Checklist de seguridad básica para PyMEs: lo mínimo que deberías tener

La mayoría de las PyMEs en Panamá no necesitan seguridad de nivel banco. Pero sí necesitan controles básicos que las protejan del 90% de los ataques que ocurren en la región. La buena noticia: la mayoría son gratuitos o de costo muy bajo. La mala: si no están implementados, eres un blanco fácil.

Este es el checklist que entregamos al final de nuestras auditorías iniciales para PyMEs. Si tu empresa tiene todos estos puntos cubiertos, estás mejor que la mayoría. Si te faltan más de 5, hay trabajo que hacer.

Identidades y accesos

• ☐ Todas las cuentas administrativas usan contraseñas robustas únicas (mínimo 16 caracteres).
• ☐ Autenticación multifactor (MFA) activa en todas las cuentas privilegiadas.
• ☐ MFA activa en correo corporativo de todos los empleados, no solo gerencia.
• ☐ Existe un proceso documentado para revocar accesos cuando alguien deja la empresa.
• ☐ Las cuentas de exempleados se eliminan dentro de 24 horas de su salida.
• ☐ Nadie comparte cuentas administrativas — cada persona tiene la suya.
• ☐ Existe un gestor de contraseñas corporativo y todos lo usan.

Endpoints y dispositivos

• ☐ Antivirus o EDR moderno instalado en todos los equipos de la empresa.
• ☐ Cifrado de disco activado en laptops (BitLocker en Windows, FileVault en Mac).
• ☐ Bloqueo automático de pantalla configurado después de 5-10 minutos.
• ☐ Política clara sobre dispositivos personales: si se usan para trabajo, qué controles aplican.
• ☐ Actualizaciones automáticas de sistema operativo habilitadas.

Correo electrónico

• ☐ DKIM, SPF y DMARC correctamente configurados en tu dominio.
• ☐ Filtro anti-phishing y anti-spam activado en el proveedor de correo.
• ☐ El personal sabe a quién reportar correos sospechosos y lo hace.
• ☐ Procedimiento claro para verificar solicitudes inusuales (transferencias, cambios de credenciales) fuera del correo.

Backups y continuidad

• ☐ Existen backups automáticos de sistemas críticos.
• ☐ Los backups están fuera del entorno principal (no en el mismo servidor).
• ☐ Se ha probado una restauración exitosa en los últimos 3 meses.
• ☐ Existe un inventario claro de qué datos son críticos y dónde están.
• ☐ Hay un plan documentado de qué hacer si se pierde todo de un día para otro.

Red y conectividad

• ☐ La red WiFi tiene cifrado WPA3 o al menos WPA2 con contraseña fuerte.
• ☐ Hay red separada para invitados sin acceso a recursos internos.
• ☐ Acceso administrativo a equipos críticos solo desde la red interna o VPN.
• ☐ No hay servicios expuestos a internet sin necesidad (RDP abierto, paneles administrativos).
• ☐ Firewall del router configurado y revisado periódicamente.

Aplicaciones y software

• ☐ Existe un inventario de software instalado en cada equipo.
• ☐ Se aplican parches críticos dentro de 30 días de su publicación.
• ☐ No hay software pirata ni de fuentes no verificadas.
• ☐ Las aplicaciones web propias usan HTTPS correctamente configurado.
• ☐ El sitio web está bajo monitoreo de disponibilidad.

Personal y procedimientos

• ☐ Capacitación de seguridad básica al ingresar y al menos anual.
• ☐ Existe política escrita de uso aceptable de tecnología — y el personal la conoce.
• ☐ Hay un responsable claro de seguridad — aunque sea parcial.
• ☐ Se ha hecho al menos un simulacro de phishing en el último año.
• ☐ Existe un canal claro para reportar incidentes de seguridad sospechosos.

Documentación y gobierno

• ☐ Hay un inventario de activos tecnológicos actualizado.
• ☐ Hay un mapa básico de la red y los sistemas críticos.
• ☐ Existe documentación de contraseñas administrativas en gestor seguro.
• ☐ Hay un plan de respuesta (aunque sea de una página) por si algo ocurre.

Cómo usar esta lista

Imprime la lista, recórrela con tu responsable de TI (interno o externo) y marca lo que ya tienes. De los que faltan, identifica los 3-5 más críticos para tu contexto y comienza por ahí.

Si te faltan más de 10 puntos, vale la pena hacer una auditoría formal. No para sumar más cosas a la lista, sino para entender el orden de prioridad según tu nivel de exposición real.

El siguiente paso

En Cytlas ofrecemos un diagnóstico gratuito que cubre exactamente esta lista (y más) en una sesión de 90 minutos. Al final tienes claridad sobre dónde estás parado y qué corregir primero. Sin compromiso.