Error 2: Redactarla solo en lenguaje técnico. Si el personal de ventas no entiende la política, no la va a seguir. Usa lenguaje claro. Guarda el lenguaje técnico para los anexos.

Error 3: No capacitar al equipo. Una política que vive en un cajón no protege a nadie. Dedica al menos una sesión de capacitación al año para repasar los puntos clave con todos los colaboradores.

Error 4: No incluir a los proveedores. Liverpool, por ejemplo, trabaja con decenas de proveedores de tecnología. Si un proveedor sufre un incidente y tiene acceso a tu red, tú también estás en riesgo. Incluye a proveedores en el alcance y pídeles firmar un acuerdo de cumplimiento.

Error 5: Confundir la política con el manual de procedimientos. La política dice qué se debe hacer y por qué. Los procedimientos dicen cómo hacerlo paso a paso. Separa ambos documentos para mantener la política legible y los procedimientos detallados.

Lo que aprendiste en este curso

A lo largo de estas nueve lecciones construiste una visión completa de la seguridad en redes. Partiste de los fundamentos: qué es una red, cómo fluye la información y por qué los atacantes buscan esos flujos. Avanzaste por los modelos OSI y TCP/IP, los tipos de amenazas más comunes en México, el diseño de redes seguras con firewalls y DMZ, el cifrado de comunicaciones, los sistemas de detección de intrusos, y la respuesta estructurada a incidentes con el Marco PICERC.

Hoy cerraste el ciclo con la pieza que une todo: la política de seguridad. Sin ella, los controles técnicos son islas desconectadas. Con ella, tu organización tiene una dirección clara, responsabilidades definidas y un proceso para mejorar continuamente.

Tus próximos pasos concretos

No esperes el momento perfecto para empezar. Haz esto esta semana:

  1. Descarga o crea un documento en blanco con las cinco secciones del Marco DESDE.
  2. Llena la sección de alcance con los sistemas y personas que participan en tu red actual.
  3. Identifica al responsable de datos personales en tu organización o propón nombrarlo si no existe.
  4. Agenda una reunión de 30 minutos con tu equipo de TI o con la dirección para revisar los estándares mínimos de contraseñas y acceso remoto.
  5. Establece una fecha de revisión en el calendario: el mismo día del año que año, repasas la política completa.

La seguridad perfecta no existe. Pero una organización con política documentada, equipo capacitado y procesos claros es significativamente más difícil de comprometer que una que improvisa.

La política de seguridad no es el final de tu trabajo: es la estructura que hace posible que todo lo demás funcione.

Puntos clave

  • El Marco DESDE — Definiciones, Estándares, Situaciones de riesgo, Deberes y Evaluación — es una estructura repetible para crear políticas de seguridad completas y auditables.
  • En México, la LFPDPPP obliga a designar un responsable de datos personales; incluirlo en tu política no es opcional, es un requisito legal ante el INAI.
  • Una política de seguridad sin capacitación al equipo es papel mojado: la comunicación y la formación son tan importantes como el documento mismo.
  • Los proveedores externos que acceden a tu red deben firmar un acuerdo de cumplimiento e incluirse en el alcance de tu política, porque una brecha en su lado también te afecta a ti.
  • La seguridad en redes es un ciclo continuo: diseñas controles, los documentas en una política, respondes a incidentes con el Marco PICERC y revisas la política para mejorar en cada vuelta.

Comparte esta lección:

WhatsAppLinkedIn
Ir al examen →← Lección anterior