Política de uso aceptable - PYME

La Política de uso aceptable (Política de uso aceptable) – versión PYME (documento P03S) está diseñada para establecer normas claras, prácticas y aplicables para el uso responsable de los recursos informáticos proporcionados por la empresa en pequeñas y medianas empresas (pymes). Su objetivo principal es garantizar que todas las personas, incluidos empleados, contratistas, personal temporal e incluso proveedores terceros de servicios, comprendan plenamente sus obligaciones y expectativas de comportamiento al acceder a los sistemas de información de la organización, ya sea en las instalaciones, de forma remota o en un entorno híbrido. Esta política está adaptada explícitamente para pymes, como se refleja en el uso de roles de gestión generalizados como el Director General en lugar de responsables especializados de TI o de seguridad, lo que la hace accesible para organizaciones sin equipos de TI o de seguridad internos dedicados, pero que buscan un cumplimiento riguroso con ISO/IEC 27001:2022. De forma integral, la Política de uso aceptable define qué constituye un uso aceptable frente a un uso no aceptable de dispositivos propiedad de la empresa, dispositivos personales (Trae tu propio dispositivo (BYOD)), redes, plataformas en la nube y todas las herramientas de software en uso. Detalla ampliamente mecanismos de gobernanza, como inventarios de hardware y protocolos aprobados y software aprobado, requisitos de aprobación previa y configuración segura de BYOD, y el mantenimiento de archivos de registro de actividad para rastrear infracciones o incidentes. El seguimiento lo realiza el Gestor de TI o un proveedor externo autorizado, pero siempre dentro de los límites de los intereses empresariales legítimos y las leyes de privacidad aplicables. Este enfoque equilibra seguridad, privacidad de los datos y viabilidad organizativa. La política también establece un marco integral de tratamiento de riesgos y de gestión de excepciones: riesgos como infección por software malicioso, violación de la seguridad de los datos y daño reputacional derivados del uso indebido se mitigan mediante controles tecnológicos en capas y programas de concienciación. Las solicitudes de excepción, como el uso de herramientas no aprobadas, deben documentarse formalmente, someterse a evaluación de riesgos, ser limitadas en el tiempo y aprobarse explícitamente, normalmente por el Director General o el proveedor de TI. El fuerte enfoque en documentación, desencadenantes de revisión y revalidación anual de la política garantiza que la política siga siendo eficaz a medida que evolucionan las tecnologías, las amenazas y los requisitos legales. Las disposiciones de aplicación y cumplimiento son sólidas. Todas las infracciones sospechadas u observadas deben notificarse con prontitud, con un escalado claro al Gestor de TI o al Director General. Las medidas de aplicación pueden incluir bloqueo del sistema o del acceso, advertencias verbales o por escrito e incluso terminación del contrato tanto para el personal como para los proveedores terceros de servicios. La naturaleza contractualmente vinculante de la política para terceros garantiza una aplicación coherente de las normas de seguridad en toda la cadena de suministro de la organización. Por último, la integración de la Política de uso aceptable con otras políticas esenciales para pymes —Política de control de acceso, Política de concienciación y formación en seguridad de la información, Política de teletrabajo, políticas de protección de datos y Política de respuesta a incidentes (P30)— garantiza una cobertura holística de las responsabilidades de seguridad. El resultado es un marco fácil de implementar, alineado con ISO 27001:2022, para empresas que buscan cumplimiento y reducción del riesgo incluso sin grandes departamentos de TI o de seguridad.