Cumplimiento básico para pymes en México

Para una pyme, la palabra cumplimiento puede sonar a auditorías costosas, documentos extensos y requisitos difíciles de sostener.

En la práctica, el primer nivel es más concreto: saber qué información manejas, quién puede verla, qué controles existen, qué evidencia puedes mostrar y cómo respondes si algo sale mal.

Esta guía no sustituye asesoría legal. Sirve para ordenar una base operativa de seguridad, privacidad y control interno antes de buscar una auditoría formal, una certificación o una revisión especializada.

Qué significa cumplimiento básico

Cumplimiento básico no significa prometer que todo está resuelto.

Significa poder demostrar que la empresa tiene controles mínimos, responsables y evidencia sobre temas críticos:

• datos personales y finalidades de uso;
• accesos a sistemas y cuentas administrativas;
• respaldos y capacidad de recuperación;
• proveedores con acceso a información o sistemas;
• políticas internas entendibles;
• bitácoras y evidencia de cambios;
• respuesta inicial ante incidentes;
• revisión periódica de riesgos.

La diferencia está en pasar de “seguro alguien lo revisa” a “esto se revisa así, por esta persona, con esta evidencia”.

1. Identifica qué datos personales manejas

En México, las empresas que tratan datos personales deben revisar sus obligaciones conforme al marco aplicable. El punto inicial no es redactar documentos sin contexto, sino entender qué datos tienes y para qué los usas.

Haz un inventario simple:

• datos de clientes;
• datos de prospectos;
• datos de empleados o candidatos;
• datos de proveedores;
• documentos fiscales, contratos o identificaciones;
• información financiera o bancaria;
• datos sensibles, si existen;
• sistemas donde se guardan esos datos.

Para cada grupo, define finalidad, responsable interno, ubicación, acceso, retención y forma de eliminación.

2. Revisa aviso de privacidad y consentimiento

El aviso de privacidad debe explicar de forma clara cómo se tratan los datos personales. No conviene copiar un formato genérico si no refleja la operación real.

Revisa si tu aviso cubre:

• identidad y domicilio del responsable;
• datos que se recaban;
• finalidades principales y secundarias;
• transferencias, si aplican;
• medios para ejercer derechos ARCO;
• mecanismos para limitar uso o divulgación;
• cambios al aviso;
• contacto de privacidad.

Si tu sitio, formularios, CRM, mesa de ayuda o procesos comerciales cambiaron, el aviso también debe revisarse.

3. Controla accesos y bajas de usuarios

Una pyme puede tener buen software y aun así fallar por accesos desordenados.

El cumplimiento básico necesita responder:

• quién tiene acceso a correo, nube, ERP, facturación, CRM y archivos;
• qué cuentas son administrativas;
• qué usuarios ya no deberían estar activos;
• qué proveedores conservan acceso;
• dónde falta MFA;
• qué cuentas compartidas existen;
• quién aprueba altas, cambios y bajas.

Prioriza MFA en correo, administración, nube, VPN, sistemas financieros y cualquier plataforma con datos personales o información crítica.

4. Documenta políticas que sí se usan

Una política no ayuda si nadie la entiende.

Empieza con documentos cortos:

• uso aceptable de equipos y cuentas;
• manejo de datos personales;
• contraseñas y MFA;
• uso de correo y validación de pagos;
• instalación de software;
• respaldo y recuperación;
• reporte de incidentes;
• uso de herramientas de IA, si aplica.

Cada política debe tener dueño, fecha, alcance y forma de revisión. El objetivo no es llenar carpetas, sino reducir decisiones improvisadas.

5. Protege respaldos y continuidad

Cumplir también implica poder operar y recuperar información cuando algo falla.

Revisa:

• qué sistemas se respaldan;
• frecuencia de respaldo;
• retención;
• quién puede borrar o restaurar;
• dónde se guardan las copias;
• cuándo fue la última prueba;
• cuánto tarda recuperar;
• qué evidencia queda de la prueba.

