Auditoría Exprés de Ciberseguridad — 10 preguntas clave + puntuación semáforo de riesgo + recomendaciones para tu PYME. PDF de 2 páginas.
Descargar gratis →Como sabes si tu empresa esta realmente protegida? La mayoria de PYMEs implementan medidas de seguridad de forma reactiva (despues de un incidente o cuando alguien lo sugiere) pero nunca realizan una revision sistematica de su postura de seguridad. Una auditoria de ciberseguridad interna es el ejercicio que te permite identificar donde estas, donde deberias estar y que tienes que hacer para llegar alli.
No es necesario contratar una empresa externa para hacer una primera evaluacion. Con las herramientas y metodologias adecuadas, cualquier responsable de una PYME puede realizar una auditoria basica que identifique las vulnerabilidades mas criticas. Este articulo te explica como hacerlo paso a paso.
Que es una auditoria de ciberseguridad
Una auditoria de ciberseguridad es una revision sistematica y documentada de las medidas de proteccion de una empresa. El objetivo no es encontrarlo todo perfecto, sino identificar las debilidades para poder corregirlas por orden de prioridad.
Hay dos tipos principales:
- Auditoria externa: Realizada por una empresa especializada. Cuesta entre 3.000 y 15.000 EUR para una PYME. Recomendable anualmente si el presupuesto lo permite.
- Auditoria interna: Realizada por el propio personal de la empresa con herramientas y metodologias estandar. Es la que explicaremos en detalle.
Las 8 areas de una auditoria interna
1. Inventario de activos
No puedes proteger lo que no sabes que tienes. El primer paso es hacer un inventario completo:
Hardware:
- Ordenadores (sobremesa y portatiles): marca, modelo, sistema operativo, ubicacion.
- Servidores (fisicos o cloud): sistema operativo, servicios que ejecutan.
- Dispositivos moviles: moviles y tablets que acceden a datos corporativos.
- Equipamiento de red: routers, switches, puntos de acceso WiFi, firewalls.
- Impresoras y multifuncion: a menudo olvidadas, pero conectadas a la red.
- Dispositivos IoT: camaras de seguridad, sensores, termostatos inteligentes.
Software:
- Sistemas operativos y versiones.
- Software de gestion (ERP, CRM, TPV, facturacion).
- Herramientas de comunicacion (correo, mensajeria, videoconferencia).
- Servicios cloud contratados.
- Licencias y fechas de caducidad.
Datos:
- Donde se almacenan los datos criticos del negocio (facturas, clientes, contabilidad).
- Que datos personales tratais (empleados, clientes, proveedores).
- Donde estan las copias de seguridad.
2. Gestion de accesos e identidades
Revisa quien tiene acceso a que:
| Elemento a revisar | Que comprobar | Riesgo si falla |
|---|---|---|
| Cuentas de usuario | Hay cuentas de exempleados activas? | Acceso no autorizado |
| Contrasenas | Se cumple la politica de contrasenas? | Acceso por fuerza bruta |
| MFA | Esta activado en todos los servicios criticos? | Phishing exitoso |
| Permisos | Cada persona tiene solo los permisos que necesita? | Escalada de privilegios |
| Cuentas compartidas | Hay cuentas genericas (admin, info@)? | Imposibilidad de trazar acciones |
| Cuentas de administrador | Cuantas personas tienen acceso admin? | Superficie de ataque ampliada |
Herramienta gratuita: Usa el informe de seguridad de Google Workspace (admin.google.com > Seguridad > Informe de seguridad) o el Microsoft Secure Score (security.microsoft.com) para obtener una puntuacion automatizada.
3. Actualizaciones y parches
Revisa el estado de actualizacion de todos los sistemas:
- Sistemas operativos: Todos los ordenadores y servidores tienen las ultimas actualizaciones?
- Navegadores web: Chrome, Firefox, Edge actualizados?
- Software de gestion: El ERP, CRM o TPV esta en la ultima version?
- Firmware de red: El router y los puntos de acceso WiFi tienen el firmware actualizado?
- Plugins y extensiones: WordPress, WooCommerce, Joomla actualizados?
Herramientas gratuitas para escanear vulnerabilidades:
| Herramienta | Que hace | Precio |
|---|---|---|
| Nmap | Escaneo de puertos y servicios en la red | Gratuito (open source) |
| OpenVAS (Greenbone) | Escaner de vulnerabilidades completo | Gratuito (Community Edition) |
| Qualys SSL Labs | Analiza la configuracion SSL/TLS de tu web | Gratuito (online) |
| Shodan | Busca tus dispositivos expuestos a Internet | Gratuito (basico) |
| Windows Update Compliance | Informe de actualizaciones de Windows | Gratuito (integrado) |
4. Seguridad de la red
Comprueba la configuracion de la red:
- Router: La contrasena por defecto se ha cambiado? El firmware esta actualizado? La administracion remota esta desactivada?
- WiFi: Se utiliza WPA3 o WPA2-AES (nunca WEP ni WPA)? La contrasena es fuerte? Hay una red de invitados separada?
- Firewall: Hay un firewall configurado en el router? Las reglas son restrictivas (deny by default)?
