[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"blog-/blog/recurso/checklist-seguridad-informatica-empresas":3,"prev-/blog/recurso/checklist-seguridad-informatica-empresas":338,"next-/blog/recurso/checklist-seguridad-informatica-empresas":338,"related-/blog/recurso/checklist-seguridad-informatica-empresas":339},{"id":4,"title":5,"author":6,"authorUrl":7,"body":8,"category":306,"cta":307,"date":310,"dateModified":310,"description":311,"draft":312,"extension":313,"faq":314,"featured":312,"image":324,"imageAlt":325,"meta":326,"navigation":327,"path":328,"readingTime":329,"seo":330,"stem":331,"tags":332,"__hash__":337},"blog/blog/recurso/checklist-seguridad-informatica-empresas.md","Checklist de seguridad informática para empresas","Syswork México","/nosotros",{"type":9,"value":10,"toc":279},"minimark",[11,20,25,40,43,47,52,61,64,68,71,75,78,81,85,88,92,95,99,103,106,110,113,117,120,124,127,135,139,143,146,150,153,157,160,164,167,169,173,176,263,267,270],[12,13,14,15,19],"p",{},"La seguridad informática no tiene que ser complicada para ser efectiva. El problema no es falta de herramientas — es falta de estructura. Esta ",[16,17,18],"strong",{},"checklist de seguridad informática"," organiza los controles esenciales que toda empresa debería tener, priorizados por impacto y dificultad de implementación. Úsala como auditoría interna, como punto de partida para mejorar tu postura de seguridad o como guía para tu equipo de TI.",[21,22,24],"h2",{"id":23},"cómo-usar-esta-checklist","Cómo usar esta checklist",[12,26,27,28,31,32,35,36,39],{},"Los controles están organizados en tres niveles. ",[16,29,30],{},"Nivel 1 (Esencial)"," son los controles que toda empresa debe tener independientemente de su tamaño — si no los tienes, estás expuesto a las amenazas más comunes. ",[16,33,34],{},"Nivel 2 (Intermedio)"," son controles para empresas con 20+ empleados o que manejan datos sensibles. ",[16,37,38],{},"Nivel 3 (Avanzado)"," son controles para empresas con requisitos regulatorios o que operan en industrias de alto riesgo.",[12,41,42],{},"Califica cada punto como: ✅ Implementado, ⚠️ Parcialmente implementado, o ❌ No implementado. El objetivo no es tener todo en verde el primer día, sino tener un plan claro de mejora.",[21,44,46],{"id":45},"nivel-1-controles-esenciales","Nivel 1: Controles esenciales",[48,49,51],"h3",{"id":50},"autenticación-y-accesos","Autenticación y accesos",[12,53,54,55,60],{},"Toda cuenta de correo electrónico debe tener MFA (autenticación multifactor) activado. Las aplicaciones cloud críticas (ERP, CRM, almacenamiento) también deben requerir MFA. Cada empleado debe usar una cuenta individual — nunca cuentas compartidas de tipo \"",[56,57,59],"a",{"href":58},"mailto:ventas@empresa.com","ventas@empresa.com","\" para acceder a sistemas. Las contraseñas deben tener un mínimo de 12 caracteres y se recomienda el uso de un gestor de contraseñas empresarial como Bitwarden, 1Password o el incluido en Microsoft 365.",[12,62,63],{},"Los exempleados deben perder acceso a todos los sistemas dentro de las 24 horas posteriores a su salida. Este punto falla en la mayoría de las PyMEs que auditamos — cuentas activas de personas que ya no trabajan en la empresa son una de las brechas más comunes.",[48,65,67],{"id":66},"actualizaciones","Actualizaciones",[12,69,70],{},"Los sistemas operativos de servidores y estaciones de trabajo deben tener actualizaciones automáticas habilitadas o un proceso manual que se ejecute al menos mensualmente. Las aplicaciones críticas (navegadores, Office, Adobe, Java) deben mantenerse actualizadas. El firmware de routers, firewalls y access points debe revisarse al menos trimestralmente.",[48,72,74],{"id":73},"backups","Backups",[12,76,77],{},"Debe existir un backup automático de datos críticos (bases de datos, archivos compartidos, configuraciones de servidores) con frecuencia mínima diaria. Al menos una copia de