1. Define el objetivo y el alcance
Antes que nada, ¿qué quieres proteger y por qué? No es lo mismo auditar una aplicación web concreta que toda tu infraestructura. Un alcance claro (qué sistemas entran, qué queda fuera y qué te preocupa) enfoca el trabajo donde importa.
2. Decide el entorno
¿Se prueba producción o un entorno de preproducción idéntico? Cada opción tiene implicaciones. Auditar producción da la imagen más real; hacerlo sobre un clon reduce cualquier riesgo operativo. Lo importante es acordarlo de antemano.
3. Prepara los accesos
Si la auditoría requiere usuarios (por ejemplo, para probar control de acceso entre roles), tenerlos creados antes evita perder días. Conviene preparar credenciales de distintos perfiles y documentar cómo se accede.
4. Acuerda ventanas y contactos
Define cuándo se puede probar (para evitar sorpresas en horas críticas) y quién es el contacto técnico durante el ejercicio. Si aparece algo crítico, hay que poder avisar de inmediato.
5. Firma el NDA
Una auditoría implica compartir información sensible. Un acuerdo de confidencialidad firmado antes de empezar protege a ambas partes y es una señal de profesionalidad.
6. Alinea expectativas sobre el informe
Ten claro qué vas a recibir: un informe técnico con evidencias y pasos de reproducción, un resumen ejecutivo para dirección y una sesión para explicarlo. Saber qué esperar evita frustraciones al final.
Una evaluación bien preparada no cuesta más: rinde más.
Si tienes dudas sobre cómo acotar tu primera auditoría, es justo lo que resolvemos en la primera llamada, sin compromiso.