Políticas TI mínimas para pymes: lo que debes documentar sí o sí

Políticas TI mínimas para pymes: lo que debes documentar sí o sí

Una guía práctica para que tu pyme deje de depender de “lo que sabe el informático” y tenga reglas claras y documentadas en TI.

2 de marzo de 2025

En muchas pymes la tecnología funciona “mientras no falle”. No hay manuales, no hay reglas claras y todo depende de lo que sabe una persona: el informático interno, el sobrino que “cacha de computadores” o el proveedor externo. El problema aparece cuando algo se cae, alguien se va de la empresa o ocurre un incidente de seguridad.

Ahí se hace evidente lo que faltaba: políticas TI claras y documentadas.

En este artículo veremos, en lenguaje simple, cuáles son las políticas mínimas que tu pyme debería tener por escrito sí o sí, cómo estructurarlas y por qué son clave para la continuidad del negocio, la seguridad y el cumplimiento normativo.

1. ¿Qué es una política TI y por qué tu pyme la necesita?

Una política TI es un conjunto de reglas y criterios que definen cómo se usa, protege y administra la tecnología dentro de tu empresa. No es un documento técnico lleno de jerga; es un acuerdo formal que responde preguntas como:

  • ¿Quién puede acceder a qué sistemas?
  • ¿Cómo se crean y se cierran cuentas de usuario?
  • ¿Qué se hace si se pierde un notebook o un celular corporativo?
  • ¿Cada cuánto se hacen respaldos y quién verifica que funcionen?

Sin políticas TI, tu empresa queda expuesta a:

  • Riesgos de seguridad: accesos no autorizados, filtración de datos, malware, ransomware.
  • Dependencia de personas clave: si se va el informático, se va todo el conocimiento.
  • Problemas legales: mal manejo de datos personales, incumplimiento de contratos o normativas.
  • Pérdida de continuidad: nadie sabe qué hacer cuando se cae un sistema crítico.

Con políticas TI mínimas, en cambio, logras:

  • Orden y trazabilidad: todos saben qué se puede y qué no se puede hacer.
  • Menos improvisación: hay pasos claros para incidentes y tareas recurrentes.
  • Mejor seguridad: se reducen los errores humanos y accesos indebidos.
  • Base para crecer: cuando la empresa crece, las reglas ya existen y solo se ajustan.

2. Cómo estructurar tus políticas TI (sin volverte loco)

Antes de entrar al detalle, es útil tener un esquema simple. Para una pyme, lo recomendable es partir con un “Manual de Políticas TI” que agrupe varios capítulos.

Cada política debería incluir, al menos:

  1. Objetivo: qué busca resolver (por ejemplo: “proteger la información de clientes”).
  2. Alcance: a quién aplica (por ejemplo: “todos los colaboradores y proveedores con acceso a sistemas de la empresa”).
  3. Responsables: quién administra, aprueba y supervisa.
  4. Reglas concretas: lo que se debe y no se debe hacer.
  5. Procedimientos básicos: pasos mínimos para aplicar la política (por ejemplo, cómo solicitar un usuario nuevo, cómo reportar un incidente).

No necesitas un documento de 100 páginas. Para una pyme, 10 a 25 páginas bien claras pueden ser más que suficientes para cubrir lo esencial.

3. Política de uso aceptable de recursos tecnológicos

Esta es la base. Define cómo se pueden usar los equipos, redes y sistemas de la empresa.

¿Qué debe incluir?

  • Equipos y dispositivos

    • Los computadores, notebooks, celulares y tablets entregados por la empresa son para uso laboral.
    • Se define si se permite o no el uso personal limitado (por ejemplo, revisar correo personal en horario de colación).
    • Prohibición de instalar software sin autorización del área TI o del proveedor responsable.

  • Internet y redes

    • Qué tipo de sitios están prohibidos (por ejemplo, apuestas, contenido ilegal, sitios de descargas piratas).
    • Uso de Wi-Fi corporativo vs. Wi-Fi de invitados.
    • Prohibición de compartir claves de Wi-Fi corporativo con personas externas.

