Field notes

Cómo redactar políticas que la gente realmente cumple

Porque «de conformidad con los requisitos legales aplicables…» no es como hablan las personas. Por tanto, sus políticas no deberían incluir esto.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy5 min de lectura
How to Write Policies People Actually Follow

(Porque «de conformidad con los requisitos legales aplicables…» no es así como habla la gente.)

Lo has visto cien veces.La Política de Seguridad de la Informaciónque vive en SharePoint y nadie ha abierto desde 2019.La Política de Uso Aceptable que empieza con «Queda estrictamente prohibido…» y termina con un suspiro.El PDF de 12 páginas que te pasa la auditoría pero no significa nada para las personas a las que se supone que debe guiar.

Seamos honestos: la mayoría de las políticas fracasan no porque a la gente no le importe, sino porque están escritas para auditores, no para personas.

Si tu objetivo es que la gente realmente siga una política, y no solo que la reconozca una vez al año, aquí tienes cómo solucionarlo.

1. Recuerda por qué existen las políticas

Una política no es un artefacto de cumplimiento. Es una brújula de decisiones.

Existe para garantizar que las personas actúen de forma coherente cuando nadie las observa.

Cuando comienzas un proyecto de política con la frase:

«Necesitamos esto para ISO»,

ya has perdido.

La mentalidad correcta es:

«Necesitamos esto para que la gente deje de adivinar qué se espera de ella».

Ese pequeño cambio (de orientado al auditor a orientado al comportamiento) lo cambia todo en cuanto a cómo redactas, estructuras y mantienes tus políticas.

2. Deja de escribir para el auditor

Si tu primera frase incluye «de conformidad con las obligaciones legales, regulatorias y contractuales aplicables», enhorabuena: acabas de hacer que todo el mundo deje de leer.

Eso no es claridad, es camuflaje.

Escribe como si se lo explicaras a un nuevo compañero el primer día.

  • Usa frases cortas.
  • Usa verbos activos.
  • Di «tú» o «nosotros», no «el usuario» o «la organización».

Ejemplo:

❌ Todos los empleados están obligados a garantizar la protección de la información sensible de conformidad con las obligaciones internas y externas.
✅ Protege los datos sensibles. No los compartas fuera de la empresa sin autorización.

¿Ves? Sigue siendo conforme. Pero ahora suena a una persona hablando con otra persona.

3. Conoce la diferencia: política ≠ procedimiento ≠ proceso

Esta confusión arruina la mitad de todos los proyectos de documentación.

Aquí tienes el desglose:

NivelPropósitoEjemploPolíticaDefine la regla (el «qué»)«Toda información debe clasificarse antes de almacenarse».ProcedimientoExplica cómo aplicarla«Usa el modelo de clasificación de 4 niveles de la empresa».ProcesoDescribe el flujo operativo«El sistema etiqueta automáticamente los archivos por nivel de clasificación».

Deja de meter procedimientos dentro de las políticas.

Las políticas te dicen qué hacer, no cómo hacer clic en el botón.

4. Asigna responsabilidad o verás cómo muere

Toda política necesita un nombre junto a ella, alguien responsable de mantenerla viva.

De lo contrario, se irá descomponiendo lentamente en un disco compartido hasta que la próxima auditoría ISO la desentierre.

Gobernanza mínima viable:

  • Propietario de la política – mantiene el contenido actualizado.
  • Aprobador – valida y da el visto bueno.
  • Frecuencia de revisión – generalmente anual, o cuando algo cambia.

Si una política no nombra a un propietario, es un zombie. Existe, pero no está viva.

5. Mantenla corta (realmente corta)

Si tu Política de Seguridad de la Información tiene 12 páginas, no es una política, es un ensayo.

Apunta a una página por tema.

Y por el amor a la claridad: nada de voz pasiva, nada de relleno, nada de lenguaje jurídico.

Ejemplo rápido de reescritura:

❌ «La organización se reserva el derecho de monitorizar el uso de internet por parte de los empleados según lo considere oportuno».
✅ «Monitorizamos la actividad de red para mantener los sistemas seguros. No uses internet corporativo para asuntos personales».

Una línea. Clara, transparente, defendible.

6. Dale un hogar (y visibilidad)

Las políticas mueren en PDFs.

Dales vida:

  • Publícalas en la intranet.
  • Enlázalas desde el proceso de incorporación.
  • Convierte las reglas clave en infografías o publicaciones en Teams.
  • Haz un test breve una vez al año.

No se trata de campañas de concienciación, sino de repetición y visibilidad.

La gente no puede seguir lo que nunca ve.

7. Usa el marco de política de 6 elementos

Esta es la estructura que usamos en formación y en proyectos reales.

Toda buena política debe incluir:

  1. Propósito – Por qué existe.
  2. Alcance – A quién y a qué se aplica.
  3. Principios / Reglas – Qué debe hacerse.
  4. Responsabilidades – Quién hace qué.
  5. Excepciones / Aplicación – Cómo gestionar las desviaciones.
  6. Referencias – Procedimientos, normas o directrices vinculados.

Eso es todo.

Sin preámbulos, sin jerga. Solo un documento limpio, auditable y legible.

👉 Si tu plantilla de política no incluye esos seis elementos, empieza de nuevo.

8. Hazla humana

Si quieres que la gente siga las políticas, necesita reconocerse en ellas.

Usa su lenguaje.

Muestra empatía.

Y recuerda: el «tono de voz» también es gobernanza.

Puedes ser serio sin ser robótico.

Puedes ser conforme sin ser aburrido.

Porque en última instancia, el cumplimiento no es cuestión de documentos, sino de personas haciendo lo correcto cuando nadie las observa.

9. Hoja de referencia rápida para redactar políticas

✅ Haz❌ No hagasEscribe para personasEscribir para auditoresMantenla en menos de 1 páginaCopiar y pegar texto de ISOUsa verbos, no sustantivosEsconderte tras «medidas apropiadas»Asigna responsabilidadDejarlo en manos de «la organización»Revísala cada añoDejarla pudrir hasta la próxima auditoría

10. La cultura supera al cumplimiento

Puedes tener la mejor política del mundo; si los líderes la ignoran, todos los demás también lo harán.

Las políticas no imponen la cultura; la reflejan.

Así que antes de publicar tu próxima política, hazte una pregunta:

«¿La seguiría yo personalmente?»

Si la respuesta es «no del todo», reescríbela.

Si tu política necesita un agente de policía para funcionar, no es una política, es una amenaza.

👇 Conclusión

Escribir políticas que la gente realmente siga no es cuestión de creatividad, sino de claridad, responsabilidad y respeto por el lector.

¿La buena noticia? Puedes aprender la estructura, el tono y el formato que funcionan.

Eso es exactamente lo que enseñamos en:

Y sí, incluimos un Pack de Plantillas de Política que usamos en proyectos de consultoría reales.

👉 Contacta con el equipo y únete a la próxima cohorte en directo

¿Quieres recibir la próxima nota de campo en tu bandeja de entrada?

El boletín The GRC Brief. Cinco enlaces y un análisis breve, cada lunes a las 8h CET. Tres minutos de lectura.