La seguridad informática no tiene que ser complicada para ser efectiva. El problema no es falta de herramientas — es falta de estructura. Esta checklist de seguridad informática organiza los controles esenciales que toda empresa debería tener, priorizados por impacto y dificultad de implementación. Úsala como auditoría interna, como punto de partida para mejorar tu postura de seguridad o como guía para tu equipo de TI.
Cómo usar esta checklist
Los controles están organizados en tres niveles. Nivel 1 (Esencial) son los controles que toda empresa debe tener independientemente de su tamaño — si no los tienes, estás expuesto a las amenazas más comunes. Nivel 2 (Intermedio) son controles para empresas con 20+ empleados o que manejan datos sensibles. Nivel 3 (Avanzado) son controles para empresas con requisitos regulatorios o que operan en industrias de alto riesgo.
Califica cada punto como: ✅ Implementado, ⚠️ Parcialmente implementado, o ❌ No implementado. El objetivo no es tener todo en verde el primer día, sino tener un plan claro de mejora.
Nivel 1: Controles esenciales
Autenticación y accesos
Toda cuenta de correo electrónico debe tener MFA (autenticación multifactor) activado. Las aplicaciones cloud críticas (ERP, CRM, almacenamiento) también deben requerir MFA. Cada empleado debe usar una cuenta individual — nunca cuentas compartidas de tipo "ventas@empresa.com" para acceder a sistemas. Las contraseñas deben tener un mínimo de 12 caracteres y se recomienda el uso de un gestor de contraseñas empresarial como Bitwarden, 1Password o el incluido en Microsoft 365.
Los exempleados deben perder acceso a todos los sistemas dentro de las 24 horas posteriores a su salida. Este punto falla en la mayoría de las PyMEs que auditamos — cuentas activas de personas que ya no trabajan en la empresa son una de las brechas más comunes.
Actualizaciones
Los sistemas operativos de servidores y estaciones de trabajo deben tener actualizaciones automáticas habilitadas o un proceso manual que se ejecute al menos mensualmente. Las aplicaciones críticas (navegadores, Office, Adobe, Java) deben mantenerse actualizadas. El firmware de routers, firewalls y access points debe revisarse al menos trimestralmente.
Backups
Debe existir un backup automático de datos críticos (bases de datos, archivos compartidos, configuraciones de servidores) con frecuencia mínima diaria. Al menos una copia de backup debe estar fuera del sitio principal (cloud, ubicación física diferente) y al menos una copia debe estar offline o inmutable (protegida contra ransomware). Los backups deben probarse restaurando datos reales al menos trimestralmente — un backup que no se prueba no es un backup.
Protección de endpoints
Todas las computadoras deben tener antivirus o EDR (Endpoint Detection and Response) activo y actualizado. Los discos de laptops deben estar cifrados (BitLocker en Windows, FileVault en Mac). Las computadoras deben bloquearse automáticamente después de 5 minutos de inactividad.
Red básica
La red WiFi debe usar WPA3 (o WPA2-Enterprise como mínimo) con contraseña robusta que se cambie al menos anualmente. Debe existir una red separada para invitados que no tenga acceso a recursos internos. El router o firewall debe tener contraseña cambiada del valor de fábrica y acceso de administración restringido.
Nivel 2: Controles intermedios
Segmentación de red
Las estaciones de trabajo deben estar en un segmento de red diferente a los servidores. Los dispositivos IoT (cámaras, impresoras, sensores) deben estar en su propia VLAN aislada. El acceso entre segmentos debe estar controlado por reglas de firewall que permitan solo el tráfico necesario.
Gestión de accesos
Debe existir un inventario documentado de quién tiene acceso a qué sistemas. Los permisos deben revisarse trimestralmente y seguir el principio de mínimo privilegio. Las cuentas de administrador deben ser diferentes de las cuentas de uso diario — ningún usuario debe navegar por internet con privilegios de administrador. El acceso remoto (VPN, RDP) debe requerir MFA obligatorio.
Email y phishing
Debe estar habilitado un filtro anti-spam y anti-phishing en el servidor de correo. Los empleados deben recibir capacitación sobre phishing al menos dos veces al año. Se recomienda ejecutar simulaciones de phishing trimestrales para medir la efectividad de la capacitación. Los archivos adjuntos ejecutables (.exe, .bat, .ps1, .js) deben bloquearse en el filtro de correo.
Monitoreo básico
Deben existir alertas para eventos críticos: intentos de acceso fallidos, cambios en cuentas de administrador, accesos fuera de horario laboral. Los logs de acceso de sistemas críticos deben conservarse al menos 90 días. Debe haber un proceso definido para investigar alertas — no basta con recibirlas si nadie actúa.
Nivel 3: Controles avanzados
Respuesta a incidentes
Debe existir un plan documentado de respuesta a incidentes que defina roles, responsabilidades, procedimientos de comunicación y pasos de contención. El plan debe incluir información de contacto actualizada del equipo de respuesta, del proveedor de seguros (si aplica) y de asesores legales. El plan debe probarse al menos una vez al año con un ejercicio tabletop (simulación en mesa).
Protección avanzada de datos
Los datos deben estar clasificados por nivel de sensibilidad (público, interno, confidencial, restringido). Debe existir una política de retención que defina cuánto tiempo se conserva cada tipo de dato. El cifrado en tránsito (TLS) debe estar habilitado en todas las comunicaciones internas y externas. Los datos sensibles en reposo deben estar cifrados en bases de datos y almacenamiento.
Gestión de vulnerabilidades
Debe ejecutarse un escaneo de vulnerabilidades al menos mensualmente en servidores expuestos a internet. Las vulnerabilidades críticas deben remediarse dentro de 72 horas. Las vulnerabilidades altas dentro de 30 días. Debe existir un proceso documentado de evaluación y priorización de vulnerabilidades.
Seguridad en la nube
Las configuraciones de servicios cloud deben auditarse al menos trimestralmente. Los secretos (API keys, contraseñas, certificados) nunca deben estar en código fuente — deben usarse vaults de secretos. Los permisos IAM deben seguir el principio de mínimo privilegio y auditarse regularmente. Los buckets de almacenamiento y bases de datos nunca deben estar expuestos públicamente por defecto.
Métricas para medir tu progreso
No basta con implementar controles — necesitas medir si están funcionando. Estas son las métricas clave que recomendamos rastrear:
| Métrica | Frecuencia | Objetivo |
|---|---|---|
| % de cuentas con MFA | Mensual | 100% |
| Días desde último backup probado | Mensual | <90 días |
| Tiempo promedio de desactivación de exempleados | Por evento | <24 horas |
| % de empleados que caen en simulación de phishing | Trimestral | <15% |
| Días desde última actualización de SO en servidores | Mensual | <30 días |
| Vulnerabilidades críticas abiertas | Semanal | 0 |
Descarga la checklist completa
La checklist completa incluye los 40 controles organizados por nivel, con columnas para calificar el estado actual, asignar responsable y definir fecha de implementación. Puedes usarla como documento de auditoría interna o como base para una evaluación formal de seguridad.
Recurso gratuito
¿Quieres una evaluación profesional de seguridad?
Usamos esta checklist como punto de partida y la complementamos con escaneo de vulnerabilidades, pruebas de phishing y revisión de configuración. Agenda tu evaluación.
