Seguridad mínima para tu infraestructura digital

Checklist de controles técnicos básicos para proteger los sistemas digitales de tu empresa, basado en CIS Controls y NIST CSF adaptados para PYMEs.

Progreso 0 / 25

Inventario y control de activos

Tener un inventario actualizado de todos los equipos de la empresa Computadores, servidores, impresoras, routers, equipos móviles corporativos. Req.
Tener un inventario de todo el software instalado en los equipos Incluye software no autorizado. Solo instala lo que realmente necesitas. Req.
Retirar o deshabilitar equipos y software que ya no se usan Los sistemas desactualizados sin soporte son vectores de ataque habituales. Req.

Implementar política de contraseñas fuertes (mínimo 12 caracteres) Evitar contraseñas comunes o que contengan datos personales del usuario. Req.
Activar autenticación de dos factores (MFA) en correo corporativo Microsoft 365, Google Workspace y otros servicios lo permiten en la configuración de seguridad. Req.
Activar MFA en todos los sistemas críticos (ERP, CRM, acceso remoto) Especialmente importante para accesos VPN y escritorios remotos. Req.
Usar un gestor de contraseñas corporativo Permite contraseñas únicas y seguras para cada servicio sin depender de la memoria.
Revocar accesos inmediatamente cuando un empleado deja la empresa Crear un procedimiento de offboarding que incluya revocar accesos digitales. Req.

Activar actualizaciones automáticas en sistemas operativos de equipos de trabajo Windows Update, macOS Software Update. Las actualizaciones corrigen vulnerabilidades conocidas. Req.
Mantener actualizados los navegadores web Chrome, Firefox y Edge se actualizan solos si no se deshabilita esta función. Req.
Actualizar regularmente el software de productividad y herramientas de negocio Microsoft Office, Adobe, herramientas de contabilidad, CRM, etc. Req.
Tener un proceso para aplicar parches críticos en servidores (si aplica) Servidores web, de correo o de bases de datos requieren actualizaciones periódicas.

Identificar qué datos son críticos para la operación del negocio Base de datos de clientes, facturas, contratos, datos contables. Req.
Configurar backup automático de los datos críticos Al menos diario para datos que cambian frecuentemente. Req.
Mantener al menos una copia de backup offline (desconectada de la red) Un disco externo desconectado o una copia en cinta. Protege contra ransomware. Req.
Probar periódicamente que los backups se pueden restaurar correctamente Un backup que no se puede restaurar no sirve. Prueba la restauración al menos trimestralmente. Req.

Instalar y mantener activo software antivirus/EDR en todos los equipos Windows Defender es adecuado para PYMEs si está activado y actualizado. Req.
Asegurarse de que el firewall del sistema operativo esté activado Tanto en servidores como en equipos de trabajo. Req.
Bloquear la ejecución automática desde medios externos (USB, CD) Los dispositivos USB son un vector de ataque común.

Configurar filtros de spam y antiphishing en el correo corporativo Microsoft 365 y Google Workspace incluyen estas funciones. Asegúrate de que estén activadas. Req.
Capacitar al equipo sobre cómo identificar correos de phishing Un ejercicio práctico anual es más efectivo que una presentación teórica. Req.
Configurar SPF, DKIM y DMARC para el dominio de correo corporativo Previene que terceros envíen correos haciéndose pasar por tu empresa. Req.

Tener documentados los contactos de emergencia TI Proveedor TI, CSIRT Nacional, directivos clave. Con números de teléfono directo. Req.
Definir quién tiene autoridad para desconectar sistemas en caso de incidente Decisión pre-tomada evita pérdida de tiempo crítico durante un ataque. Req.
Conocer el procedimiento de reporte a la ANCI (plazo 24 horas) csirt@anci.gob.cl — prepara la información básica con anticipación. Req.