  • Correo electrónico corporativo

    • Uso solo para fines laborales.
    • Prohibición de enviar información sensible a correos personales (Gmail, Hotmail, etc.).
    • Reglas sobre reenvío automático de correos a cuentas externas.

  • Aplicaciones de mensajería

    • Definir si se permite usar WhatsApp, Teams, Slack u otras herramientas para temas laborales.
    • Reglas sobre compartir información sensible por estos canales.

  • Propiedad de la información

    • Todo lo que se crea con recursos de la empresa (documentos, bases de datos, informes) es propiedad de la empresa.

Por qué es crítica

Sin esta política, cada persona define sus propias reglas. Eso abre la puerta a:

  • Fugas de información por correo personal.
  • Descarga de software pirata o malicioso.
  • Uso de redes inseguras que exponen datos de clientes.

4. Política de contraseñas y acceso a sistemas

La mayoría de los incidentes de seguridad en pymes se deben a malas prácticas con contraseñas: claves simples, repetidas o compartidas.

Elementos mínimos a documentar

  • Requisitos de las contraseñas

    • Largo mínimo (por ejemplo, 10 caracteres).
    • Mezcla de letras, números y símbolos.
    • Prohibición de usar datos obvios: RUT, fecha de nacimiento, nombre de la empresa.

  • Frecuencia de cambio

    • Cada 90 días (o el periodo que definas), con obligación de no repetir las últimas X contraseñas.

  • Gestión de accesos

    • Cómo se solicita un usuario nuevo.
    • Quién autoriza el acceso a cada sistema.
    • Cómo se documenta qué permisos tiene cada rol (ventas, contabilidad, gerencia, etc.).

  • Cierre de accesos

    • Plazo máximo para desactivar usuarios cuando alguien renuncia o es desvinculado (por ejemplo, el mismo día).
    • Procedimiento para recuperar accesos cuando alguien olvida su contraseña.

  • Prohibiciones claras

    • No compartir contraseñas con compañeros, jefes ni proveedores.
    • No anotar contraseñas en papeles visibles o archivos sin protección.

Buenas prácticas adicionales

  • Uso de doble factor de autenticación (2FA) en sistemas críticos (correo, ERP, CRM, banca en línea, etc.).
  • Uso de gestores de contraseñas confiables para evitar que los usuarios inventen claves débiles.

5. Política de respaldo (backups) y recuperación de información

Si mañana se pierde tu servidor, tu notebook o tu sistema en la nube, ¿cuánta información perderías? ¿Horas, días, meses de trabajo?

La política de respaldo define cómo se protege la información para poder recuperarla ante fallas, errores humanos o ataques.

Lo mínimo que debes definir

  • Qué se respalda

    • Bases de datos de sistemas de gestión (ERP, CRM, contabilidad, RRHH).
    • Carpetas compartidas con documentos críticos (contratos, propuestas, informes).
    • Correos electrónicos, si son relevantes para la operación.

  • Cada cuánto se hace el respaldo

    • Diario, semanal o según criticidad.
    • Diferenciar entre respaldos completos y respaldos incrementales.

  • Dónde se guarda el respaldo

    • En servidores locales, en la nube (AWS, Azure, Google Cloud) o mixto.
    • Regla básica: al menos una copia fuera de la oficina (offsite) para desastres físicos.

  • Quién es responsable

    • Persona o proveedor encargado de ejecutar y monitorear los respaldos.

  • Pruebas de restauración

    • Cada cierto tiempo (por ejemplo, trimestralmente) se debe probar que los respaldos se pueden restaurar.
    • Documentar la fecha de las pruebas y el resultado.

Por qué es vital documentarlo

Muchas pymes creen que “tienen respaldo” hasta el día que necesitan recuperar algo y descubren que:

  • El respaldo estaba mal configurado.
  • Nunca se probó la restauración.
  • Solo se respaldaba una parte de la información.

