Checklist de Ciberseguridad para PYMES
Evaluación completa de la postura de ciberseguridad de tu empresa. 42 puntos organizados en 8 categorías, con niveles de riesgo y explicaciones prácticas. Diseñado para empresas en Medellín, Valle de Aburrá y toda Colombia.
Resumen de tu Evaluación
Basado en NIST CSF 2.0, CIS Controls v8.1 e ISO 27001:2022
1. Perímetro de Red
0/6 6 itemsFirewall perimetral activo y configurado
Verifica que el firewall esté encendido, con reglas de filtrado activas y firmware actualizado. Sin firewall activo, tu red está completamente expuesta a ataques desde internet. Asegúrate de que la política por defecto sea "deny all" (denegar todo lo que no esté explícitamente permitido).
Puertos cerrados en la interfaz WAN
Realiza un escaneo de puertos desde internet (nmap, ShieldsUP) y confirma que solo estén abiertos los puertos estrictamente necesarios. Los puertos 22 (SSH), 3389 (RDP) y 445 (SMB) NUNCA deben estar expuestos directamente a internet; usa VPN en su lugar.
IDS/IPS configurado y con reglas actualizadas
Activa un sistema de detección y prevención de intrusos (Suricata, Snort o Zeek) en tu firewall. Configura las reglas ET Pro o Emerging Threats, activa la protección en modo "blocking" y revisa las alertas generadas al menos una vez por semana.
VPN para acceso remoto de todos los usuarios
Toda conexión remota (teletrabajo, soporte externo, administradores) debe pasar por una VPN (WireGuard, OpenVPN o IPsec). Prohibir el acceso directo por RDP, SSH o TeamViewer sin VPN. Implementa autenticación MFA para la conexión VPN.
Segmentación de red con VLANs
Separa la red en segmentos mediante VLANs: servidores, usuarios, invitados/WiFi público, impresoras, IoT y cámaras. Limita la comunicación entre segmentos con ACLs en el firewall o switch gestionable. Esto limita el movimiento lateral en caso de compromiso.
Firmware actualizado en todos los equipos de red
Verifica y actualiza el firmware de firewalls, switches, access points y routers a la última versión estable disponible. Las vulnerabilidades en firmware son una de las principales puertas de entrada para atacantes. Establece un calendario de actualización trimestral.
2. Protección de Endpoints
0/5 5 itemsAntivirus empresarial actualizado en todos los equipos
Instala una solución antivirus empresarial (Bitdefender GravityZone, SentinelOne, CrowdStrike) en todos los PCs, laptops y servidores. Las versiones gratuitas no son suficientes para entornos corporativos. Verifica que la protección en tiempo real esté activa y las firmas al día.
Políticas de actualización automática de parches
Configura Windows Update for Business, WSUS o una herramienta de patch management para instalar automáticamente parches de seguridad críticos. Para servidores, aplica parches en ventana de mantenimiento con respaldo previo. No posponer parches críticos más de 30 días.
Cifrado de discos duros (BitLocker / FileVault)
Activa BitLocker (Windows) o FileVault (macOS) en todos los equipos portátiles y dispositivos que almacenen datos sensibles. Sin cifrado, un laptop perdido o robado expone toda la información de la empresa. Almacena las claves de recuperación en Active Directory o un gestor seguro.
Control de dispositivos USB y medios extraíbles
Restringe o audita el uso de memorias USB y discos externos mediante GPO (Windows) o soluciones DLP. Esto previene la exfiltración de datos y la entrada de malware por USB. Puedes permitir USBs autorizados por su ID de hardware mientras bloqueas los no reconocidos.
EDR (Endpoint Detection and Response) activo
Implementa una solución EDR que vaya más allá del antivirus tradicional: detección de comportamiento anómalo, análisis de procesos, aislamiento automático de endpoints comprometidos y respuesta remota. Ideal para PYMES: SentinelOne, CrowdStrike Falcon o Bitdefender EDR.
3. Gestión de Identidades y Accesos
0/6 6 itemsContraseñas robustas y MFA activo en todos los accesos
Exigir contraseñas de mínimo 12 caracteres con complejidad. Implementar MFA (autenticación multifactor) en correo, VPN, RDP, ERP, CRM y cualquier sistema con datos sensibles. Microsoft Authenticator, Google Authenticator o Duo son gratuitos para PYMES. El 80% de brechas exitosas se previenen con MFA.
Active Directory seguro y endurecido
Si usas Active Directory: deshabilita cuentas por defecto (Guest, krbtgt), requiere clave compleja para Admin, implementa Tiered Administration (admin de dominio separado de admin de servicios), restringe delegaciones y audita las GPOs aplicadas periódicamente.
Revisión de permisos (principio de mínimo privilegio)
Audita quién tiene acceso a qué: carpetas compartidas, sistemas ERP, bases de datos, paneles de administración, correo de otros usuarios. Cada persona debe tener solo los permisos necesarios para su rol. Elimina accesos heredados, permisos "Everyone" y cuentas con privilegios excesivos.