Este punto se conecta con plan de continuidad operativa para pymes y cómo probar respaldos sin detener la operación.

6. Ordena proveedores con acceso

Muchos riesgos entran por terceros: soporte, software, hosting, nube, contadores, integradores, agencias, proveedores de correo o plataformas SaaS.

Para cada proveedor relevante, documenta:

• qué servicio presta;
• qué datos o sistemas puede ver;
• qué cuentas usa;
• si tiene MFA;
• quién autoriza su acceso;
• cómo se revoca el acceso al terminar;
• qué evidencia o bitácora entrega;
• qué contacto se usa ante incidentes.

No todos los proveedores requieren el mismo nivel de revisión. Empieza por los que acceden a datos personales, sistemas críticos, correo, nube, respaldos o pagos.

7. Guarda evidencia mínima

El cumplimiento se vuelve débil cuando todo depende de memoria.

Una carpeta de evidencia puede incluir:

• inventario de sistemas y responsables;
• lista de usuarios administrativos;
• comprobante de MFA en cuentas críticas;
• políticas vigentes;
• bitácora de altas y bajas;
• pruebas de respaldo y restauración;
• revisiones de parches;
• revisión de proveedores;
• reportes de incidentes o ejercicios de mesa;
• hallazgos y acciones correctivas.

La evidencia debe estar fechada, tener responsable y ser fácil de encontrar.

8. Prepara respuesta a incidentes

Si hay una fuga de datos, ransomware, cuenta comprometida o error de exposición, la empresa necesita actuar con orden.

Define:

• quién recibe reportes;
• quién decide contención;
• quién contacta proveedor externo;
• dónde se revisan logs;
• cómo se conserva evidencia;
• cuándo participa legal o privacidad;
• cómo se comunica internamente;
• cómo se documenta la línea de tiempo.

No esperes al incidente para decidir esto. Un flujo simple puede ahorrar horas críticas.

Checklist de 30 días

Semana 1: inventario de datos, sistemas, proveedores y responsables.

Semana 2: revisión de accesos, MFA, usuarios antiguos y cuentas compartidas.

Semana 3: aviso de privacidad, políticas cortas, respaldos y evidencia de restauración.

Semana 4: revisión de proveedores, carpeta de evidencia y flujo de respuesta a incidentes.

El resultado debe ser una lista de brechas con prioridad, responsable y fecha objetivo.

Errores comunes

El primer error es confundir cumplimiento con tener documentos. Si los controles no se aplican ni se pueden demostrar, el documento aporta poco.

El segundo es dejar privacidad como tema aislado de TI. Datos personales viven en correo, archivos, respaldos, SaaS, laptops, tickets y bases de datos.

El tercero es no revisar proveedores. Una pyme puede cuidar sus cuentas internas, pero dejar accesos externos sin dueño.

El cuarto es no medir recuperación. Si nunca restauraste un respaldo, no sabes si puedes recuperar.

El quinto es esperar a una auditoría externa para ordenar lo básico.

Cómo puede ayudarte Syscore

Syscore puede ayudarte a convertir cumplimiento básico en controles verificables: inventario, accesos, MFA, respaldos, evidencia, proveedores, políticas operativas y preparación de respuesta.

También podemos conectar esta base con servicios de ciberseguridad para empresas, servicios gestionados de TI MSP, auditoría de ciberseguridad o monitoreo y análisis de seguridad.

Referencias útiles

• Ley Federal de Protección de Datos Personales en Posesión de los Particulares
• Lineamientos del Aviso de Privacidad
• CISA: Cyber Guidance for Small Businesses

Enlaces internos útiles

• Autodiagnóstico de ciberseguridad para PYMEs en México
• Evidencias de seguridad para auditorías en pymes
• Guía de ciberseguridad para PYMEs en México
• Fuga de datos en una empresa
• Política de privacidad