Cómo preparar tu empresa para una auditoría de TI

Una auditoría de TI genera ansiedad porque expone lo que normalmente está oculto — las configuraciones que nunca se revisaron, los backups que nunca se probaron, las contraseñas que nunca se rotaron, la documentación que nunca se creó. Pero una auditoría no tiene que ser una pesadilla si te preparas correctamente. La mayoría de los hallazgos que vemos en auditorías de ciberseguridad no son problemas técnicos complicados — son cosas básicas que nadie hizo porque "nunca hubo tiempo".

Esta guía te prepara para cualquier tipo de auditoría de TI — interna, de cliente, de certificación o regulatoria — con las áreas que debes cubrir y la documentación que debes tener lista.

Tipos de auditorías y qué buscan

Independientemente del tipo, los auditores revisan las mismas áreas. La diferencia es el nivel de profundidad y las consecuencias.

Las 7 áreas que toda auditoría revisa

1. Inventario de activos

Los auditores quieren ver que sabes exactamente qué tienes. Un inventario actualizado de:

• Hardware — Servidores (marca, modelo, ubicación, SO, función), switches, firewalls, UPS, access points
• Software — Sistemas operativos y versiones, aplicaciones empresariales (ERP, CRM, WMS), licencias activas
• Servicios cloud — Instancias, suscripciones, cuentas de servicio
• Datos críticos — Dónde viven tus datos más sensibles (base de datos del ERP, archivos financieros, datos personales)

Lo que piden: Un documento o sistema con el inventario completo, actualizado en los últimos 3 meses.

Lo que encuentran cuando no te preparas: Servidores que nadie sabía que existían, software sin licencia, cuentas de cloud olvidadas que siguen cobrando.

2. Control de accesos

Quién puede acceder a qué — y cómo se controla:

• Cuentas de usuario — ¿Cada persona tiene su propia cuenta o comparten credenciales? ¿Las cuentas de exempleados están deshabilitadas?
• Privilegios — ¿Quién tiene acceso de administrador? ¿Se aplica el principio de mínimo privilegio? ¿Los accesos se revisan periódicamente?
• Contraseñas — ¿Hay una política de contraseñas? ¿Se fuerza complejidad mínima? ¿Se rotan periódicamente?
• Acceso remoto — ¿Cómo se conectan los usuarios remotos? ¿VPN? ¿MFA (autenticación multifactor)?

Lo que piden: Política de accesos documentada, lista de usuarios con sus privilegios, evidencia de revisión periódica, registro de bajas de exempleados.

Lo que encuentran cuando no te preparas: Cuentas de empleados que se fueron hace 2 años que siguen activas con acceso de administrador.

3. Seguridad de la infraestructura

La configuración de seguridad de tus sistemas:

• Firewalls — ¿Están configurados? ¿Las reglas están documentadas? ¿Se revisan periódicamente?
• Actualizaciones — ¿Los servidores están actualizados con los últimos parches de seguridad? ¿Hay un proceso de actualización definido?
• Hardening — ¿Los servidores están endurecidos según algún benchmark (CIS)? ¿Se deshabilitaron servicios innecesarios?
• Cifrado — ¿Los datos sensibles están cifrados en tránsito (TLS) y en reposo? ¿Las conexiones remotas usan cifrado?
• Antimalware — ¿Hay protección contra malware en servidores y estaciones de trabajo?
• Segmentación de red — ¿La red está segmentada por VLANs? ¿Los sistemas de producción están separados de la red general?

Lo que piden: Configuración de firewalls, evidencia de actualizaciones recientes, resultados de escaneos de vulnerabilidades, política de hardening.

Lo que encuentran cuando no te preparas: Servidores sin actualizar desde hace meses, firewalls con reglas de "permitir todo", SSH abierto a internet con contraseña root.

4. Respaldos y recuperación

La capacidad de recuperarte si algo sale mal:

• Backups — ¿Están automatizados? ¿Con qué frecuencia? ¿Dónde se almacenan? ¿Hay copia offsite?
• Pruebas de restauración — ¿Se han probado los backups? ¿Cuándo fue la última prueba exitosa?
• Plan de recuperación ante desastres (DRP) — ¿Existe un plan documentado? ¿Se ha probado? ¿Quién lo activa y cómo?
• RTO y RPO — ¿Cuánto tiempo puedes estar sin el sistema (RTO)? ¿Cuántos datos puedes perder (RPO)?

Lo que piden: Política de backup documentada, evidencia de ejecución exitosa de backups recientes, evidencia de al menos una prueba de restauración, plan de DRP.

Lo que encuentran cuando no te preparas: Backups que fallan silenciosamente hace meses, ninguna prueba de restauración documentada, plan de DRP que nadie conoce o que no existe.

5. Gestión de cambios

Cómo se controlan los cambios en tus sistemas:

• ¿Hay un proceso definido para hacer cambios en producción?
• ¿Los cambios se documentan (qué se cambió, quién, cuándo, por qué)?
• ¿Los cambios se prueban antes de aplicarlos en producción?
• ¿Hay un procedimiento de rollback si un cambio falla?