backup debe estar fuera del sitio principal (cloud, ubicación física diferente) y al menos una copia debe estar offline o inmutable (protegida contra ransomware). Los backups deben probarse restaurando datos reales al menos trimestralmente — un backup que no se prueba no es un backup.",[79,80],"ad-banner",{},[48,82,84],{"id":83},"protección-de-endpoints","Protección de endpoints",[12,86,87],{},"Todas las computadoras deben tener antivirus o EDR (Endpoint Detection and Response) activo y actualizado. Los discos de laptops deben estar cifrados (BitLocker en Windows, FileVault en Mac). Las computadoras deben bloquearse automáticamente después de 5 minutos de inactividad.",[48,89,91],{"id":90},"red-básica","Red básica",[12,93,94],{},"La red WiFi debe usar WPA3 (o WPA2-Enterprise como mínimo) con contraseña robusta que se cambie al menos anualmente. Debe existir una red separada para invitados que no tenga acceso a recursos internos. El router o firewall debe tener contraseña cambiada del valor de fábrica y acceso de administración restringido.",[21,96,98],{"id":97},"nivel-2-controles-intermedios","Nivel 2: Controles intermedios",[48,100,102],{"id":101},"segmentación-de-red","Segmentación de red",[12,104,105],{},"Las estaciones de trabajo deben estar en un segmento de red diferente a los servidores. Los dispositivos IoT (cámaras, impresoras, sensores) deben estar en su propia VLAN aislada. El acceso entre segmentos debe estar controlado por reglas de firewall que permitan solo el tráfico necesario.",[48,107,109],{"id":108},"gestión-de-accesos","Gestión de accesos",[12,111,112],{},"Debe existir un inventario documentado de quién tiene acceso a qué sistemas. Los permisos deben revisarse trimestralmente y seguir el principio de mínimo privilegio. Las cuentas de administrador deben ser diferentes de las cuentas de uso diario — ningún usuario debe navegar por internet con privilegios de administrador. El acceso remoto (VPN, RDP) debe requerir MFA obligatorio.",[48,114,116],{"id":115},"email-y-phishing","Email y phishing",[12,118,119],{},"Debe estar habilitado un filtro anti-spam y anti-phishing en el servidor de correo. Los empleados deben recibir capacitación sobre phishing al menos dos veces al año. Se recomienda ejecutar simulaciones de phishing trimestrales para medir la efectividad de la capacitación. Los archivos adjuntos ejecutables (.exe, .bat, .ps1, .js) deben bloquearse en el filtro de correo.",[48,121,123],{"id":122},"monitoreo-básico","Monitoreo básico",[12,125,126],{},"Deben existir alertas para eventos críticos: intentos de acceso fallidos, cambios en cuentas de administrador, accesos fuera de horario laboral. Los logs de acceso de sistemas críticos deben conservarse al menos 90 días. Debe haber un proceso definido para investigar alertas — no basta con recibirlas si nadie actúa.",[128,129,132],"callout",{"icon":130,"title":131},"i-lucide-triangle-alert","El control más ignorado",[12,133,134],{},"La revisión trimestral de accesos es el control que más empresas omiten. Con el tiempo, los permisos se acumulan: empleados cambian de puesto sin perder accesos anteriores, cuentas de prueba nunca se eliminan, proveedores externos conservan acceso después de terminar un proyecto. Una auditoría de accesos cada 3 meses previene este problema.",[21,136,138],{"id":137},"nivel-3-controles-avanzados","Nivel 3: Controles avanzados",[48,140,142],{"id":141},"respuesta-a-incidentes","Respuesta a incidentes",[12,144,145],{},"Debe existir un plan documentado de respuesta a incidentes que defina roles, responsabilidades, procedimientos de comunicación y pasos de contención. El plan debe incluir información de contacto actualizada del equipo de respuesta, del proveedor de seguros (si aplica) y de asesores legales. El plan debe probarse al menos una vez al año con un ejercicio tabletop (simulación en mesa).",[48,147,149],{"id":148},"protección-avanzada-de-datos","Protección