Política de bloqueo de cuentas tras intentos fallidos
Configura bloqueo automático de cuenta después de 5 intentos fallidos de contraseña (lockout threshold). Establece duración del bloqueo de 15-30 minutos. Esto previene ataques de fuerza bruta. No uses el administrador para tareas cotidianas; crea cuentas individuales con privilegios elevados solo cuando se necesiten.
Auditoría trimestral de accesos y privilegios
Cada trimestre, revisa con cada gerente de área los accesos de su equipo. Verifica que ex-empleados no conserven accesos activos. Documenta los cambios realizados. Esta auditoría también es requerida por la ley 1581 de 2012 de protección de datos en Colombia.
Eliminación inmediata de cuentas inactivas
Implementa un proceso de offboarding documentado que se ejecute el mismo día en que un empleado deja la empresa: desactivar cuenta de correo, cuenta de red, acceso a VPN, badges físicos y tokens MFA. Revise cuentas dormant (>90 días sin actividad) mensualmente.
4. Backup y Recuperación de Desastres
0/6 6 itemsEstrategia de backup 3-2-1 verificada y operativa
Tener 3 copias de los datos, en 2 tipos de medio diferentes (disco local, NAS, cinta), con 1 copia almacenada offsite (nube o sede remota). Verifica que cada job de backup se ejecute exitosamente. Configura alertas para jobs fallidos. Sin backup verificado, no tienes backup.
RPO (Recovery Point Objective) definido por área
Documenta cuántos minutos u horas de datos puede perder cada sistema en caso de desastre. Ejemplo: facturación RPO 1 hora, archivos compartidos RPO 24 horas, Active Directory RPO 15 minutos. Ajusta la frecuencia de backup para cumplir cada RPO definido.
RTO (Recovery Time Objective) documentado y probado
Define el tiempo máximo aceptable para restaurar cada sistema crítico después de un desastre. Verifica con pruebas reales que tu infraestructura de backup pueda cumplir estos tiempos. Ejemplo: correo RTO 4 horas, ERP RTO 8 horas, archivo RTO 24 horas.
Prueba trimestral de restauración de backup
Realiza pruebas reales de restauración al menos una vez por trimestre. No asumas que el backup funciona porque el job reporta "éxito". Restaura archivos individuales, una VM completa y la base de datos más crítica. Documenta el tiempo real de recuperación y compáralo con tu RTO.
Backup inmutable configurado (anti-ransomware)
Implementa backups inmutables que no puedan ser modificados ni eliminados ni por administradores ni por ransomware. En Veeam: usar Immutable Backups con Object Lock en S3-compatible. En Acronis: habilitar la bóveda inmutable. Período mínimo de retención inmutable: 14 días.
Almacenamiento offsite/cloud para copias externas
Envía copias de backup a una ubicación externa: AWS S3, Azure Blob, Wasabi, Backblaze B2 o una NAS en otra sede física. La copia local NO es suficiente; un incendio, robo o ransomware puede destruir todas las copias en el mismo sitio. Usa cifrado AES-256 en tránsito y en reposo.
5. Seguridad de Correo Electrónico
0/5 5 itemsSPF, DKIM y DMARC configurados y verificados
Estos tres registros DNS son esenciales para que otros servidores confíen en tus correos y para prevenir que atacantes suplanten tu dominio (spoofing). SPF autoriza qué servidores pueden enviar correo con tu dominio. DKIM firma criptográficamente tus correos. DMARC define qué hacer cuando un correo falla la verificación.
Filtro anti-spam y anti-malware avanzado
Activa filtrado avanzado en tu servidor de correo: Exchange Online Protection (Microsoft 365), Google Workspace Spam Filter, o una solución dedicada como SpamTitan o Proofpoint. Configura cuarentena para correos sospechosos y revisión periódica de falsos positivos.
Capacitación trimestral en phishing
El 91% de los ataques cibernéticos empiezan con un correo de phishing. Realiza simulaciones de phishing (KnowBe4, GoPhish) y sesiones de capacitación al menos una vez por trimestre. Mide la tasa de clics y mejora continuamente. Incluye cómo identificar enlaces sospechosos y adjuntos maliciosos.
Sandbox para análisis de adjuntos sospechosos
Implementa un sandbox que abra y analice archivos adjuntos en un entorno aislado antes de entregarlos al destinatario. Microsoft Defender for Office 365 (Safe Attachments), ATP de Google Workspace o soluciones como Cofense y Virtru. Esto es crítico contra ransomware distribuido por correo.
Política de retención y archivo de correos
Define tiempos de retención de buzones según las necesidades legales y operativas de tu empresa en Colombia. Archiva correos antiguos automáticamente para liberar espacio en buzones activos. Considera requerimientos de la ley 1581 y normativas sectoriales (Superfinanciera, Superintendencia). Implementar litigio hold para investigaciones.
6. Seguridad Física
0/4 4 itemsServidores y equipamiento en cuarto cerrado
Los servidores, switches, firewall y almacenamiento deben estar en un cuarto dedicado (no en un pasillo, escritorio o área abierta). El cuarto debe tener temperatura controlada (18-24°C), ventilación o aire acondicionado, piso técnico si es posible, y estar libre de humedad y polvo excesivo.
