Lista de verificación de preparación en ciberseguridad

Muchas empresas pequeñas saben que la seguridad importa, pero no están seguras de cómo se ve un nivel de “lo suficientemente bueno por ahora”. Esta lista de verificación te da un punto de partida práctico. Se enfoca en lo básico que reduce el riesgo común del día a día, como la protección de cuentas, las actualizaciones de software, las copias de seguridad y los hábitos del personal.

No necesitas ser técnico para usarla. Si puedes responder sí, no o no estoy seguro/a para cada elemento, eso es suficiente. “No estoy seguro/a” también sirve. Normalmente significa que el proceso es informal, no está documentado o depende de una sola persona.

Es información educativa general, no una evaluación de seguridad. Los requisitos varían según la industria y el estado. Si manejas salud, pagos, información legal u otros datos sensibles, podrías tener reglas adicionales que seguir.

Revisa cada elemento y marca una respuesta: Sí, No o No estoy seguro/a. Sé honesto/a. El objetivo no es obtener una calificación perfecta. El objetivo es entender dónde estás hoy.

Si eres dueño/a o gerente de oficina, quizá quieras responder con aportes de quien maneje computadoras, software o proveedores. No nos envíes contraseñas, detalles de red ni acceso a sistemas. Solo recopilamos datos básicos de negocio y contacto si nos pides que te ayudemos a encontrar un proveedor.

Una regla útil es sencilla. Si un paso de seguridad ocurre solo “cuando alguien se acuerda”, considéralo como No. Si ocurre con regularidad, está por escrito y más de una persona conoce el proceso, consíderalo como Sí.

Califica cada elemento como Sí, No o No estoy seguro/a.

1. La autenticación multifactor (MFA) está activada para correo electrónico, contabilidad, banca, almacenamiento de archivos y otros sistemas importantes. La autenticación multifactor, o MFA, significa que los usuarios necesitan un segundo paso para iniciar sesión, como un código de una app o una llave de seguridad, y no solo una contraseña.

2. Cada empleado tiene su propia cuenta. Se evitan las inicios de sesión compartidos, especialmente para correo electrónico, finanzas y herramientas de administración.

3. Los empleados anteriores y los proveedores antiguos se eliminan rápidamente de cuentas, software, Wi‑Fi y dispositivos.

4. Las contraseñas son fuertes y únicas, y tu equipo usa un administrador de contraseñas en lugar de reutilizarlas en una hoja de cálculo o libreta.

5. Las computadoras, teléfonos, routers y aplicaciones de negocio se actualizan con regularidad. Aplicar parches (patching) significa instalar actualizaciones de seguridad y correcciones de fallas para que las debilidades conocidas sean menos propensas a explotarse.

6. El antivirus o la protección moderna de dispositivos está instalada y activa en las computadoras del negocio. “Endpoint” (punto final) significa un dispositivo como una laptop, computadora de escritorio, teléfono o tablet que se conecta a los sistemas de tu empresa. EDR, o detección y respuesta en endpoints (endpoint detection and response), es una herramienta más avanzada que algunos proveedores usan para identificar e investigar actividad sospechosa en esos dispositivos.

7. Los datos importantes se respaldan automáticamente, no solo se copian manualmente de vez en cuando.

8. Las copias de seguridad se prueban de vez en cuando restaurando un archivo o un sistema, para que sepas que la copia es usable.

9. Tu enfoque de copias de seguridad sigue, de manera aproximada, la regla 3-2-1. Eso significa mantener 3 copias de datos importantes, en 2 tipos diferentes de almacenamiento, con 1 copia guardada fuera del sitio (offsite) o en la nube.

10. El personal sabe reconocer correos electrónicos sospechosos, facturas falsas y solicitudes de inicio de sesión inesperadas, y recibe capacitación básica de seguridad al menos una o dos veces al año.

11. Hay una forma clara para que el personal reporte rápidamente algo sospechoso, sin sentirse avergonzado/a.

12. El Wi‑Fi del negocio está asegurado, usa una contraseña sólida y, cuando es posible, el Wi‑Fi de invitados está separado de los dispositivos del negocio.

