[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"blog-/blog/guia-empresarial/preparar-auditoria-ti":3,"prev-/blog/guia-empresarial/preparar-auditoria-ti":687,"next-/blog/guia-empresarial/preparar-auditoria-ti":690,"related-/blog/guia-empresarial/preparar-auditoria-ti":693},{"id":4,"title":5,"author":6,"authorUrl":7,"body":8,"category":653,"cta":654,"date":656,"dateModified":656,"description":657,"draft":658,"extension":659,"faq":660,"featured":658,"image":673,"imageAlt":674,"meta":675,"navigation":676,"path":677,"readingTime":678,"seo":679,"stem":680,"tags":681,"__hash__":686},"blog/blog/guia-empresarial/preparar-auditoria-ti.md","Cómo preparar tu empresa para una auditoría de TI","Syswork México","/nosotros",{"type":9,"value":10,"toc":630},"minimark",[11,21,24,29,120,123,127,132,135,177,183,189,193,196,227,232,237,240,244,247,294,299,304,308,311,340,345,350,352,356,359,373,378,383,387,390,413,418,423,427,430,462,467,472,474,478,482,496,500,514,518,532,536,550,554,557,563,569,575,581,585,588,621],[12,13,14,15,20],"p",{},"Una auditoría de TI genera ansiedad porque expone lo que normalmente está oculto — las configuraciones que nunca se revisaron, los backups que nunca se probaron, las contraseñas que nunca se rotaron, la documentación que nunca se creó. Pero una auditoría no tiene que ser una pesadilla si te preparas correctamente. La mayoría de los hallazgos que vemos en ",[16,17,19],"a",{"href":18},"/servicios/ciberseguridad","auditorías de ciberseguridad"," no son problemas técnicos complicados — son cosas básicas que nadie hizo porque \"nunca hubo tiempo\".",[12,22,23],{},"Esta guía te prepara para cualquier tipo de auditoría de TI — interna, de cliente, de certificación o regulatoria — con las áreas que debes cubrir y la documentación que debes tener lista.",[25,26,28],"h2",{"id":27},"tipos-de-auditorías-y-qué-buscan","Tipos de auditorías y qué buscan",[30,31,32,51],"table",{},[33,34,35],"thead",{},[36,37,38,42,45,48],"tr",{},[39,40,41],"th",{},"Tipo",[39,43,44],{},"Quién la pide",[39,46,47],{},"Qué buscan",[39,49,50],{},"Consecuencia de fallar",[52,53,54,72,88,104],"tbody",{},[36,55,56,63,66,69],{},[57,58,59],"td",{},[60,61,62],"strong",{},"Interna",[57,64,65],{},"Tu propia dirección",[57,67,68],{},"Estado real de la TI, riesgos y oportunidades",[57,70,71],{},"Plan de mejora con prioridades",[36,73,74,79,82,85],{},[57,75,76],{},[60,77,78],{},"De cliente",[57,80,81],{},"Un cliente grande (corporativo, gobierno)",[57,83,84],{},"Que tus sistemas protejan los datos que les compartes",[57,86,87],{},"Perder el contrato o no ganarlo",[36,89,90,95,98,101],{},[57,91,92],{},[60,93,94],{},"De certificación",[57,96,97],{},"Organismo certificador (ISO 27001, PCI DSS)",[57,99,100],{},"Cumplimiento de controles específicos del estándar",[57,102,103],{},"No obtener o perder la certificación",[36,105,106,111,114,117],{},[57,107,108],{},[60,109,110],{},"Regulatoria",[57,112,113],{},"Autoridad (COFEPRIS, SAT, CNBV)",[57,115,116],{},"Cumplimiento de la regulación aplicable a tu industria",[57,118,119],{},"Multas, sanciones, suspensión",[12,121,122],{},"Independientemente del tipo, los auditores revisan las mismas áreas. La diferencia es el nivel de profundidad y las consecuencias.",[25,124,126],{"id":125},"las-7-áreas-que-toda-auditoría-revisa","Las 7 áreas que toda auditoría revisa",[128,129,131],"h3",{"id":130},"_1-inventario-de-activos","1. Inventario de activos",[12,133,134],{},"Los auditores quieren ver que sabes exactamente qué tienes. Un inventario actualizado de:",[136,137,138,145,165,171],"ul",{},[139,140,141,144],"li",{},[60,142,143],{},"Hardware"," — Servidores (marca, modelo, ubicación, SO, función), switches, firewalls, UPS, access points",[139,146,147,150,151,155,156,155,160,164],{},[60,148,149],{},"Software"," — Sistemas operativos y versiones, aplicaciones empresariales (",[16,152,154],{"href":153},"/soluciones/erp","ERP",", ",[16,157,159],{"href":158},"/soluciones/crm","CRM",[16,161,163],{"href":162},"/soluciones/wms","WMS","), licencias activas",[139,166,167,170],{},[60,168,169],{},"Servicios cloud"," — Instancias, suscripciones, cuentas de servicio",[139,172,173,176],{},[60,174,175],{},"Datos críticos"," — Dónde viven tus datos más sensibles (base de datos del ERP, archivos financieros, datos personales)",[12,178,179,182],{},[60,180,181],{},"Lo que piden:"," Un documento o sistema con el inventario completo, actualizado en los últimos 3 meses.",[12,184,185,188],{},[60,186,187],{},"Lo que encuentran cuando no te preparas:"," Servidores que nadie sabía que existían, software sin licencia, cuentas de cloud olvidadas que siguen cobrando.",[128,190,192],{"id":191},"_2-control-de-accesos","2. Control de accesos",[12,194,195],{},"Quién puede acceder a qué — y cómo se controla:",[136,197,198,204,210,216],{},[139,199,200,203],{},[60,201,202],{},"Cuentas de usuario"," — ¿Cada persona tiene su propia cuenta o comparten credenciales? ¿Las cuentas de exempleados están deshabilitadas?",[139,205,206,209],{},[60,207,208],{},"Privilegios"," — ¿Quién tiene acceso de administrador? ¿Se aplica el principio de mínimo privilegio? ¿Los accesos se revisan periódicamente?",[139,211,212,215],{},[60,213,214],{},"Contraseñas"," — ¿Hay una política de contraseñas? ¿Se fuerza complejidad mínima? ¿Se rotan periódicamente?",[139,217,218,221,222,226],{},[60,219,220],{},"Acceso remoto"," — ¿Cómo se conectan los usuarios remotos? ¿",[16,223,225],{"href":224},"/blog/configurar-vpn-wireguard","VPN","? ¿MFA (autenticación multifactor)?",[12,228,229,231],{},[60,230,181],{}," Política de accesos documentada, lista de usuarios con sus privilegios, evidencia de revisión periódica, registro de bajas de exempleados.",[12,233,234,236],{},[60,235,187],{}," Cuentas de empleados que se fueron hace 2 años que siguen activas con acceso de administrador.",[238,239],"ad-banner",{},[128,241,243],{"id":242},"_3-seguridad-de-la-infraestructura","3. Seguridad de la infraestructura",[12,245,246],{},"La configuración de seguridad de tus sistemas:",[136,248,249,258,264,273,279,285],{},[139,250,251,257],{},[60,252,253],{},[16,254,256],{"href":255},"/blog/configurar-firewall-ufw-linux","Firewalls"," — ¿Están configurados? ¿Las reglas están documentadas? ¿Se revisan periódicamente?",[139,259,260,263],{},[60,261,262],{},"Actualizaciones"," — ¿Los servidores están actualizados con los últimos parches de seguridad? ¿Hay un proceso de actualización definido?",[139,265,266,272],{},[60,267,268],{},[16,269,271],{"href":270},"/blog/hardening-servidores-linux","Hardening"," — ¿Los servidores están endurecidos según algún benchmark (CIS)? ¿Se deshabilitaron servicios innecesarios?",[139,274,275,278],{},[60,276,277],{},"Cifrado"," — ¿Los datos sensibles están cifrados en tránsito (TLS) y en reposo? ¿Las conexiones remotas usan cifrado?",[139,280,281,284],{},[60,282,283],{},"Antimalware"," — ¿Hay protección contra malware en servidores y estaciones de trabajo?",[139,286,287,293],{},[60,288,289],{},[16,290,292],{"href":291},"/servicios/redes","Segmentación de red"," — ¿La red está segmentada por VLANs? ¿Los sistemas de producción están separados de la red general?",[12,295,296,298],{},[60,297,181],{}," Configuración