Auditoría de seguridad IT para PYMEs: qué reviso, qué encuentro y qué te cuesta

Muchas empresas creen que tienen la seguridad controlada hasta que alguien la revisa de verdad. La auditoría de seguridad básica existe para dar una imagen honesta de la situación real, no de la que se supone que debería ser.

Qué cuesta la auditoría

El precio cubre la visita presencial, el trabajo de análisis y la elaboración del informe escrito con las recomendaciones. No incluye la ejecución de las mejoras detectadas, que se presupuestan aparte si el cliente decide proceder.

Qué reviso en la auditoría

Estado de actualizaciones y software

Reviso el estado de Windows y de los programas principales en todos los equipos. Software desactualizado es la vía de entrada más común para los ataques: el 60% de los incidentes en PYMEs explotan vulnerabilidades en programas que llevan meses sin actualizarse. También identifico software sin licencia o sin soporte oficial, que además de ser un riesgo de seguridad puede ser un problema de cumplimiento RGPD.

Copias de seguridad

No solo compruebo si existen copias, sino si se pueden recuperar. Intento restaurar un archivo desde la copia más reciente. En un número alto de casos, las copias que "se hacen" resultan estar mal configuradas, desactualizadas o en un soporte que también podría verse afectado por un ransomware. El resultado de esta parte del análisis es siempre el que más sorprende a los clientes.

Gestión de accesos y contraseñas

Reviso si hay cuentas de empleados que ya no trabajan en la empresa con acceso activo, si los permisos de las carpetas compartidas están correctamente configurados y si hay contraseñas compartidas entre varios usuarios para el mismo sistema. También compruebo si hay verificación en dos pasos activa en el correo corporativo y los sistemas principales.

Red y WiFi

Compruebo la configuración del router, la separación entre la red corporativa y la red de visitas, si el firmware del router está actualizado y si hay dispositivos conectados a la red que no deberían estar. Una red sin segregar es una puerta abierta para cualquier visita con malas intenciones.

Checklist RGPD básico

Reviso si la empresa puede demostrar que los datos de sus clientes están protegidos según las exigencias del RGPD: dónde están almacenados, quién tiene acceso, si están cifrados, si hay un registro de tratamientos y si la empresa sabría qué hacer en las 72 horas siguientes a una brecha de seguridad. Este punto es especialmente relevante para despachos, clínicas y asesorías.

Qué entrego al final

Al terminar la visita preparo un informe escrito con:

• Un resumen ejecutivo de la situación actual (sin tecnicismos)
• Lista de los puntos críticos que requieren atención inmediata
• Lista de mejoras recomendadas ordenadas por impacto y coste
• Estimación de coste de cada mejora si decide proceder

El informe es tuyo. No hay ninguna obligación de contratar nada después de recibirlo.

Cuándo tiene más sentido hacer una auditoría

• Antes de contratar un plan de soporte IT: para saber exactamente en qué punto está la empresa y qué hay que arreglar primero.
• Después de que se haya ido alguien de confianza que gestionaba la IT: para verificar que no hay puertas abiertas.
• Cuando la empresa va a crecer o a abrir una nueva sede: mejor ordenar la base antes de escalar.
• Si hay dudas sobre el cumplimiento RGPD: especialmente en sectores con datos sensibles.

Si ya tienes el plan EMPRESA, la auditoría está incluida una vez al año. Si tienes el plan PRO o CONTROL, puedes añadirla como servicio puntual al precio indicado.