Una auditoría de seguridad se vuelve más útil cuando la empresa ya tiene evidencia básica.
No necesitas empezar con una plataforma compleja. Puedes ordenar capturas, reportes, listas, bitácoras y documentos que muestren cómo se administran accesos, respaldos, parches, proveedores e incidentes.
La evidencia no busca aparentar madurez. Busca responder con claridad: qué existe, cuándo se revisó, quién es responsable y qué falta corregir.
Qué cuenta como evidencia
Evidencia es cualquier registro que permite verificar un control.
Puede ser:
- reporte exportado de una consola;
- captura de configuración;
- lista de usuarios;
- ticket de cambio;
- bitácora de baja;
- prueba de restauración;
- documento de política;
- correo de aprobación;
- acta de revisión;
- línea de tiempo de incidente;
- matriz de hallazgos.
Lo importante es que tenga fecha, alcance, responsable y contexto suficiente para entender qué demuestra.
1. Inventario de activos críticos
La auditoría necesita saber qué se está revisando.
Prepara una lista de:
- dominios y subdominios;
- sistemas internos y públicos;
- servidores, endpoints y equipos de red;
- aplicaciones SaaS;
- plataformas cloud;
- sistemas con datos personales;
- respaldos;
- proveedores con acceso;
- responsables de negocio y TI.
No tiene que estar perfecto. Pero sí debe separar lo crítico de lo secundario.
2. Evidencia de accesos
Identidad y permisos suelen ser el primer bloque de revisión.
Guarda evidencia de:
- usuarios activos por sistema;
- cuentas administrativas;
- MFA en cuentas críticas;
- grupos y roles;
- bajas recientes;
- accesos de proveedores;
- cuentas compartidas detectadas;
- revisiones periódicas de permisos.
Una buena práctica es conservar una revisión mensual o trimestral de cuentas críticas, con hallazgos y acciones.
3. Evidencia de datos personales
Si manejas datos personales, conviene tener una vista clara de dónde viven y cómo se protegen.
Prepara:
- inventario de datos por proceso;
- aviso de privacidad vigente;
- responsable interno de privacidad;
- sistemas donde se almacenan datos;
- permisos sobre carpetas o aplicaciones;
- retención y eliminación;
- proveedores que tratan datos;
- solicitudes o incidentes relacionados, si existen.
Este bloque se conecta con cumplimiento básico para pymes en México.
4. Evidencia de respaldos
No basta con decir que hay respaldos.
La evidencia debe mostrar:
- qué sistemas se respaldan;
- frecuencia;
- retención;
- ubicación;
- responsable;
- resultado de pruebas;
- fecha de la última restauración;
- problemas encontrados;
- acciones correctivas.
Un respaldo sin prueba deja una pregunta abierta: si mañana falla el sistema, ¿la empresa realmente puede recuperar?
5. Evidencia de parches y exposición
Para sistemas expuestos o críticos, prepara registros de mantenimiento.
Incluye:
- versiones de sistemas relevantes;
- calendario de parches;
- vulnerabilidades críticas revisadas;
- cambios aplicados;
- excepciones aprobadas;
- servicios expuestos a internet;
- reglas de firewall o acceso remoto;
- evidencia de cierre de servicios obsoletos.
La prioridad debe ser mayor en VPN, firewall, correo, servidores públicos, aplicaciones web, nube y herramientas de acceso remoto.
6. Evidencia de proveedores
Los proveedores también forman parte del riesgo.
Documenta:
- nombre del proveedor;
- servicio prestado;
- sistemas o datos a los que accede;
- cuentas utilizadas;
- responsable interno;
- fecha de alta;
- método de autenticación;
- procedimiento de baja;
- contacto ante incidentes.
Si un proveedor ya no presta servicio, su acceso debe estar revocado y registrado.
7. Evidencia de incidentes y ejercicios
Aunque no haya incidentes graves, puedes guardar evidencia de ejercicios.
Ejemplos:
- simulacro de phishing;
- ejercicio de mesa de ransomware;
- prueba de recuperación;
- revisión posterior a alerta;
- investigación de cuenta comprometida;
- bitácora de contención;
- acciones de mejora.
La evidencia de incidentes debe cuidar datos sensibles. No todo debe copiarse a un reporte. A veces basta con referencias, hashes, timestamps, capturas redactadas y responsables.
Matriz mínima de evidencias
Usa una tabla simple:
| Control | Evidencia | Responsable | Frecuencia | Estado |
|---|---|---|---|---|
| MFA en cuentas críticas | Export o captura de configuración | TI | Mensual | Pendiente / Listo |
| Bajas de usuarios | Ticket o bitácora de baja | RH / TI | Por evento | Pendiente / Listo |
| Respaldos probados | Reporte de restauración | TI | Trimestral | Pendiente / Listo |
| Proveedores con acceso | Matriz de terceros | Operación / TI | Trimestral | Pendiente / Listo |
| Parches críticos | Reporte de mantenimiento | TI | Mensual | Pendiente / Listo |
| Incidentes | Línea de tiempo y acciones | Seguridad / TI | Por evento | Pendiente / Listo |
La tabla debe ser mantenible. Si se vuelve demasiado grande, nadie la actualizará.
Errores comunes
El primer error es guardar capturas sin fecha ni contexto. Después nadie sabe qué prueban.
El segundo es mezclar evidencia técnica con datos sensibles innecesarios.
El tercero es depender de una sola persona para encontrar todo.
El cuarto es no registrar excepciones. Si un parche no se aplicó por riesgo operativo, debe existir una razón y una fecha de revisión.
El quinto es preparar evidencia solo cuando ya llegó la auditoría.
Cadencia recomendada
Mensual: usuarios críticos, MFA, servicios expuestos, parches urgentes y respaldos recientes.
Trimestral: proveedores, políticas, restauraciones de prueba, cuentas privilegiadas y revisión de hallazgos.
Por evento: altas, bajas, incidentes, cambios críticos, nuevos sistemas y accesos de terceros.
Anual: revisión general de políticas, continuidad, privacidad, alcance de auditoría y plan de mejora.
Cómo puede ayudarte Syscore
Syscore puede ayudarte a preparar una base de evidencia útil para auditorías, diagnósticos, revisiones de clientes o mejoras internas.
El trabajo puede incluir inventario, matriz de controles, revisión de accesos, respaldos, proveedores, exposición digital, políticas operativas y preparación de hallazgos con prioridades.