de firewalls, evidencia de actualizaciones recientes, resultados de escaneos de vulnerabilidades, política de hardening.",[12,300,301,303],{},[60,302,187],{}," Servidores sin actualizar desde hace meses, firewalls con reglas de \"permitir todo\", SSH abierto a internet con contraseña root.",[128,305,307],{"id":306},"_4-respaldos-y-recuperación","4. Respaldos y recuperación",[12,309,310],{},"La capacidad de recuperarte si algo sale mal:",[136,312,313,322,328,334],{},[139,314,315,321],{},[60,316,317],{},[16,318,320],{"href":319},"/blog/backup-automatizado-python-cron","Backups"," — ¿Están automatizados? ¿Con qué frecuencia? ¿Dónde se almacenan? ¿Hay copia offsite?",[139,323,324,327],{},[60,325,326],{},"Pruebas de restauración"," — ¿Se han probado los backups? ¿Cuándo fue la última prueba exitosa?",[139,329,330,333],{},[60,331,332],{},"Plan de recuperación ante desastres (DRP)"," — ¿Existe un plan documentado? ¿Se ha probado? ¿Quién lo activa y cómo?",[139,335,336,339],{},[60,337,338],{},"RTO y RPO"," — ¿Cuánto tiempo puedes estar sin el sistema (RTO)? ¿Cuántos datos puedes perder (RPO)?",[12,341,342,344],{},[60,343,181],{}," Política de backup documentada, evidencia de ejecución exitosa de backups recientes, evidencia de al menos una prueba de restauración, plan de DRP.",[12,346,347,349],{},[60,348,187],{}," Backups que fallan silenciosamente hace meses, ninguna prueba de restauración documentada, plan de DRP que nadie conoce o que no existe.",[238,351],{},[128,353,355],{"id":354},"_5-gestión-de-cambios","5. Gestión de cambios",[12,357,358],{},"Cómo se controlan los cambios en tus sistemas:",[136,360,361,364,367,370],{},[139,362,363],{},"¿Hay un proceso definido para hacer cambios en producción?",[139,365,366],{},"¿Los cambios se documentan (qué se cambió, quién, cuándo, por qué)?",[139,368,369],{},"¿Los cambios se prueban antes de aplicarlos en producción?",[139,371,372],{},"¿Hay un procedimiento de rollback si un cambio falla?",[12,374,375,377],{},[60,376,181],{}," Política de gestión de cambios, registro de cambios recientes con aprobación y documentación.",[12,379,380,382],{},[60,381,187],{}," Cambios en producción que \"alguien hizo\" y nadie sabe exactamente qué, cuándo ni por qué.",[128,384,386],{"id":385},"_6-monitoreo-y-logs","6. Monitoreo y logs",[12,388,389],{},"La capacidad de detectar y rastrear eventos:",[136,391,392,401,407],{},[139,393,394,400],{},[60,395,396],{},[16,397,399],{"href":398},"/blog/monitoreo-grafana-prometheus","Monitoreo"," — ¿Monitoreas la salud de servidores, red y servicios? ¿Las alertas llegan a alguien?",[139,402,403,406],{},[60,404,405],{},"Logs"," — ¿Los sistemas generan logs? ¿Se almacenan de forma centralizada? ¿Cuánto tiempo se retienen?",[139,408,409,412],{},[60,410,411],{},"Auditoría de accesos"," — ¿Se registra quién accede a qué? ¿Se pueden rastrear acciones de usuarios?",[12,414,415,417],{},[60,416,181],{}," Dashboard de monitoreo, política de retención de logs, evidencia de que los logs se revisan.",[12,419,420,422],{},[60,421,187],{}," Sin monitoreo, logs que se borran cada semana, ningún registro de quién accedió a los datos sensibles.",[128,424,426],{"id":425},"_7-documentación","7. Documentación",[12,428,429],{},"El pegamento que une todo lo anterior. Sin documentación, las buenas prácticas no son verificables:",[136,431,432,438,444,450,456],{},[139,433,434,437],{},[60,435,436],{},"Diagramas de red"," — Topología actualizada con IPs, VLANs, firewalls y conexiones",[139,439,440,443],{},[60,441,442],{},"Diagramas de arquitectura"," — Cómo se conectan tus sistemas (ERP, base de