Con una política clara, reduces el riesgo de perder información clave de clientes, facturación o contratos.

6. Política de seguridad de la información y ciberseguridad

Esta política define cómo se protege la información frente a amenazas internas y externas: malware, ransomware, phishing, robo de dispositivos, etc.

Contenidos esenciales

  • Clasificación de la información

    • Información pública (por ejemplo, contenido del sitio web).
    • Información interna (procedimientos, informes internos).
    • Información confidencial (datos de clientes, sueldos, contratos, claves).

  • Protección básica de equipos

    • Uso obligatorio de antivirus y antimalware actualizados.
    • Activar firewall en equipos y servidores.
    • Bloqueo automático de pantalla tras X minutos de inactividad.

  • Gestión de dispositivos móviles

    • Reglas para notebooks y celulares corporativos (encriptación de disco, bloqueo por PIN o biometría).
    • Qué hacer si se pierde o roba un dispositivo (reportar de inmediato, bloqueo remoto, cambio de contraseñas).

  • Uso de dispositivos externos

    • Restricciones para uso de pendrives y discos externos.
    • Escaneo obligatorio con antivirus antes de abrir archivos.

  • Actualizaciones y parches

    • Frecuencia mínima para actualizar sistemas operativos y aplicaciones.
    • Quién es responsable de aplicar parches de seguridad.

  • Concientización de usuarios

    • Capacitación básica anual sobre phishing, correos sospechosos y buenas prácticas.
    • Instrucciones claras: no abrir adjuntos ni links de remitentes desconocidos.

7. Política de gestión de incidentes TI

Los incidentes van a ocurrir: caídas de sistemas, correos sospechosos, archivos borrados, etc. La diferencia está en qué tan preparados están para responder.

Qué debe definir esta política

  • Qué es un incidente TI

    • Ejemplos: virus detectado, acceso no autorizado, pérdida de notebook, caída de sistema crítico, envío de correo con información sensible al destinatario equivocado.

  • Cómo se reporta un incidente

    • Canal oficial: correo, sistema de tickets, teléfono.
    • Datos mínimos a informar: qué pasó, cuándo, en qué equipo o sistema, quién lo detectó.

  • Quién coordina la respuesta

    • Responsable interno o proveedor TI que lidera la atención del incidente.

  • Prioridades de atención

    • Incidentes críticos (afectan facturación, ventas, producción).
    • Incidentes medios (afectan a un área o proceso importante).
    • Incidentes menores (afectan a un usuario individual).

  • Registro y seguimiento

    • Todo incidente debe quedar registrado (aunque parezca pequeño).
    • Documentar causa, acciones realizadas y medidas preventivas.

Tener esta política evita que cada incidente se maneje “a la rápida” y sin aprendizaje. Además, te ayuda a demostrar diligencia ante clientes o auditorías.

8. Política de alta y baja de usuarios y equipos

En muchas pymes, cuando alguien se va, su correo sigue activo meses y nadie sabe cuántos accesos tiene. Eso es un riesgo enorme.

Elementos clave

  • Altas (ingreso de colaboradores)

    • Checklist de lo que se debe crear: correo corporativo, usuario en sistemas, permisos en carpetas.
    • Quién autoriza cada acceso (jefatura directa, gerencia, RRHH).

  • Bajas (salida de colaboradores)

    • Plazo máximo para desactivar accesos (idealmente el mismo día de la desvinculación).
    • Procedimiento para:
      • Desactivar correo y usuarios.
      • Redirigir correos a otra persona responsable.
      • Recuperar equipos y dispositivos.

  • Cambios de rol interno

    • Ajuste de permisos cuando alguien cambia de cargo.
    • Eliminación de accesos que ya no corresponden.

  • Inventario de equipos y licencias

    • Registro de qué equipo tiene cada persona.
    • Registro de licencias de software asignadas.

Documentar esto reduce el riesgo de accesos indebidos por excolaboradores y ayuda a controlar costos de licencias.

