¿Por qué este tema es relevante para mi organización?

El comportamiento humano es la causa más frecuente de incidentes de seguridad. Conocer y concienciar sobre este tema reduce el riesgo de forma directa y demostrable.

¿Cómo ayuda 2LRN4 con este tema?

2LRN4 enlaza este tema con un módulo formativo basado en riesgos, una simulación de phishing opcional e informes — para que pueda demostrar el cumplimiento ante supervisores y consejo.

¿Basta con una formación de concienciación o hace falta más?

La formación es una pieza necesaria pero no un escudo completo. Combínela con medidas técnicas (MFA, filtrado de correo), procedimientos y cultura de notificación para una protección óptima.

Política de uso aceptable (AUP): qué debe incluir

Una política de uso aceptable (Acceptable Use Policy, AUP) es el acuerdo escrito entre la organización y el empleado sobre lo que se puede y no se puede hacer en el equipo de trabajo, con datos del trabajo y en cuentas corporativas. Más concreta que un SGSI, más corta que un manual, y precisamente por eso imprescindible en el contexto Cbw, RGPD y Reglamento IA. ¿Qué debe contener, cómo mantenerla útil y cómo anclarla en la concienciación?

Qué es una AUP y qué hace

Una AUP describe en un único documento accesible las reglas para usar los activos de la empresa: portátiles, móviles, correo, internet, colaboración, nube, IA, cuentas corporativas. Traduce la política general y el RGPD en comportamiento concreto.

Jurídicamente, base para medidas ante incumplimientos. Al tiempo, herramienta de comunicación: explica el porqué.

Cbw y RGPD no la nombran como exigencia explícita, pero en la práctica sí. Supervisores la piden en auditoría e incidente.

Qué debe incluir como mínimo una AUP moderna

Cinco a ocho páginas en lenguaje claro. En 2026 incluya:

Finalidad y alcance.
Reglas generales.
Correo, internet, colaboración.
Servicios aprobados y TI en la sombra.
Uso de IA. Imprescindible desde el Reglamento IA.
Datos personales y RGPD.
Uso personal.
Sanciones y escalado.

Qué es nuevo o reforzado en 2026

Tres temas antes opcionales:

Uso de IA. Sin reglas claras, los empleados usan IA gratuita con datos confidenciales.

Móvil y teletrabajo. Frontera difusa; reglas para café, tren, redes privadas.

Comportamiento de notificación. Invitación explícita a notificar sin culpa.

Cómo redactar una AUP que se lea

Cinco páginas se leen; veinticinco no. Tres técnicas:

Usted/tú y frases cortas. Sin jerga.

Ejemplos donde ayuden.

Explicar el porqué: regla explicada se acepta.

Mantener la AUP actual y viva

La AUP envejece rápido.

Actualizar al menos anualmente.

Historial de versiones.

Pedir aceptación activa. Plataforma con marca de tiempo y versión.

Cómo anclar esto en un programa de concienciación

La AUP no va sola.

Tratar en el onboarding: módulo de 5 minutos con aceptación.

Referenciar en módulos de concienciación.

Compartida con RR. HH. y DPO.

De la explicación a la acción

Descubra cómo 2LRN4 convierte este tema en un programa funcional con formación, simulación de phishing e informes para la dirección.

Ver la página NIS2

Fuentes

FAQ

¿Qué es una AUP?

Acuerdo escrito sobre el uso de medios de trabajo. Más concreta que un SGSI, más corta que un manual.

¿Es obligatoria una AUP?

No por nombre, sí en la práctica. La supervisión la pide; su ausencia es riesgo.

¿Cuánto debe ocupar?

Cinco a ocho páginas en lenguaje claro.

¿Qué es nuevo en 2026?

Uso de IA, móvil y teletrabajo, invitación explícita a notificar sin culpa.

¿Cada cuánto actualizar?

Al menos anualmente; partes IA con mayor frecuencia.

¿Hay que firmarla?

Aceptación recomendada; basta un clic con marca de tiempo.

¿Se puede prohibir todo el uso personal?

Prohibición total raramente practicable. Mejor un término medio: uso personal dentro de límites razonables.