Checklist de ciberseguridad para empresas en República Dominicana

La ciberseguridad ya no es un tema exclusivo del departamento de TI. Para una empresa dominicana, un incidente puede detener facturación, afectar operaciones, exponer datos de clientes, interrumpir servicios y dañar la confianza construida durante años.

Este checklist está diseñado para dueños de empresas, gerentes generales, gerentes financieros y responsables de TI que necesitan una visión clara de los controles mínimos que debe tener una organización moderna. No sustituye una auditoría técnica, pero sí ayuda a identificar brechas visibles y priorizar acciones.

Por qué este checklist importa para empresas dominicanas

En República Dominicana, muchas empresas operan con Microsoft 365, sistemas contables, ERPs, cámaras, redes Wi-Fi, servidores locales, sucursales, aplicaciones en la nube y datos sensibles de clientes o pacientes. Ese ecosistema crea dependencia tecnológica, pero también aumenta la superficie de ataque.

Además, el país cuenta con marcos como la Ley 172-13 sobre protección de datos personales y la Ley 53-07 contra crímenes y delitos de alta tecnología. Más allá de la obligación legal, proteger la información es una decisión de continuidad y reputación.

1. Gobierno y responsabilidades de seguridad

• Defina quién es responsable de la seguridad de la información.
• Tenga políticas básicas de contraseñas, accesos, equipos, correo, backups y uso de dispositivos.
• Revise los riesgos tecnológicos al menos trimestralmente con gerencia.
• Documente proveedores críticos, contratos, licencias, dominios y accesos administrativos.
• Mantenga un inventario actualizado de usuarios, equipos, servidores, aplicaciones y servicios en la nube.

Una señal de alerta común es que nadie pueda responder rápidamente: “¿quién tiene acceso administrativo?”, “¿dónde están los backups?” o “¿qué sistemas son críticos para operar mañana?”.

2. Identidades, contraseñas y accesos

• Active autenticación multifactor para correo, VPN, sistemas críticos y cuentas administrativas.
• Elimine cuentas de empleados que ya no trabajan en la empresa.
• Use perfiles de acceso por rol: gerencia, finanzas, ventas, operaciones, TI, externos.
• Evite compartir usuarios genéricos como “administrador”, “recepción” o “contabilidad”.
• Revise permisos cada tres o seis meses, especialmente en carpetas compartidas, SharePoint y sistemas financieros.

La identidad es hoy el nuevo perímetro. Muchas intrusiones no empiezan rompiendo un firewall, sino usando una contraseña filtrada o un correo comprometido.

3. Correo electrónico y Microsoft 365

• Configure SPF, DKIM y DMARC para reducir suplantación de dominio.
• Active políticas anti-phishing y protección contra impersonación de ejecutivos.
• Revise reglas sospechosas de reenvío automático en buzones.
• Capacite a usuarios para reportar correos sospechosos.
• Proteja cuentas de gerencia, finanzas y compras con controles adicionales.

El correo sigue siendo una de las principales puertas de entrada para fraude, robo de credenciales y ransomware. Si su empresa usa Microsoft 365 pero no tiene políticas de seguridad configuradas, está usando solo una parte del valor de la plataforma.

4. Equipos, servidores y actualizaciones

• Asegure que laptops y desktops tengan antivirus/EDR actualizado.
• Instale parches de Windows, navegadores, Office, Java, sistemas contables y aplicaciones de negocio.
• Cifre laptops que salen de la oficina.
• Restrinja privilegios de administrador local.
• Retire equipos obsoletos que ya no reciben actualizaciones de seguridad.

Un equipo desactualizado puede convertirse en la entrada a toda la red. La gestión preventiva reduce incidentes y baja el costo de soporte reactivo.

5. Red, Wi-Fi y acceso remoto

• Separe la red administrativa, invitados, cámaras, equipos médicos o IoT y servidores.
• Use contraseñas fuertes y cifrado moderno en Wi-Fi.
• Evite abrir escritorios remotos directamente a Internet.
• Proteja VPN con MFA y registre accesos.
• Documente switches, firewalls, reglas, VLANs y enlaces de Internet.

Una red plana permite que un incidente pequeño se mueva con rapidez. La segmentación es una de las medidas más efectivas para limitar daños.

6. Backups y recuperación

• Mantenga copias locales y en la nube, preferiblemente con una copia inmutable u offline.
• Pruebe restauraciones periódicamente; un backup no probado es solo una esperanza.
• Defina RPO: cuánta información puede perder la empresa.
• Defina RTO: cuánto tiempo puede estar detenido el negocio.
• Incluya Microsoft 365, bases de datos, servidores, archivos y sistemas críticos.

El backup debe responder a una pregunta gerencial: si mañana se cifra un servidor, ¿en cuánto tiempo volvemos a facturar, atender clientes y operar?

7. Monitoreo, logs y respuesta a incidentes

• Revise alertas de firewall, antivirus, Microsoft 365 y servidores.
• Centralice eventos críticos cuando sea posible.
• Tenga una lista de contactos internos y externos para incidentes.
• Prepare un procedimiento para aislar equipos, preservar evidencia y comunicar internamente.
• Después de cada incidente, documente causa, impacto, acciones y mejoras.

La diferencia entre un incidente controlado y una crisis suele estar en la preparación. Un plan simple, conocido y probado vale más que un documento largo que nadie usa.

Plan de acción de 30 días

1. Activar MFA para todos los usuarios y especialmente administradores.
2. Revisar backups y realizar una restauración de prueba.
3. Inventariar equipos, servidores, usuarios y licencias.
4. Configurar seguridad básica de Microsoft 365.
5. Eliminar cuentas antiguas y accesos innecesarios.
6. Revisar firewall, Wi-Fi y accesos remotos.
7. Crear un procedimiento básico de respuesta a incidentes.

Preguntas frecuentes

¿Una empresa pequeña también necesita ciberseguridad?

Sí. Las empresas pequeñas suelen tener menos controles, menos personal dedicado y alta dependencia del correo, bancos, sistemas contables y archivos compartidos. Eso las convierte en objetivos atractivos.

¿Por dónde debe empezar una empresa sin equipo de TI interno?

Por MFA, backups probados, seguridad del correo, actualización de equipos, inventario y soporte gestionado. Lo ideal es realizar una evaluación inicial para priorizar según riesgo.

¿Cada cuánto se debe revisar este checklist?

Al menos cada trimestre, y siempre que haya cambios importantes: nuevas sucursales, migraciones a la nube, contratación de personal, nuevos sistemas o incidentes.

Conclusión

La ciberseguridad no se logra con una sola herramienta. Se construye con procesos, personas, tecnología y seguimiento. RDD puede ayudarle a convertir este checklist en un plan de mejora real, medible y adaptado a su empresa.