IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Consultoría

Políticas de seguridad que sí se cumplen (no las de 40 páginas que nadie lee)

14/07/2026 4 min de lectura Rubén Espinoza

Casi toda empresa tiene, en algún cajón digital, una "política de seguridad de la información": cuarenta páginas de lenguaje solemne que alguien firmó al entrar y nadie ha vuelto a abrir. Existe, cumple el requisito de "tener una política"… y no cambia el comportamiento de nadie. Es cumplimiento de papel: la ilusión de una regla sin la realidad de una regla. Una política que nadie cumple no solo es inútil —es peligrosa, porque da una falsa sensación de estar protegido—.

Por qué las políticas fracasan

Las razones se repiten. La política es demasiado larga, así que nadie la lee. Es irreal —pide contraseñas imposibles de recordar, prohíbe herramientas que la gente necesita— así que la gente la evade para poder trabajar (y de paso nace el shadow IT). Explica el qué pero no el porqué, así que se siente arbitraria y se ignora. Y no tiene dueño ni se refuerza, así que envejece pegada en un servidor mientras la realidad cambia. Una política que choca con cómo trabaja la gente siempre pierde contra cómo trabaja la gente.

Qué hace que una política sí se cumpla

  • Corta y clara: si no se puede leer en unos minutos, no se leerá. Mejor un puñado de reglas nítidas que un tratado.
  • Realista: que se pueda cumplir sin heroísmos ni sabotear el trabajo. Una regla imposible no se cumple a medias; se ignora del todo.
  • Con el porqué: la gente cumple lo que entiende. "Usa gestor de contraseñas porque así no reutilizas ni memorizas claves débiles" pesa más que un mandato seco.
  • Comunicada y reforzada: una política no se "publica", se enseña, se recuerda y se ejemplifica desde arriba.
  • Con dueño y revisión: alguien responsable de mantenerla viva y ajustarla cuando la realidad cambia.

Las políticas mínimas que casi todos necesitan

No hace falta un manual; hace falta cubrir lo que de verdad mueve la aguja. Para la mayoría de las organizaciones, el conjunto mínimo útil es un puñado corto: una política de contraseñas y MFA (cómo se autentican y por qué el segundo factor), una de uso aceptable (qué se puede y qué no con los equipos y la red), una de manejo de datos (qué información es sensible y cómo se trata, ligada a la clasificación), una de dispositivos (equipos propios y personales, el BYOD), y una de qué hacer ante un incidente (a quién avisar y cómo, antes de que ocurra). Cinco reglas claras que la gente conoce y sigue protegen más que cincuenta que nadie recuerda. Empieza por esas, bien hechas, antes de soñar con un tratado.

Menos reglas, más cumplidas

El giro mental que lo cambia todo: el objetivo no es tener políticas, es cambiar comportamientos. Desde esa óptica, tres reglas que la gente de verdad sigue valen más que cuarenta que ignora. Vale más una política de contraseñas de un párrafo que todos respetan que un manual exhaustivo que vive en el olvido. El cumplimiento real no se mide en páginas escritas, sino en conductas cambiadas.

La idea que se queda

Una política de seguridad que nadie cumple es peor que ninguna, porque simula protección. Las que sí se cumplen son cortas, realistas, explican el porqué, se comunican y tienen dueño —y siempre ganan a los tratados de cuarenta páginas—. El objetivo no es tener políticas, sino cambiar comportamientos, y ahí menos es más. La cara más humana del cumplimiento en cristiano.

#políticas de seguridad #cumplimiento #concientización #gobierno #consultoría

Preguntas frecuentes

¿Por qué las políticas de seguridad no se cumplen?

Por razones que se repiten: son demasiado largas y nadie las lee; son irreales, piden contraseñas imposibles o prohíben herramientas que la gente necesita, así que se evaden para poder trabajar y nace el shadow IT; explican el qué pero no el porqué, así que se sienten arbitrarias; y no tienen dueño ni se refuerzan, así que envejecen olvidadas. Una política que choca con cómo trabaja la gente siempre pierde contra cómo trabaja la gente.

¿Qué hace que una política de seguridad sí se cumpla?

Que sea corta y clara (si no se lee en unos minutos, no se lee), realista (que se pueda cumplir sin heroísmos ni sabotear el trabajo), que explique el porqué (la gente cumple lo que entiende), que se comunique y refuerce en lugar de solo publicarse, y que tenga un dueño responsable de mantenerla viva. El objetivo no es tener políticas, sino cambiar comportamientos, y desde esa óptica tres reglas que la gente sigue valen más que cuarenta que ignora.

¿Es mejor tener una política de seguridad extensa o no tener ninguna?

Una política que nadie cumple es peor que ninguna, porque da una falsa sensación de estar protegido: crees que tienes una regla cuando solo tienes un papel. Es preferible un puñado de reglas nítidas que la gente de verdad respeta que un tratado exhaustivo que vive en el olvido. El cumplimiento real no se mide en páginas escritas, sino en conductas cambiadas.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Consultoría

Adopción tecnológica: por qué la mejor herramienta fracasa si nadie la usa
Comprar TI sin sobreprecio: cómo evaluar proveedores y cotizaciones
Comprar y adoptar TI: el dinero (y el valor) están alrededor de la compra