9. Política de uso de servicios en la nube y aplicaciones SaaS

Hoy es común que las áreas de negocio contraten herramientas en la nube por su cuenta: CRM, herramientas de marketing, almacenamiento, etc. Sin control, esto genera “sombra TI”: sistemas que nadie centraliza ni protege.

Qué debes definir

  • Aprobación de nuevas herramientas

    • Ningún servicio en la nube que maneje datos de clientes o información interna crítica se puede contratar sin aprobación de gerencia y revisión TI.

  • Criterios mínimos de seguridad

    • El proveedor debe ofrecer:
      • Acceso seguro (HTTPS).
      • Opciones de doble factor de autenticación.
      • Políticas claras de protección de datos.

  • Gestión de cuentas y accesos

    • Quién administra los usuarios.
    • Cómo se revocan accesos cuando alguien se va.

  • Datos y respaldo

    • Cómo se respalda la información que está en la nube.
    • Qué pasa si se decide cambiar de proveedor (exportación de datos).

Con esta política, tu pyme puede aprovechar la nube (AWS, Azure, Google Cloud u otros SaaS) sin perder control ni seguridad.

10. Política de continuidad operacional básica

No necesitas un plan de continuidad tan complejo como una gran corporación, pero sí una política mínima que responda:

“Si se cae X sistema o pasa Y evento, ¿cómo seguimos operando?”

Puntos mínimos a incluir

  • Identificación de procesos críticos

    • Facturación y emisión de documentos tributarios.
    • Ventas y atención de clientes.
    • Producción o prestación de servicios.

  • Sistemas que soportan esos procesos

    • ERP, sistema de ventas, correo, central telefónica, etc.

  • Planes de contingencia simples

    • Alternativas manuales o temporales si el sistema no está disponible (por ejemplo, registro manual de ventas, emisión posterior de facturas).

  • Tiempos máximos de caída aceptables

    • Por ejemplo: “El sistema de facturación no puede estar caído más de 4 horas en horario hábil”.

  • Responsables de decisión

    • Quién decide activar el plan de contingencia.
    • Cómo se comunica al equipo y, si corresponde, a los clientes.

Esta política te obliga a pensar antes del problema y no en medio de la crisis.

11. Política de protección de datos personales y confidencialidad

En Chile, la regulación sobre datos personales se está volviendo cada vez más exigente. Aunque seas pyme, manejar mal los datos de clientes y colaboradores puede traerte problemas legales y de reputación.

Qué debe cubrir

  • Tipos de datos que manejas

    • Datos de clientes: nombre, RUT, contacto, historial de compras.
    • Datos de colaboradores: sueldos, evaluaciones, antecedentes.

  • Finalidad del uso de datos

    • Para qué se usan los datos (facturación, marketing, soporte, etc.).

  • Acceso a datos

    • Quién puede ver qué información.
    • Regla de “mínimo privilegio”: cada persona solo accede a lo que necesita.

  • Transmisión y almacenamiento

    • Cómo se envían datos sensibles (evitar correos sin protección, uso de cifrado cuando corresponda).
    • Dónde se almacenan (servidores propios, nube, sistemas de terceros).

  • Confidencialidad

    • Compromiso de confidencialidad en contratos de trabajo y con proveedores.

  • Retención y eliminación

    • Cuánto tiempo se guardan los datos.
    • Cómo se eliminan de forma segura cuando ya no se necesitan.

Esta política se conecta directamente con tu imagen de marca: muestra a tus clientes que te tomas en serio la protección de su información.

12. Cómo partir: pasos prácticos para implementar tus políticas TI mínimas

Implementar políticas TI no tiene por qué ser un proyecto gigante. Puedes avanzar de forma gradual y ordenada.

Paso 1: Identifica lo crítico para tu negocio

Haz una lista simple:

  • ¿Cuáles son los 3 a 5 procesos más críticos? (por ejemplo, ventas, facturación, producción).
  • ¿Qué sistemas y datos los soportan?

