Checklist de infraestructura IT para pymes: lo que deberías tener (y lo que probablemente te falta)
El 89,1% de las empresas españolas afirma tener al menos una medida de ciberseguridad. Pero «al menos una» no es suficiente. Esta checklist de 30 puntos, basada en INCIBE, NIST, CIS Controls e ISO 27001, te indica exactamente qué debería tener tu infraestructura y dónde están los huecos más habituales.
Una infraestructura IT completa no es solo tener internet y un antivirus. Es un sistema interconectado de redes, servidores, copias de seguridad, políticas de seguridad y documentación que protege tu negocio de paradas, pérdidas de datos y sanciones legales. El problema es que muchas pymes no saben qué les falta hasta que es demasiado tarde.
Según el Informe de digitalización de pymes 2024 del ONTSI, el 89,1% de las empresas españolas tiene implementada al menos una medida de ciberseguridad. Suena bien, pero el dato oculta una realidad preocupante: tener un antivirus instalado cuenta como «una medida». La protección real requiere cubrir múltiples dominios de forma coordinada.
Esta checklist organiza los 30 elementos esenciales en 7 dominios, con referencias a marcos internacionales y datos actualizados del INE, INCIBE y CIS Controls v8. Si eres responsable de una pyme sin departamento IT dedicado, utilízala para evaluar tu estado actual y priorizar mejoras. Si necesitas ayuda, puedes solicitar nuestra evaluación gratuita.
La red es la columna vertebral de toda la infraestructura. Si la conexión falla, todo lo demás se detiene. Según datos del INE (Encuesta TIC 2024), el 81,2% de las microempresas disponen de conexión de banda ancha fija. Pero conexión no equivale a infraestructura de red segura.
Los elementos que debe cubrir este dominio son:
- Línea de internet redundante: una segunda conexión (4G/5G, fibra alternativa o starlink) que se active automáticamente si cae la principal. El coste de una segunda línea 4G ronda los 20-40 €/mes; el coste de una mañana sin internet en una oficina de 10 personas supera los 1.500 € en productividad perdida.
- Firewall perimetral: un dispositivo o servicio que filtre el tráfico entrante y saliente. Los firewalls básicos de router de operador no son suficientes para entornos empresariales. INCIBE recomienda un firewall con inspección de paquetes (SPI) como mínimo.
- Segmentación de red: separar la red de trabajo de la red de invitados y de los dispositivos IoT. Una impresora conectada a la misma red que el servidor de contabilidad es un vector de ataque real.
- WiFi con WPA3: el estándar WPA2 sigue siendo aceptable, pero WPA3 corrige vulnerabilidades conocidas como KRACK. Si tu equipamiento es posterior a 2020, probablemente ya lo soporte.
RTO y RPO recomendados por sistema
| Característica | RTO recomendado | RPO recomendado |
|---|---|---|
| Correo electrónico | < 4 horas | < 24 horas |
| ERP / Contabilidad | < 8 horas | < 4 horas |
| Web corporativa | < 4 horas | < 24 horas |
| E-commerce / tienda online | < 1 hora | < 1 hora |
| Datos críticos de clientes | < 4 horas | < 1 hora |
Matriz de cumplimiento normativo
| Característica | Autónomos | Pymes (< 250 empl.) | Proveedores AAPP |
|---|---|---|---|
| RGPD / LOPD-GDD | Sí | Sí | Sí |
| Verifactu | Jul 2027 | Ene 2027 | Ene 2027 |
| ENS | Solo si proveedor AAPP | Solo si proveedor AAPP | Obligatorio |
| NIS2 | No (salvo excepciones) | Según sector | Según sector |
| Factura electrónica B2B | Pendiente reglamento | Pendiente reglamento | Pendiente reglamento |
Checklist de 30 puntos: infraestructura IT para pymes
| Característica | Dominio | Referencia |
|---|---|---|
| Línea de internet redundante | 1. Red | ITIL 4 — Continuidad |
| Firewall perimetral (SPI mínimo) | 1. Red | INCIBE — Guías pymes |
| Segmentación de red (trabajo/invitados/IoT) | 1. Red | CIS Controls v8 — Control 12 |
| WiFi con WPA3 (o WPA2 mínimo) | 1. Red | INCIBE — Guías pymes |
| Servidor o hosting dedicado para servicios críticos | 2. Servidores | ENISA — Continuidad TI |
| Redundancia de servicio (failover) | 2. Servidores | Uptime Institute — Tier III+ |
| Monitorización 24/7 (disponibilidad, CPU, RAM, disco) | 2. Servidores | ITIL 4 — Monitoring & Events |
| Política de actualizaciones del SO | 2. Servidores | CIS Controls v8 — Control 7 |
| Estrategia 3-2-1 implementada | 3. Backup | CISA / NIST CP-9 / CIS #11 |
| RPO y RTO definidos por sistema | 3. Backup | NIST SP 800-34r1 |
| Copia offsite (nube o ubicación remota) | 3. Backup | CISA — Data Backup Options |
| Backups cifrados (AES-256) | 3. Backup | AEPD — Guía cifrado pymes |
| Prueba de restauración trimestral | 3. Backup | CIS Control 11 — Safeguard 11.5 |
| MFA en accesos remotos y apps críticas | 4. Ciberseguridad | AEPD / NIST SP 800-63B |
| EDR o antivirus de nueva generación | 4. Ciberseguridad | INCIBE — Decálogo seguridad |
| Patching mensual (SO, apps, firmware) | 4. Ciberseguridad | CIS Controls v8 — Control 7 |
| SPF, DKIM y DMARC configurados | 4. Ciberseguridad | CCN-CERT BP-33 / INCIBE |
| Formación básica en seguridad para empleados | 4. Ciberseguridad | INCIBE — Formación pymes |
| Email profesional con dominio propio | 5. Email | Buenas prácticas sectoriales |
| Cifrado TLS 1.2+ en tránsito | 5. Email | AEPD — Guía cifrado pymes |
| Plataforma de comunicación interna | 5. Email | ENISA — Continuidad TI |
| Medidas técnicas RGPD Art. 32 documentadas | 6. Compliance | RGPD / LOPD-GDD |
| DPD designado (si aplica) o análisis de riesgos | 6. Compliance | AEPD — Guía pymes |
| Conformidad ENS declarada (si proveedor AAPP) | 6. Compliance | RD 311/2022 — CCN |
| Software de facturación conforme a Verifactu | 6. Compliance | RD 1007/2023 — AEAT |
| Contrato de encargado de tratamiento con proveedores | 6. Compliance | RGPD Art. 28 |
| Inventario actualizado de activos IT | 7. Gobernanza | INCIBE — Plantillas pymes |
| Política de contraseñas documentada | 7. Gobernanza | INCIBE — Control de acceso |
| Plan de continuidad de negocio | 7. Gobernanza | ISO 22301 / ENISA |
| Registro de incidencias técnicas | 7. Gobernanza | RGPD Art. 33 / INCIBE |
| Procedimiento de alta/baja de empleados (accesos IT) | 7. Gobernanza | CIS Controls v8 — Control 6 |
Preguntas frecuentes sobre infraestructura IT para pymes
¿Cuántos puntos de la checklist te faltan?
Solicita una evaluación gratuita de 30 minutos. Analizamos tu infraestructura en los 7 dominios y te entregamos un informe con los puntos críticos priorizados. Sin compromiso.