Checklist de seguridad para pymes

La mayoría de los incidentes de ciberseguridad en pequeños negocios se podrían haber evitado con unas pocas medidas básicas. Esta checklist está pensada para que puedas revisar, en menos de una hora, los puntos críticos de seguridad de tu negocio.

Consejo: no intentes hacerlo todo de golpe. Recorre la lista, marca lo que ya tienes y anota lo que está pendiente.

Descarga la checklist en PDF

Suscríbete a nuestra newsletter y recibirás la checklist en PDF para tenerla siempre a mano, imprimirla y usarla como guía de revisión rápida.

Please wait...

¡Gracias por suscribirte! En breve recibiras la checklist en tu correo.

1. Dispositivos y acceso físico

  • Todos los ordenadores del negocio tienen contraseña de inicio de sesión.
  • Las pantallas se bloquean automáticamente tras unos minutos de inactividad.
  • Los portátiles y móviles de trabajo tienen cifrado de disco activado (BitLocker, FileVault, etc.).
  • Solo personas autorizadas pueden acceder físicamente a los equipos de trabajo.
  • Hay un inventario básico de dispositivos (PCs, portátiles, móviles, tablets).

2. Cuentas y contraseñas

  • Utilizas un gestor de contraseñas para las cuentas del negocio.
  • No se reutiliza la misma contraseña en diferentes servicios.
  • Todas las cuentas importantes (correo, banca online, herramientas de gestión) tienen doble factor de autenticación (2FA) activado.
  • Las cuentas de empleados que ya no están en la empresa se desactivan o eliminan inmediatamente.
  • No se comparten contraseñas por WhatsApp, email ni notas sin cifrar.

3. Red y WiFi

  • El router de la empresa tiene una contraseña de administración distinta a la de fábrica.
  • La WiFi tiene una contraseña robusta y se usa cifrado WPA2 o WPA3.
  • Existe una WiFi separada para invitados, aislada de la red interna de la empresa.
  • El router y los puntos de acceso se actualizan (firmware) de forma periódica.
  • No se conectan dispositivos personales inseguros a la red principal de la empresa.

4. Correo y phishing

  • El equipo ha recibido formación básica para reconocer correos de phishing.
  • No se abren adjuntos ni enlaces sospechosos de remitentes desconocidos.
  • Los correos críticos (bancos, proveedores, administración) se revisan siempre con cuidado antes de hacer clic.
  • Las cuentas de correo corporativo usan un proveedor fiable (Google Workspace, Microsoft 365, etc.).
  • Los empleados saben cómo reportar un correo sospechoso a la persona responsable.

5. Web y hosting

  • La web de la empresa usa HTTPS y tiene un certificado SSL válido.
  • Si usas WordPress, está actualizado a la última versión.
  • Los plugins y temas que no se usan están desinstalados.
  • Solo se instalan plugins y temas de fuentes confiables.
  • El panel de hosting (cPanel, Plesk, etc.) tiene una contraseña robusta y, si es posible, doble factor de autenticación.

6. Antivirus, actualizaciones y dispositivos

  • Todos los equipos de trabajo tienen un antivirus activo y actualizado.
  • El sistema operativo se mantiene actualizado automáticamente.
  • Los móviles de trabajo reciben actualizaciones de seguridad con regularidad.
  • No se instala software pirata en ningún equipo del negocio.
  • Se revisan periódicamente los resultados de los escaneos del antivirus.

7. Copias de seguridad (backups)

  • Existen copias de seguridad de los datos importantes (documentos, facturación, CRM, etc.).
  • Las copias de seguridad se realizan de forma automática.
  • Al menos una copia está almacenada fuera de la oficina (por ejemplo, en la nube).
  • Se ha comprobado alguna vez que las copias se pueden restaurar correctamente.
  • Los accesos al sistema de copias de seguridad están protegidos con doble factor de autenticación.

8. Políticas, formación y respuesta a incidentes

  • Existe una política básica de uso de dispositivos y acceso a información (aunque sea un documento sencillo).
  • Todos los miembros del equipo saben a quién avisar si sospechan de un problema de seguridad.
  • Hay una lista de contactos críticos (hosting, proveedor IT, banco, seguros, etc.) accesible en caso de emergencia.
  • Se ha pensado qué hacer en caso de ransomware o pérdida de datos (plan mínimo).
  • Al menos una vez al año se revisan estos puntos y se actualizan.

¿Cómo usar esta checklist?

  1. Revisa cada apartado y marca lo que ya tienes cubierto.
  2. Haz una lista de tareas pendientes con lo que esté sin marcar.
  3. Prioriza primero lo que afecte a: correo, web y copias de seguridad.
  4. Repite esta revisión cada 6–12 meses.

Descarga la checklist en PDF

Suscríbete a nuestra newsletter y recibirás la checklist en PDF para tenerla siempre a mano, imprimirla y usarla como guía de revisión rápida.

Please wait...

¡Gracias por suscribirte! En breve recibiras la checklist en tu correo.