Eso te ayudará a priorizar qué políticas escribir primero.

Paso 2: Define responsables internos

Aunque trabajes con un proveedor externo, es clave que haya un responsable interno de TI (puede ser alguien de administración o gerencia) que:

  • Revise y apruebe las políticas.
  • Coordine con el proveedor TI.
  • Haga seguimiento a su cumplimiento.

Paso 3: Parte por las 4 políticas imprescindibles

Si tienes poco tiempo, comienza por estas:

  1. Uso aceptable de recursos tecnológicos.
  2. Contraseñas y accesos.
  3. Respaldo y recuperación de información.
  4. Gestión de incidentes TI.

Con eso ya cubres gran parte del riesgo más frecuente en pymes.

Paso 4: Documenta en lenguaje simple

Evita la jerga técnica. Las políticas deben ser entendibles por cualquier colaborador. Algunas recomendaciones:

  • Usa frases cortas y directas.
  • Incluye ejemplos concretos.
  • Destaca lo más importante con viñetas o negritas.

Paso 5: Comunica y capacita

Una política que nadie conoce es casi como no tenerla.

  • Presenta las políticas en reuniones de equipo.
  • Pide que cada colaborador las lea y firme un acuse de recibo.
  • Refuerza los puntos clave al menos una vez al año.

Paso 6: Revisa y ajusta

La tecnología y el negocio cambian. Programa una revisión anual de tus políticas TI para:

  • Actualizar sistemas y herramientas mencionadas.
  • Ajustar responsabilidades.
  • Incorporar lecciones aprendidas de incidentes reales.

13. ¿Conviene apoyarse en una consultora TI externa?

Para muchas pymes, no es realista tener un equipo interno especializado en ciberseguridad, continuidad operacional y documentación de políticas. Ahí es donde una consultora TI puede aportar:

  • Plantillas y modelos de políticas adaptados a la realidad chilena.
  • Evaluación de riesgos específica para tu rubro.
  • Implementación técnica de respaldos, controles de acceso, monitoreo y seguridad.
  • Capacitación a tu equipo en lenguaje simple.

Lo importante es que el resultado final no sea un documento que se guarda en un cajón, sino un conjunto de reglas vivas que realmente se aplican en el día a día.

14. Conclusión: documentar hoy para no lamentar mañana

Las políticas TI mínimas no son un lujo ni algo “solo para empresas grandes”. Son una herramienta de gestión básica para cualquier pyme que quiera:

  • Proteger su información y la de sus clientes.
  • Reducir la dependencia de personas clave.
  • Responder mejor ante incidentes y caídas.
  • Cumplir con exigencias legales y contractuales.

Si hoy en tu empresa muchas cosas se hacen “porque siempre se han hecho así” y casi nada está por escrito, es el momento de ordenar la casa. Partir por estas políticas mínimas es una inversión pequeña comparada con el costo de una pérdida de datos, un ataque de ransomware o una filtración de información sensible.

El siguiente paso es decidir si las desarrollarás internamente o con apoyo experto, y poner una fecha concreta para tener tu Manual de Políticas TI para Pymes listo y en uso.

Si tu pyme aún no tiene políticas TI claras o solo existen “en la cabeza del informático”, es el momento de formalizarlas. En HDTI te ayudamos a identificar tus riesgos, diseñar políticas simples pero efectivas y acompañarte en su implementación técnica y cultural, para que la tecnología deje de ser una fuente de preocupación y se convierta en un aliado del negocio.

Solicita una asesoría

Etiquetas:
Seguridad informática ChileCiberseguridadTransformación digitalAutomatización de procesosConsultora informática

¿Necesitas desarrollar software a medida?

En HDTI creamos aplicaciones web, móviles y sistemas personalizados para empresas en Chile.

Conoce nuestro servicio de desarrollo
Optimización de conversión (CRO): cómo aumentar ventas sin invertir en más tráfico
Cómo transformar el tráfico que ya tienes en más ventas y contactos, aplicando optimización de conversión paso a paso.