13. El acceso de administración se limita a las pocas personas que realmente lo necesitan. No todos deberían poder instalar software, cambiar configuraciones de seguridad o acceder a todos los archivos.

14. Sabes qué dispositivos y software clave usa tu negocio. No tiene que ser sofisticado, pero debe haber una lista vigente.

15. El trabajo remoto se gestiona con reglas básicas, como bloqueos de pantalla, dispositivos aprobados y acceso seguro a archivos y aplicaciones.

16. Si recopilas pagos con tarjeta, información de salud u otros datos regulados, sabes qué reglas podrían aplicar. PCI se refiere a los requisitos de seguridad para tarjetas de pago. HIPAA es la Ley de Portabilidad y Responsabilidad de Seguros de Salud (Health Insurance Portability and Accountability Act), que aplica a cierta información de salud en EE. UU. SOC 2 es un estándar de reporte que algunos proveedores de software usan para mostrar cómo manejan controles de seguridad.

17. Sabes a quién llamar si algo sale mal, como un inicio de sesión sospechoso, una laptop perdida o un evento de ransomware. Incluso una lista simple de contactos es mejor que tener que averiguarlo durante un día estresante.

18. Los principales proveedores de software y los proveedores de TI están documentados, con contactos de soporte vigentes y fechas de renovación.

19. Si una empresa externa ayuda con TI, entiendes de qué son responsables y de qué no. Un SLA, o acuerdo de nivel de servicio (service level agreement), es la parte del contrato que explica los objetivos de respuesta y el alcance del servicio. RMM, o monitoreo y gestión remota (remote monitoring and management), es software que muchos proveedores administrados usan para vigilar la salud de los dispositivos, aplicar actualizaciones y brindar soporte de forma remota.

20. Las decisiones de seguridad se revisan al menos ocasionalmente, no solo después de que ocurre un problema. Algunos proveedores administrados también ofrecen soporte de vCIO. vCIO significa Chief Information Officer (CIO) virtual (virtual Chief Information Officer), un rol de planeación que ayuda a un negocio a pensar en prioridades tecnológicas, presupuestos y riesgos.

Si respondiste Sí a la mayoría de los elementos, es una buena señal. Normalmente significa que tienes una base funcional. Eso no hace que tu negocio esté “totalmente asegurado”. Ningún proveedor honesto promete una red imposible de hackear o cero tiempo de inactividad. Significa que probablemente tienes lo básico en su lugar y puedes mejorar desde ahí.

Si respondiste No o No estoy seguro/a a varios elementos, no entres en pánico. Eso es común, especialmente en empresas más pequeñas donde la tecnología creció de forma informal con el tiempo. Empieza por lo básico que normalmente importa más primero: MFA, aplicación de parches (patching), copias de seguridad, eliminación de accesos antiguos, protección de dispositivos y capacitación básica del personal.

Si casi todo es No o No estoy seguro/a, el siguiente paso no es comprar todas las herramientas a la vez. Es obtener un plan claro y priorizado. Un buen proveedor independiente de TI administrado puede ayudarte a separar correcciones urgentes de mejoras a más largo plazo.

Convierte tus resultados en una lista corta de acciones con tres grupos: corregir ahora, corregir pronto y revisar más adelante. “Corregir ahora” normalmente incluye MFA, actualizaciones de software, verificaciones de copias de seguridad, eliminar cuentas antiguas y asegurarte de que los dispositivos del negocio tengan protección vigente.

Para cada No o No estoy seguro/a, haz una pregunta clara. ¿Quién es responsable de esto? ¿Con qué frecuencia se hace? ¿Está por escrito? ¿Cómo sabemos que funcionó? Esas cuatro preguntas revelarán si un proceso es real o si solo se asume.

Si quieres ayuda para entender tus opciones, NodeBridge IT puede conectarte con un proveedor independiente de servicios de TI administrado. Somos un servicio de emparejamiento gratuito. No administramos sistemas, no monitoreamos tu red ni accedemos a tus cuentas. También puedes leer más en guías en lenguaje claro guides y comparar servicios comunes de TI administrado services.