Lo que piden: Política de gestión de cambios, registro de cambios recientes con aprobación y documentación.

Lo que encuentran cuando no te preparas: Cambios en producción que "alguien hizo" y nadie sabe exactamente qué, cuándo ni por qué.

6. Monitoreo y logs

La capacidad de detectar y rastrear eventos:

• Monitoreo — ¿Monitoreas la salud de servidores, red y servicios? ¿Las alertas llegan a alguien?
• Logs — ¿Los sistemas generan logs? ¿Se almacenan de forma centralizada? ¿Cuánto tiempo se retienen?
• Auditoría de accesos — ¿Se registra quién accede a qué? ¿Se pueden rastrear acciones de usuarios?

Lo que piden: Dashboard de monitoreo, política de retención de logs, evidencia de que los logs se revisan.

Lo que encuentran cuando no te preparas: Sin monitoreo, logs que se borran cada semana, ningún registro de quién accedió a los datos sensibles.

7. Documentación

El pegamento que une todo lo anterior. Sin documentación, las buenas prácticas no son verificables:

• Diagramas de red — Topología actualizada con IPs, VLANs, firewalls y conexiones
• Diagramas de arquitectura — Cómo se conectan tus sistemas (ERP, base de datos, web, integraciones)
• Políticas — Seguridad, accesos, backups, cambios, uso aceptable
• Procedimientos — Cómo se restaura un backup, cómo se da de alta un usuario, cómo se responde a un incidente
• Registros — Evidencia de que las políticas y procedimientos se ejecutan (logs, reportes, actas)

Lo que piden: Toda la documentación anterior, actualizada y accesible.

Lo que encuentran cuando no te preparas: Documentación de hace 3 años que no refleja la realidad actual, o directamente ninguna documentación.

Plan de preparación: 4 semanas antes

Semana 1: Inventario y diagnóstico

• Actualiza el inventario de hardware, software y servicios cloud
• Revisa la lista de usuarios y sus privilegios — deshabilita cuentas inactivas
• Verifica que los backups se están ejecutando correctamente
• Ejecuta un escaneo de vulnerabilidades con herramientas como Lynis o OpenVAS

Semana 2: Remediación de hallazgos críticos

• Aplica actualizaciones de seguridad pendientes en todos los servidores
• Corrige las vulnerabilidades más críticas del escaneo
• Revisa y ajusta las reglas del firewall
• Ejecuta una prueba de restauración de backup y documenta el resultado

Semana 3: Documentación

• Actualiza (o crea) los diagramas de red y arquitectura
• Documenta las políticas de seguridad, accesos, backups y cambios
• Organiza la evidencia en carpetas accesibles (reportes de monitoreo, logs de backup, registros de cambios)
• Prepara un resumen ejecutivo del estado de la infraestructura

Semana 4: Ensayo y preparación del equipo

• Haz un ensayo con tu equipo de TI — repasa las preguntas típicas del auditor y verifica que sepan responder
• Asegúrate de que toda la documentación sea consistente (lo que dicen las políticas debe coincidir con lo que se hace realmente)
• Prepara acceso al monitoreo, logs y sistemas para que el auditor pueda verificar en vivo
• Define quién será el interlocutor principal durante la auditoría

Lo que los auditores valoran más

Después de participar en docenas de auditorías, estos son los factores que más pesan en el resultado:

Honestidad. Si no tienes algo, dilo. Los auditores respetan más una respuesta de "no tenemos DRP documentado pero estamos trabajando en ello, aquí está el plan" que un intento de ocultar o inventar evidencia.

Consistencia. Lo que dices que haces debe coincidir con lo que realmente haces. Si tu política dice "backups diarios con prueba de restauración trimestral" pero no tienes evidencia de la última prueba, el hallazgo es peor que si no tuvieras la política.

Evidencia. No basta con decir "actualizamos los servidores regularmente". Necesitas evidencia: logs de apt, capturas de pantalla, reportes de la herramienta de monitoreo mostrando las fechas de actualización. Documenta todo lo que haces.

Mejora continua. Los auditores entienden que ninguna organización es perfecta. Lo que quieren ver es que identificas tus debilidades y tienes un plan para mejorar. Un plan de acción con fechas y responsables pesa más que un estado actual impecable.

Después de la auditoría

El reporte de auditoría no es el final — es el inicio del plan de mejora:

1. Clasifica los hallazgos por criticidad (crítico, alto, medio, bajo) y facilidad de remediación
2. Crea un plan de acción con responsable, fecha compromiso y evidencia de cierre para cada hallazgo
3. Prioriza los hallazgos críticos y altos para cierre inmediato (30 días)
4. Programa una revisión a los 90 días para verificar que los hallazgos se cerraron
5. Institucionaliza las buenas prácticas — lo que hiciste para prepararte para la auditoría debería ser tu operación normal, no un esfuerzo especial