Llevamos este año auditando entornos IT de empresas entre 30 y 300 empleados en sectores que van desde logística hasta servicios profesionales. El stack varía —Azure, on-prem, híbrido, SaaS puro—, los sectores son distintos y los presupuestos de IT también. Pero hay tres problemas que aparecen en casi todos los entornos, con independencia de todo lo demás.
Problema 1: credenciales que nadie ha revisado en años
En prácticamente todos los entornos encontramos cuentas de usuario activas de personas que ya no trabajan en la empresa. A veces son exempleados de hace dos años; en un caso, encontramos una cuenta de administrador de un proveedor externo que había terminado el contrato hacía tres años. No se trata de descuido malicioso: es que no hay un proceso sistemático de revisión. Nadie tiene la responsabilidad explícita de auditar el directorio de usuarios cuando alguien sale.
Problema 2: backups que existen pero nunca se han probado
La pregunta que más incomodidad genera en una auditoría no es '¿tenéis backup?' sino '¿cuándo fue la última vez que restaurasteis algo desde el backup?'. La respuesta habitual es silencio o '¿eso se puede probar?'. Un backup que no se ha probado no es un backup: es un archivo que tal vez funcione el día que más lo necesites, o tal vez no.
Problema 3: accesos de terceros sin fecha de caducidad
Proveedores de software, consultoras externas, empresas de mantenimiento IT anteriores: todos dejan accesos. La mayoría de esos accesos nunca se revocan formalmente. En la última auditoría que hicimos encontramos 14 accesos VPN activos de proveedores, de los cuales 9 correspondían a relaciones comerciales ya terminadas.
- Revisa el listado completo de usuarios en tu directorio activo o IdP al menos trimestralmente
- Asigna una persona responsable de ejecutar las bajas de acceso en el momento en que termina una relación laboral o comercial
- Establece fechas de caducidad automáticas para accesos de terceros desde el momento de la creación
- Prueba la restauración desde backup al menos una vez al trimestre con un proceso documentado
- Mantén un registro de quién tiene acceso a qué, actualizado y accesible para auditoría
Por qué se repite en empresas tan distintas
Estos tres problemas no son errores técnicos. Son consecuencias de que la seguridad se gestiona de forma reactiva en lugar de como un proceso continuo. Cuando no hay un calendario de revisiones, no hay propietario claro de cada control y no hay nadie que mida si los controles funcionan, los problemas se acumulan de forma silenciosa hasta que algo falla.
empresas que auditamos tienen al menos un acceso de proveedor activo que debería estar cerrado
La buena noticia es que estos tres problemas son corregibles sin inversión extraordinaria. Solo requieren proceso y asignación de responsabilidad. La mala noticia es que sin un empujón externo, rara vez se abordan proactivamente.
Si quieres saber qué encontraríamos en tu entorno, hacemos un diagnóstico inicial sin compromiso.
Solicitar una auditoría