datos, web, integraciones)",[139,445,446,449],{},[60,447,448],{},"Políticas"," — Seguridad, accesos, backups, cambios, uso aceptable",[139,451,452,455],{},[60,453,454],{},"Procedimientos"," — Cómo se restaura un backup, cómo se da de alta un usuario, cómo se responde a un incidente",[139,457,458,461],{},[60,459,460],{},"Registros"," — Evidencia de que las políticas y procedimientos se ejecutan (logs, reportes, actas)",[12,463,464,466],{},[60,465,181],{}," Toda la documentación anterior, actualizada y accesible.",[12,468,469,471],{},[60,470,187],{}," Documentación de hace 3 años que no refleja la realidad actual, o directamente ninguna documentación.",[238,473],{},[25,475,477],{"id":476},"plan-de-preparación-4-semanas-antes","Plan de preparación: 4 semanas antes",[128,479,481],{"id":480},"semana-1-inventario-y-diagnóstico","Semana 1: Inventario y diagnóstico",[136,483,484,487,490,493],{},[139,485,486],{},"Actualiza el inventario de hardware, software y servicios cloud",[139,488,489],{},"Revisa la lista de usuarios y sus privilegios — deshabilita cuentas inactivas",[139,491,492],{},"Verifica que los backups se están ejecutando correctamente",[139,494,495],{},"Ejecuta un escaneo de vulnerabilidades con herramientas como Lynis o OpenVAS",[128,497,499],{"id":498},"semana-2-remediación-de-hallazgos-críticos","Semana 2: Remediación de hallazgos críticos",[136,501,502,505,508,511],{},[139,503,504],{},"Aplica actualizaciones de seguridad pendientes en todos los servidores",[139,506,507],{},"Corrige las vulnerabilidades más críticas del escaneo",[139,509,510],{},"Revisa y ajusta las reglas del firewall",[139,512,513],{},"Ejecuta una prueba de restauración de backup y documenta el resultado",[128,515,517],{"id":516},"semana-3-documentación","Semana 3: Documentación",[136,519,520,523,526,529],{},[139,521,522],{},"Actualiza (o crea) los diagramas de red y arquitectura",[139,524,525],{},"Documenta las políticas de seguridad, accesos, backups y cambios",[139,527,528],{},"Organiza la evidencia en carpetas accesibles (reportes de monitoreo, logs de backup, registros de cambios)",[139,530,531],{},"Prepara un resumen ejecutivo del estado de la infraestructura",[128,533,535],{"id":534},"semana-4-ensayo-y-preparación-del-equipo","Semana 4: Ensayo y preparación del equipo",[136,537,538,541,544,547],{},[139,539,540],{},"Haz un ensayo con tu equipo de TI — repasa las preguntas típicas del auditor y verifica que sepan responder",[139,542,543],{},"Asegúrate de que toda la documentación sea consistente (lo que dicen las políticas debe coincidir con lo que se hace realmente)",[139,545,546],{},"Prepara acceso al monitoreo, logs y sistemas para que el auditor pueda verificar en vivo",[139,548,549],{},"Define quién será el interlocutor principal durante la auditoría",[25,551,553],{"id":552},"lo-que-los-auditores-valoran-más","Lo que los auditores valoran más",[12,555,556],{},"Después de participar en docenas de auditorías, estos son los factores que más pesan en el resultado:",[12,558,559,562],{},[60,560,561],{},"Honestidad."," Si no tienes algo, dilo. Los auditores respetan más una respuesta de \"no tenemos DRP documentado pero estamos trabajando en ello, aquí está el plan\" que un intento de ocultar o inventar evidencia.",[12,564,565,568],{},[60,566,567],{},"Consistencia."," Lo que dices que haces debe coincidir con lo que realmente haces. Si tu política dice \"backups diarios con prueba de restauración trimestral\" pero no tienes evidencia de la última prueba, el hallazgo es peor que si no tuvieras la política.",[12,570,571,574],{},[60,572,573],{},"Evidencia."," No