Una auditoría de seguridad IT es uno de los ejercicios de mayor impacto que una empresa mediana puede contratar. Cuando se hace bien, entrega un mapa claro de riesgos, una hoja de ruta priorizada y evidencia objetiva para la toma de decisiones. Cuando se hace mal, produce un documento de 80 páginas que nadie lee y nada cambia.
En este artículo describimos el protocolo que aplicamos en auditorías para empresas medianas: las fases, las técnicas y —crítico— los entregables que realmente ayudan a la toma de decisiones.
¿Qué debe cubrir una auditoría?
Una auditoría de seguridad seria cubre al menos siete dimensiones:
- Gobernanza de seguridad: políticas, procedimientos, roles, cumplimiento regulatorio.
- Identidad y accesos: cuentas de usuario, MFA, gestión de privilegios, ciclos de vida.
- Infraestructura: servidores, red, cloud, configuraciones, hardening.
- Aplicaciones: código, vulnerabilidades, dependencias, prácticas de desarrollo seguro.
- Datos: clasificación, cifrado, respaldo, retención.
- Operaciones: monitoreo, detección, respuesta a incidentes, gestión de parches.
- Físico y humano: controles de acceso físico, concientización, cultura de seguridad.
Saltar alguna de estas dimensiones deja un punto ciego. Auditorías que solo revisan infraestructura técnica son incompletas.
Las fases del protocolo
Fase 1: Kickoff y alcance (3-5 días)
La auditoría empieza con una reunión de definición de alcance. Se definen:
- Qué sistemas, activos y áreas están incluidas.
- Qué tipo de pruebas están autorizadas (escaneos pasivos, activos, pentesting controlado).
- Quiénes son los interlocutores principales y cómo se escalan hallazgos críticos.
- Plazos y entregables.
Un documento de alcance firmado por las partes evita malentendidos durante la ejecución.
Fase 2: Recolección de información (1-2 semanas)
Se reúne información de múltiples fuentes:
- Entrevistas con TI, seguridad, operaciones y negocio.
- Inventarios de activos, usuarios, aplicaciones.
- Políticas y procedimientos existentes.
- Evidencia de controles (capturas, logs, configuraciones).
- Acceso a consolas de administración (lectura) para validación directa.
La calidad de la información en esta fase determina la profundidad del análisis.
Fase 3: Análisis técnico (1-3 semanas)
Aquí se validan técnicamente los controles:
- Escaneo de vulnerabilidades: herramientas como Nessus, OpenVAS, Qualys.
- Revisión de configuraciones: contraste con benchmarks (CIS, DISA STIG).
- Análisis de aplicaciones: SAST (análisis estático), DAST (análisis dinámico), revisión de dependencias.
- Pruebas de penetración controladas: si están en el alcance.
- Revisión de logs y monitoreo: qué se detecta y qué no.
Cada hallazgo se documenta con evidencia concreta (captura, log, configuración).
Fase 4: Evaluación de riesgo (3-5 días)
Los hallazgos se cruzan con el contexto del negocio para calcular riesgo real:
Riesgo = Probabilidad × Impacto
No todo hallazgo técnico es un riesgo alto: un servidor sin parches en una red aislada sin datos sensibles tiene impacto limitado. Un servidor con los mismos parches faltantes en la red de producción es un riesgo crítico.
Fase 5: Elaboración del informe (1 semana)
El informe es el principal entregable. Debe incluir:
- Resumen ejecutivo (1-2 páginas): hallazgos críticos, riesgo general, recomendaciones principales.
- Detalle técnico: cada hallazgo con descripción, evidencia, riesgo y recomendación específica.
- Plan de remediación priorizado: qué hacer primero, en qué plazo, con qué esfuerzo estimado.
- Anexos: evidencias, reportes de herramientas, entrevistas.
La diferencia entre un informe útil y uno olvidable está en el resumen ejecutivo y el plan de remediación. Si estos dos son claros, el informe se usa para tomar decisiones.
Fase 6: Presentación y seguimiento (continuo)
La auditoría no termina con el informe. Se presenta a la dirección, se acuerda el plan de acción, se define seguimiento periódico. Una auditoría sin plan de remediación ejecutado es un ejercicio incompleto.
Cómo clasificar hallazgos
Un sistema de severidad que funciona en auditorías para empresas medianas:
Crítico
Compromiso inmediato posible con alto impacto al negocio. Ejemplo: credenciales administrativas expuestas, servicios críticos accesibles sin autenticación desde internet.
Plazo de remediación: 24-72 horas.
Alto
Vulnerabilidad explotable con esfuerzo moderado y daño significativo. Ejemplo: versiones de software con CVEs conocidos y parche disponible, MFA no habilitado en correo administrativo.
Plazo: 1-4 semanas.
Medio
Requiere conjunto de condiciones para explotarse o daño limitado. Ejemplo: políticas de contraseña débiles, logs insuficientes para investigación forense.
Plazo: 1-3 meses.
Bajo
Buenas prácticas no seguidas, sin riesgo inmediato. Ejemplo: documentación desactualizada, banners informativos expuestos.
Plazo: 3-6 meses o según conveniencia.
Los hallazgos más comunes
En más de 100 auditorías realizadas, los hallazgos que aparecen con mayor frecuencia:
- MFA no habilitado en sistemas críticos.
- Cuentas de ex-empleados aún activas o con accesos no revisados.
- Parches de sistema operativo o aplicaciones con retraso significativo.
- Privilegios administrativos demasiado amplios y permanentes.
- Backups no probados (nadie ha restaurado recientemente).
- Red plana sin segmentación básica.
- Logs insuficientes para investigación forense.
- Ausencia de plan de respuesta a incidentes o ensayos del mismo.
- Contraseñas compartidas entre equipo de TI.
- Servicios administrativos expuestos a internet sin control de IP.
La mayoría de estos hallazgos se remedian con esfuerzo moderado y alto impacto.
Frecuencia recomendada
Para empresas medianas:
- Auditoría completa: anual.
- Escaneo de vulnerabilidades: trimestral.
- Revisión de accesos: semestral.
- Ensayo de plan de respuesta: anual.
- Pentesting: anual o bienal, según exposición.
Sectores regulados pueden requerir cadencia mayor.
Errores comunes al contratar auditorías
Elegir por precio
Una auditoría barata suele ser superficial. La diferencia entre un reporte útil y uno inútil puede ser de 30%-40% en precio, pero el retorno es 10x.
No incluir la parte humana
Evaluar solo lo técnico deja fuera la mayor causa real de incidentes: personas y procesos. Entrevistas, simulaciones de phishing y revisión de concientización son parte integral.
No asegurar el seguimiento
Contratar solo la auditoría sin contratar (o asignar) el esfuerzo de remediación es tirar el 70% del valor.
Esperar que resuelva todos los problemas
Una auditoría identifica riesgos; las decisiones de inversión y ejecución son del negocio. El auditor acompaña, no sustituye, a la gerencia de TI.
Conclusión
Una auditoría de seguridad bien hecha es una de las mejores inversiones en madurez que una empresa mediana puede hacer. Entrega visibilidad, prioridades claras y argumentos objetivos para tomar decisiones. En IT Efectivos hemos liderado auditorías en empresas de múltiples sectores, con entregables pensados para ser usados —no archivados—. Si no has hecho una en el último año, probablemente sea hora. Escríbenos.