avanzada de datos",[12,151,152],{},"Los datos deben estar clasificados por nivel de sensibilidad (público, interno, confidencial, restringido). Debe existir una política de retención que defina cuánto tiempo se conserva cada tipo de dato. El cifrado en tránsito (TLS) debe estar habilitado en todas las comunicaciones internas y externas. Los datos sensibles en reposo deben estar cifrados en bases de datos y almacenamiento.",[48,154,156],{"id":155},"gestión-de-vulnerabilidades","Gestión de vulnerabilidades",[12,158,159],{},"Debe ejecutarse un escaneo de vulnerabilidades al menos mensualmente en servidores expuestos a internet. Las vulnerabilidades críticas deben remediarse dentro de 72 horas. Las vulnerabilidades altas dentro de 30 días. Debe existir un proceso documentado de evaluación y priorización de vulnerabilidades.",[48,161,163],{"id":162},"seguridad-en-la-nube","Seguridad en la nube",[12,165,166],{},"Las configuraciones de servicios cloud deben auditarse al menos trimestralmente. Los secretos (API keys, contraseñas, certificados) nunca deben estar en código fuente — deben usarse vaults de secretos. Los permisos IAM deben seguir el principio de mínimo privilegio y auditarse regularmente. Los buckets de almacenamiento y bases de datos nunca deben estar expuestos públicamente por defecto.",[79,168],{},[21,170,172],{"id":171},"métricas-para-medir-tu-progreso","Métricas para medir tu progreso",[12,174,175],{},"No basta con implementar controles — necesitas medir si están funcionando. Estas son las métricas clave que recomendamos rastrear:",[177,178,179,195],"table",{},[180,181,182],"thead",{},[183,184,185,189,192],"tr",{},[186,187,188],"th",{},"Métrica",[186,190,191],{},"Frecuencia",[186,193,194],{},"Objetivo",[196,197,198,210,220,231,242,252],"tbody",{},[183,199,200,204,207],{},[201,202,203],"td",{},"% de cuentas con MFA",[201,205,206],{},"Mensual",[201,208,209],{},"100%",[183,211,212,215,217],{},[201,213,214],{},"Días desde último backup probado",[201,216,206],{},[201,218,219],{},"\u003C90 días",[183,221,222,225,228],{},[201,223,224],{},"Tiempo promedio de desactivación de exempleados",[201,226,227],{},"Por evento",[201,229,230],{},"\u003C24 horas",[183,232,233,236,239],{},[201,234,235],{},"% de empleados que caen en simulación de phishing",[201,237,238],{},"Trimestral",[201,240,241],{},"\u003C15%",[183,243,244,247,249],{},[201,245,246],{},"Días desde última actualización de SO en servidores",[201,248,206],{},[201,250,251],{},"\u003C30 días",[183,253,254,257,260],{},[201,255,256],{},"Vulnerabilidades críticas abiertas",[201,258,259],{},"Semanal",[201,261,262],{},"0",[21,264,266],{"id":265},"descarga-la-checklist-completa","Descarga la checklist completa",[12,268,269],{},"La checklist completa incluye los 40 controles organizados por nivel, con columnas para calificar el estado actual, asignar responsable y definir fecha de implementación. Puedes usarla como documento de auditoría interna o como base para una evaluación formal de seguridad.",[271,272],"call-to-action",{"description":273,"eyebrow":274,"icon":275,"label":276,"title":277,"to":278},"Usamos esta checklist como punto de partida y la complementamos con escaneo de vulnerabilidades, pruebas de phishing y revisión de configuración. Agenda tu evaluación.","Recurso gratuito","i-lucide-shield-check","Agendar evaluación","¿Quieres una evaluación profesional de seguridad?","/contacto",{"title":280,"searchDepth":281,"depth":282,"links":283},"",2,3,[284,285,292,298,304,305],{"id":23,"depth":281,"text":24},{"id":45,"depth":281,"text":46,"children":286},[287,288,289,290,291],{"id":50,"depth":282,"text":51},{"id":66,"depth":282,"text":67},{"id":73,"depth":282,"text":74},{"id":83,"depth":282,"text":84},{"id":90,"depth":282,"text":91},{"id":97,"depth":281,"text":98,"children":293},[294,295,296,297],{"id":101,"depth":282,"text":102},{"id":108,"depth":282,"text":109},{"id":115,"depth":282,"text":116},{"id":122,"depth":282,"text":123},{"id":137,"depth":281,"text":138,"children":299},[300,301,302,303],{"id":141,"depth":282,"text":142},{"id":148,"depth":282,"text":149},{"id":155,"depth":282,"text":156},{"id":162,"depth":282,"text":163},{"id":171,"depth":281,"text":172},{"id":265,"depth":281,"text":266},"recurso",{"title":308,"description":309,"label":276,"to":278,"icon":275},"¿Quieres