basta con decir \"actualizamos los servidores regularmente\". Necesitas evidencia: logs de apt, capturas de pantalla, reportes de la herramienta de monitoreo mostrando las fechas de actualización. Documenta todo lo que haces.",[12,576,577,580],{},[60,578,579],{},"Mejora continua."," Los auditores entienden que ninguna organización es perfecta. Lo que quieren ver es que identificas tus debilidades y tienes un plan para mejorar. Un plan de acción con fechas y responsables pesa más que un estado actual impecable.",[25,582,584],{"id":583},"después-de-la-auditoría","Después de la auditoría",[12,586,587],{},"El reporte de auditoría no es el final — es el inicio del plan de mejora:",[589,590,591,597,603,609,615],"ol",{},[139,592,593,596],{},[60,594,595],{},"Clasifica los hallazgos"," por criticidad (crítico, alto, medio, bajo) y facilidad de remediación",[139,598,599,602],{},[60,600,601],{},"Crea un plan de acción"," con responsable, fecha compromiso y evidencia de cierre para cada hallazgo",[139,604,605,608],{},[60,606,607],{},"Prioriza"," los hallazgos críticos y altos para cierre inmediato (30 días)",[139,610,611,614],{},[60,612,613],{},"Programa una revisión"," a los 90 días para verificar que los hallazgos se cerraron",[139,616,617,620],{},[60,618,619],{},"Institucionaliza"," las buenas prácticas — lo que hiciste para prepararte para la auditoría debería ser tu operación normal, no un esfuerzo especial",[622,623],"call-to-action",{"description":624,"eyebrow":625,"icon":626,"label":627,"title":628,"to":629},"Hacemos una pre-auditoría de tu infraestructura, identificamos las brechas y te ayudamos a cerrarlas antes de que llegue el auditor — con documentación, remediación y acompañamiento.","Pre-auditoría profesional","i-lucide-clipboard-check","Agendar pre-auditoría","¿Tienes una auditoría programada y no sabes por dónde empezar?","/contacto",{"title":631,"searchDepth":632,"depth":633,"links":634},"",2,3,[635,636,645,651,652],{"id":27,"depth":632,"text":28},{"id":125,"depth":632,"text":126,"children":637},[638,639,640,641,642,643,644],{"id":130,"depth":633,"text":131},{"id":191,"depth":633,"text":192},{"id":242,"depth":633,"text":243},{"id":306,"depth":633,"text":307},{"id":354,"depth":633,"text":355},{"id":385,"depth":633,"text":386},{"id":425,"depth":633,"text":426},{"id":476,"depth":632,"text":477,"children":646},[647,648,649,650],{"id":480,"depth":633,"text":481},{"id":498,"depth":633,"text":499},{"id":516,"depth":633,"text":517},{"id":534,"depth":633,"text":535},{"id":552,"depth":632,"text":553},{"id":583,"depth":632,"text":584},"guia-empresarial",{"title":628,"description":655,"label":627,"to":629,"icon":626},"Hacemos una pre-auditoría de tu infraestructura, identificamos las brechas y te ayudamos a cerrarlas antes de que llegue el auditor.","2026-02-03","Guía práctica para directores y responsables de TI que necesitan preparar su infraestructura, documentación y equipo para una auditoría tecnológica — interna, de cliente o regulatoria.",false,"md",[661,664,667,670],{"question":662,"answer":663},"¿Qué buscan los auditores de TI?","Los auditores buscan tres cosas: que tus sistemas estén protegidos (seguridad), que funcionen de forma confiable (disponibilidad) y que puedas demostrar ambas cosas con documentación (evidencia). Revisan configuraciones de servidores, políticas de acceso, backups, actualizaciones de seguridad, plan de continuidad, y que todo lo que dices hacer esté documentado y sea verificable.",{"question":665,"answer":666},"¿Cuánto tiempo debería tomar prepararse para una auditoría?","Si tu infraestructura está