Qué revisar en una auditoría informática básica de tu empresa
La mayoría de pymes no sabe con exactitud qué equipos tiene, cuántos años llevan funcionando, qué software está instalado, si las licencias están al día o si hay sistemas críticos sin ninguna redundancia. No porque nadie se preocupe, sino porque nadie lo ha documentado nunca. Aquí van las diez preguntas que debería poder responder cualquier empresa sobre su propia infraestructura IT.
Las 10 preguntas de una auditoría IT básica
¿Cuántos equipos tienes y en qué estado están?
Listado completo de ordenadores, servidores y dispositivos de red con su antigüedad. Los equipos con más de 5-6 años en producción son un riesgo de fallo y de seguridad.
¿Qué sistemas operativos están en uso y están actualizados?
Windows 10 llega al fin de soporte en octubre de 2025. Windows 7 y 8 ya no reciben parches. Tener equipos con SO sin soporte es una vulnerabilidad conocida y explotada activamente.
¿Qué software crítico tiene tu empresa y están las licencias en regla?
Office, ERP, software de gestión específico del sector. Licencias caducadas o versiones piratas son un riesgo legal y de seguridad.
¿Tienes copias de seguridad verificadas de tus datos críticos?
No basta con tener backups: ¿cuándo fue la última vez que intentaste restaurar algo desde ellos? Un backup no probado no es un backup.
¿Quién tiene acceso de administrador a qué sistemas?
Usuarios con más permisos de los necesarios es un riesgo. Si un atacante compromete esa cuenta, tiene acceso a todo.
¿Cómo está configurado el firewall y qué puertos están abiertos?
Muchas empresas tienen el escritorio remoto (RDP) expuesto a internet sin restricciones. Es una de las vías de entrada más usadas por los atacantes.
¿Tienes algún sistema crítico sin redundancia?
Un único servidor que, si falla, para toda la empresa. ¿Cuánto tiempo puedes estar parado hasta que lo reparan o sustituyen?
¿Cómo acceden los empleados remotos a los recursos de la empresa?
Acceso directo por RDP sin VPN es peligroso. ¿Tienen todos los accesos remotos doble factor activado?
¿Está documentado qué hace cada sistema y quién lo gestiona?
Si mañana se va la persona que "sabe cómo funciona todo", ¿alguien más puede gestionar la infraestructura?
¿Cuánto tiempo tardarías en volver a operar si el servidor principal fallara hoy?
Esta es la pregunta definitiva de continuidad de negocio. Si la respuesta es "no lo sé", ya tienes la respuesta a si necesitas una auditoría.
¿Cuántas has podido responder con seguridad?
Si has podido responder 8 o más con certeza y documentación, vuestra infraestructura está en buen estado. Entre 5 y 7, hay trabajo por hacer pero no es urgente. Menos de 5, conviene hacer una revisión en los próximos meses antes de que algo falle en el peor momento.