que revisemos tu seguridad?","Usamos esta checklist como base para nuestras evaluaciones de seguridad. Agenda una sesión y te decimos exactamente dónde están tus brechas.","2026-03-07","Descarga nuestra checklist de 40 puntos de seguridad informática para PyMEs. Cubre desde lo básico hasta controles avanzados para proteger tu empresa de las amenazas más comunes.",false,"md",[315,318,321],{"question":316,"answer":317},"¿Esta checklist aplica para cualquier tamaño de empresa?","Sí. Los controles están organizados por prioridad: los primeros 15 son esenciales para cualquier empresa, incluso de 5 empleados. Los controles intermedios y avanzados son para empresas con 20+ empleados o con requisitos regulatorios específicos.",{"question":319,"answer":320},"¿Cada cuánto debo revisar esta checklist?","Recomendamos una revisión trimestral de los controles básicos (accesos, actualizaciones, backups) y una revisión anual completa de todos los puntos. Después de cualquier incidente de seguridad, revisa la checklist completa.",{"question":322,"answer":323},"¿Necesito un equipo de TI para implementar estos controles?","Los controles básicos pueden implementarse sin equipo dedicado. Un administrador de sistemas generalista puede cubrir los controles intermedios. Los controles avanzados típicamente requieren experiencia especializada en ciberseguridad o un partner externo.","/images/blog/checklist-seguridad-informatica.jpg","Checklist de seguridad informática con iconos de escudo y candado sobre un escritorio",{},true,"/blog/recurso/checklist-seguridad-informatica-empresas",6,{"title":5,"description":311},"blog/recurso/checklist-seguridad-informatica-empresas",[333,334,306,335,336],"ciberseguridad","checklist","seguridad-empresarial","descargable","mEftXtCP5Lzy-5LKMfRECI616IC7jxJYsgzGzplkNtM",null,[340,347,353],{"path":341,"title":342,"description":343,"date":310,"category":306,"image":344,"imageAlt":345,"readingTime":346},"/blog/recurso/template-politica-respaldos-empresa","Template de política de respaldos para tu empresa","Descarga nuestro template de política de respaldos (backups) para empresas. Incluye definiciones, roles, frecuencias, retención, verificación y procedimientos de restauración listos para adaptar.","/images/blog/template-politica-respaldos.jpg","Documento de política de respaldos junto a un disco duro externo y un icono de nube",7,{"path":348,"title":349,"description":350,"date":310,"category":306,"image":351,"imageAlt":352,"readingTime":346},"/blog/recurso/template-plan-recuperacion-desastres","Template de plan de recuperación ante desastres (DRP)","Descarga nuestro template gratuito de Plan de Recuperación ante Desastres. Incluye estructura completa, roles, procedimientos y plantillas para que tu empresa pueda operar después de cualquier incidente.","/images/blog/template-plan-recuperacion-desastres.jpg","Documento de plan de recuperación ante desastres sobre un escritorio con servidor al fondo",{"path":354,"title":355,"description":356,"date":310,"category":306,"image":357,"imageAlt":358,"readingTime":359},"/blog/recurso/guia-evaluar-proveedores-erp","Guía para evaluar proveedores de ERP: criterios, preguntas y scorecard","Descarga nuestra guía con los criterios, preguntas clave y scorecard de evaluación para comparar proveedores de ERP de forma objetiva y elegir el mejor para tu empresa.","/images/blog/guia-evaluar-proveedores-erp.jpg","Equipo directivo evaluando propuestas de proveedores ERP con una tabla comparativa",8]