razonablemente bien administrada, 2-4 semanas de preparación son suficientes para organizar la documentación y cerrar brechas menores. Si nunca has tenido una auditoría y sospechas que hay problemas importantes, necesitas 2-3 meses para remediar y documentar. No intentes resolver todo la semana antes de la auditoría — los auditores lo notan.",{"question":668,"answer":669},"¿Qué pasa si la auditoría encuentra problemas graves?","Depende del tipo de auditoría. En una auditoría interna, recibes un reporte con hallazgos y un plazo para remediarlos. En una auditoría de cliente, puedes perder el contrato si los hallazgos son críticos. En una auditoría regulatoria, puede haber sanciones, multas o suspensión de operaciones. Lo mejor es hacer una pre-auditoría interna antes de cualquier auditoría formal.",{"question":671,"answer":672},"¿Necesito documentar todo desde cero?","No desde cero, pero sí necesitas que la documentación exista y esté actualizada. Los auditores piden documentos específicos — diagramas de red, políticas de acceso, registros de backup, evidencia de actualizaciones, plan de continuidad. Si no los tienes, créalos. Si los tienes desactualizados, actualízalos. La documentación es lo que convierte buenas prácticas en evidencia auditable.","/images/blog/auditoria-ti.jpg","Equipo de TI organizando documentación de infraestructura y seguridad para una auditoría tecnológica",{},true,"/blog/guia-empresarial/preparar-auditoria-ti",9,{"title":5,"description":657},"blog/guia-empresarial/preparar-auditoria-ti",[682,683,684,653,685],"auditoria","seguridad","infraestructura","cumplimiento","aS8tMt8AloivVcKgg2bpKLcq5QfxXv74BLhg6C0uWxM",{"path":688,"title":689},"/blog/guia-empresarial/5-errores-fatales-implementar-erp","5 errores fatales al implementar un ERP y cómo evitarlos",{"path":691,"title":692},"/blog/guia-empresarial/cuando-conviene-migrar-nube","Cuándo conviene migrar a la nube y cuándo no",[694,702,710],{"path":695,"title":696,"description":697,"date":698,"category":653,"image":699,"imageAlt":700,"readingTime":701},"/blog/guia-empresarial/7-senales-necesitas-wms","7 señales de que tu empresa necesita un WMS","Descubre los síntomas operativos que indican que tu almacén ya no puede funcionar sin un sistema de gestión de almacenes (WMS) y cuánto te está costando no tenerlo.","2026-02-22","/images/blog/senales-necesitas-wms.jpg","Almacén desorganizado con operadores buscando productos entre estantes sin etiquetas ni sistema de ubicaciones",7,{"path":703,"title":704,"description":705,"date":706,"category":653,"image":707,"imageAlt":708,"readingTime":709},"/blog/guia-empresarial/calcular-roi-implementar-crm","Cómo calcular el ROI de implementar un CRM","Metodología práctica para calcular el retorno de inversión de un CRM con métricas reales — incluye fórmulas, ejemplos con números y una hoja de cálculo para que hagas tus propios cálculos.","2026-02-18","/images/blog/roi-crm.jpg","Director comercial revisando gráficas de ROI y métricas de ventas después de implementar un CRM",8,{"path":711,"title":712,"description":713,"date":714,"category":653,"image":715,"imageAlt":716,"readingTime":709},"/blog/guia-empresarial/que-es-rfid-transformar-almacen","Qué es RFID y cómo puede transformar tu almacén","Explicación clara de la tecnología RFID para tomadores de decisión — qué es, cómo funciona, cuánto cuesta y en qué casos el retorno de inversión justifica la implementación.","2026-02-16","/images/blog/rfid-almacen-guia.jpg","Operador realizando conteo de inventario con lector RFID portátil capturando cientos de etiquetas simultáneamente"]