Control de acceso físico al cuarto de servidores
Implementa control de acceso: cerradura con llave como mínimo, preferiblemente tarjeta RFID, PIN o biometría. Mantener un registro de quién ingresa y a qué hora. Entregar llaves/tarjetas solo al personal autorizado. Cambiar accesos cuando un empleado con acceso deja la empresa.
CCTV (videovigilancia) en puntos críticos
Instala cámaras de vigilancia en el cuarto de servidores, entrada principal y puntos de acceso a infraestructura crítica. Almacenar grabaciones mínimo 30 días. Las cámaras actúan como disuasión y como evidencia en caso de incidente físico (robo, sabotaje, acceso no autorizado).
UPS (SAI) y supresores de picos eléctricos
Instalar UPS en todos los servidores, NAS, firewall y equipamiento de red crítico. Verificar autonomía mínima de 30 minutos para permitir apagado ordenado. Implementar supresores de picos en puntos de distribución eléctrica. Realizar mantenimiento preventivo de UPS (baterías) anualmente.
7. Políticas y Cumplimiento Normativo
0/5 5 itemsPolítica de seguridad de la información aprobada
Tener un documento formal de políticas de seguridad, aprobado por la gerencia, que defina: uso aceptable de equipos y correo, manejo de contraseñas, BYOD (trae tu propio dispositivo), clasificación de datos, reporte de incidentes y responsabilidades. Comunicarla a todo el personal y exigir firma de acuse de recibo.
Plan de respuesta a incidentes documentado
Documentar un plan paso a paso con: roles y responsabilidades (quién hace qué), matriz de escalamiento, contactos de emergencia (interno y externo: abogado, aseguradora, fuerza pública), procedimientos de contención, comunicación a afectados y lecciones aprendidas. Guardar copias impresas fuera de línea.
Capacitación anual de concientización en ciberseguridad
Realizar al menos una capacitación anual obligatoria para todo el personal sobre: amenazas actuales, phishing, ingeniería social, manejo seguro de datos, uso de VPN, políticas de contraseñas y reporte de incidentes. Documentar asistencia. En Colombia, la ley 1581 exige capacitación sobre protección de datos.
Aseguramiento cibernético (ciberseguro) vigente
Evaluar y contratar una póliza de ciberseguridad que cubra: ransomware (rescate y recuperación), brecha de datos (notificación, crédito de monitoreo), responsabilidad civil, pérdida de ingresos por interrupción y gastos forenses. Verificar coberturas, deducibles y exclusiones con tu broker.
Cumplimiento normativo verificado (Ley 1581, SARLAFT)
Verificar cumplimiento de las normativas aplicables a tu empresa en Colombia: Ley 1581 de 2012 (protección de datos personales y Habeas Data), Decreto 1377 (registro de bases de datos), SARLAFT (prevención de lavado de activos para entidades financieras), y cualquier normativa sectorial (salud, educación, comercio). Mantener evidencia documental.
8. Monitoreo y Respuesta a Incidentes
0/5 5 itemsMonitoreo 24/7 de infraestructura crítica
Implementar monitoreo continuo de servidores, red, firewall y servicios críticos (correo, ERP, web). Herramientas como Zabbix, PRTG, Grafana + Prometheus o soluciones gestionadas (SOC as a Service). Sin monitoreo, no puedes detectar ataques, fallos o anomalías hasta que el usuario reporte el problema.
Alertas automáticas configuradas para eventos críticos
Configurar alertas inmediatas para: caídas de servicio, CPU/RAM/disco al 90%, intentos de intrusión detectados por IDS/IPS, respaldo fallido, login fallido masivo y cambios en configuración del firewall. Las alertas deben llegar por correo, SMS y/o canales como Telegram o Slack.
SIEM o sistema de centralización de logs
Centralizar logs de firewall, servidores, Active Directory, antivirus y aplicaciones en un SIEM (Splunk, Wazuh, Elastic SIEM) o sistema de gestión de logs. Sin centralización, buscar evidencia de un incidente significa revisar logs en cada dispositivo individualmente, lo cual es ineficiente e incompleto.
Procedimiento de escalamiento documentado y probado
Documentar una matriz de escalamiento que defina: qué tipo de alerta la recibe quién, en qué tiempo se debe responder (SLA), cómo se escala al siguiente nivel, y cuándo se activa el plan de respuesta a incidentes. Probar el procedimiento con simulacros al menos una vez al semestre.
Revisión mensual de logs del firewall y servidores
Dedicar tiempo mensual a revisar los logs más relevantes: conexiones bloqueadas por el firewall, intentos de login fallidos en servidores, alertas del antivirus/EDR y errores de backup. Esta revisión manual detecta patrones que las herramientas automatizadas pueden pasar por alto y mantiene al equipo de TI informado sobre el estado real de la seguridad.
¿Necesitas ayuda para implementar estos puntos?
Nuestro equipo especializado en ciberseguridad puede ayudarte a evaluar y mejorar la postura de seguridad de tu empresa en Medellín, Valle de Aburrá y toda Colombia. Primera consulta sin costo.
Solicitar Asesoría Gratuita