- Segmentacion: La red esta segmentada (separar dispositivos IoT, invitados, trabajadores)?
- DNS: Se utiliza un DNS seguro (Cloudflare 1.1.1.2, Quad9 9.9.9.9) que bloquee dominios maliciosos?
5. Proteccion de datos y backup
Verifica las copias de seguridad:
- Frecuencia: Se hacen copias diarias de los datos criticos?
- Regla 3-2-1: Hay 3 copias, en 2 soportes diferentes, 1 fuera de las instalaciones?
- Prueba de restauracion: Has probado a restaurar una copia recientemente? (El 34% de las empresas nunca lo hace, segun Veeam.)
- Cifrado: Las copias de seguridad estan cifradas?
- Retencion: Cuanto tiempo se conservan las copias? (Minimo 30 dias recomendado.)
- Automatizacion: Las copias son automaticas o dependen de una persona?
6. Proteccion del correo electronico
El correo es el vector de ataque numero uno. Revisa:
- SPF, DKIM y DMARC: Estan configurados en tu dominio? Verifica con mxtoolbox.com.
- Filtrado anti-spam: El proveedor de correo filtra correos maliciosos?
- Lista de remitentes bloqueados: Se mantiene actualizada?
- Formacion: Los empleados saben identificar phishing?
7. Seguridad fisica
A menudo olvidada pero importante:
- Acceso a las oficinas: Quien puede acceder fisicamente a los servidores y ordenadores?
- Pantallas: Los ordenadores se bloquean automaticamente tras 5 minutos de inactividad?
- Documentos: Hay documentos confidenciales sobre las mesas o en las impresoras?
- USBs: Cualquier persona puede conectar un USB a los ordenadores?
- Destruccion de documentos: Hay trituradora para documentos confidenciales?
8. Cumplimiento normativo
Verifica el cumplimiento legal:
- RGPD: Tienes un Registro de Actividades de Tratamiento (RAT)? Hay un Delegado de Proteccion de Datos si es necesario?
- Politica de privacidad: Esta actualizada y es accesible?
- Contratos de encargado de tratamiento: Estan firmados con todos los proveedores que tratan datos personales?
- NIS2: Si tu empresa esta en un sector afectado, cumple los requisitos?
- ENS: Si trabajas con la Administracion Publica, tienes el nivel de cumplimiento adecuado?
Plantilla de informe de auditoria
Una vez hecha la revision, documenta los resultados con esta estructura:
1. Resumen ejecutivo
Estado general de la seguridad en una frase y las 3-5 acciones prioritarias.
2. Puntuacion por area (1-5)
| Area | Puntuacion | Comentario |
|---|---|---|
| Inventario de activos | ?/5 | |
| Gestion de accesos | ?/5 | |
| Actualizaciones | ?/5 | |
| Seguridad de red | ?/5 | |
| Backup | ?/5 | |
| Correo electronico | ?/5 | |
| Seguridad fisica | ?/5 | |
| Cumplimiento normativo | ?/5 | |
| Media | ?/5 |
3. Hallazgos por prioridad
Clasifica cada problema encontrado por nivel de riesgo:
- Critico (actuar inmediatamente): Vulnerabilidades explotables, cuentas sin MFA, backups inexistentes.
- Alto (actuar en 30 dias): Sistemas desactualizados, permisos excesivos, WiFi con WPA.
- Medio (actuar en 90 dias): Politicas no documentadas, formacion pendiente, segmentacion de red.
- Bajo (planificar): Mejoras opcionales, optimizaciones, herramientas adicionales.
4. Plan de accion
Para cada hallazgo, documenta:
- Descripcion del problema.
- Riesgo asociado.
- Accion correctiva.
- Responsable.
- Fecha limite.
- Coste estimado.
Frecuencia recomendada
| Tipo de auditoria | Frecuencia | Quien la hace |
|---|---|---|
| Auditoria interna basica | Trimestral | Responsable interno de seguridad |
| Escaneo de vulnerabilidades | Mensual | Automatizado (OpenVAS, Nmap) |
| Revision de accesos | Mensual | Responsable interno |
| Prueba de restauracion de backup | Trimestral | Responsable interno |
| Auditoria externa profesional | Anual | Empresa especializada |
Conclusion
Una auditoria de ciberseguridad interna no es un ejercicio perfecto, pero es infinitamente mejor que no hacer ninguna. La mayoria de PYMEs que sufren un incidente grave tenian vulnerabilidades que una revision basica habria identificado.
Dedica un dia cada tres meses a pasar la lista de verificacion de este articulo. Documenta los resultados, prioriza las correcciones y asegurate de que los problemas criticos se resuelven inmediatamente. Con el tiempo, tu puntuacion ira mejorando y tu empresa sera un objetivo mucho menos atractivo para los atacantes.
Este articulo es de caracter educativo y no constituye un servicio profesional de ciberseguridad. Consulte a un especialista certificado para soluciones especificas a su empresa.
AUDITORIA GRATUITA
Auditoría Exprés de Ciberseguridad para PYMEs
10 preguntas clave para evaluar el nivel de protección de tu empresa + puntuación con semáforo de riesgo + recomendaciones. PDF de 2 páginas, gratis.
Descargar la auditoría gratuita →
