← Blog Ciberseguridad

Guía de seguridad para empresas de 20 a 50 empleados

Guia de seguridad informatica para empresas de 20 a 50 empleados

Una empresa de 20 a 50 empleados necesita como minimo estas medidas de seguridad: analisis de riesgos, actualizaciones automaticas, autenticacion en dos factores, formacion anti-phishing, copias de seguridad con estrategia 3-2-1, antivirus empresarial con consola centralizada, permisos por roles en Active Directory, monitorizacion de red, protocolo documentado de respuesta a incidentes y revision trimestral de todas las medidas. Son medidas alcanzables sin grandes inversiones que reducen drasticamente la superficie de ataque.

Las empresas de entre 20 y 50 empleados se encuentran en una posicion particularmente vulnerable en materia de ciberseguridad. Son lo suficientemente grandes como para manejar datos valiosos, clientes, proveedores, facturacion, nominas e informacion confidencial, pero a menudo demasiado pequenas como para contar con un departamento de seguridad dedicado o un CISO.

Segun INCIBE, las PYMEs son el objetivo del 60 % de los ciberataques registrados en Espana, y el coste medio de un incidente de seguridad para una empresa de este tamano alcanza los 35.000 EUR (INCIBE, Balance de Ciberseguridad 2024). El dato es aun mas alarmante si se considera que el 60 % de las PYMEs que sufren un ciberataque grave cierran en los seis meses siguientes segun el informe de la National Cyber Security Alliance (National Cyber Security Alliance, Cybersecurity Report 2024).

Ademas, Microsoft revela que la implementacion de autenticacion en dos factores reduce un 99,9 % los accesos no autorizados a cuentas corporativas, lo que la convierte en una de las medidas con mejor relacion coste-efectividad (Microsoft Security Blog, MFA Effectiveness Study 2023).

Esta guia esta disenada especificamente para empresas de este tamano: medidas practicas, priorizadas por impacto y con un enfoque de implementacion progresiva que no paralice la operativa diaria.

El perfil de riesgo de tu empresa

Una empresa de 20-50 empleados tipica tiene un perfil de riesgo muy concreto:

  • 20-50 puestos de trabajo con acceso a internet, correo electronico y aplicaciones corporativas.
  • Un servidor o varios con datos de clientes, contabilidad y operaciones.
  • Microsoft 365 o Google Workspace como plataforma de productividad.
  • Un ERP o CRM con datos criticos de facturacion e inventario.
  • Teletrabajo parcial con empleados que acceden desde fuera de la oficina.
  • Sin equipo IT dedicado o con un solo tecnico que gestiona todo.

Este perfil significa que la superficie de ataque es amplia, los datos son valiosos y los recursos de defensa son limitados. La estrategia debe ser eficiente: maximizar la proteccion con las inversiones minimas necesarias.

Las 10 medidas esenciales de seguridad

1. Analisis de riesgos basico

Antes de invertir en herramientas, necesitas entender tu situacion actual. Identifica que datos son criticos para tu negocio, donde se almacenan, quien tiene acceso y que pasaria si los perdieras. Este analisis no requiere una consultoria cara: una reunion de dos horas con los responsables de cada departamento y el tecnico IT puede generar un mapa de riesgos suficiente para priorizar las siguientes acciones.

Documenta al menos los 10 activos mas criticos, las amenazas mas probables y el impacto estimado de cada una en el negocio.

2. Actualizaciones automaticas en todos los sistemas

Las vulnerabilidades sin parchear son la principal puerta de entrada para los atacantes. Configura actualizaciones automaticas en todos los sistemas operativos, navegadores y aplicaciones de productividad. Para software empresarial como ERPs, programa ventanas de mantenimiento mensuales para aplicar parches de forma controlada.

Usa WSUS o Intune para gestionar las actualizaciones de Windows de forma centralizada, aprobando los parches en un grupo de pruebas antes de desplegarlos a toda la organizacion.

3. Autenticacion en dos factores obligatoria

El 2FA es la medida con mejor relacion coste-efectividad en seguridad. Activalo en todas las cuentas corporativas: Microsoft 365, VPN, ERP, banca online y cualquier servicio que lo soporte. Usa Microsoft Authenticator o Google Authenticator en lugar de SMS, que es vulnerable a ataques de SIM swapping.

Para empresas con Microsoft 365, activa los Security Defaults o configura politicas de acceso condicional que exijan MFA para todos los usuarios, especialmente para accesos desde fuera de la red corporativa.

4. Formacion anti-phishing para todo el equipo

La formacion no es un gasto, es la inversion con mayor retorno en seguridad. Organiza sesiones trimestrales donde los empleados aprendan a identificar correos fraudulentos, enlaces sospechosos y tecnicas de ingenieria social. Complementa las sesiones con simulaciones de phishing controladas para medir el nivel real de concienciacion.

Una sola sesion de 60 minutos por trimestre puede reducir la tasa de clic en phishing del equipo del 30 % a menos del 5 % en seis meses.

5. Copias de seguridad con estrategia 3-2-1

La regla 3-2-1 es el estandar de la industria: tres copias de tus datos, en dos soportes diferentes, con una copia fuera de la ubicacion principal. Para una empresa de 20-50 empleados, esto se traduce en backup local en NAS o disco externo, backup en la nube con un servicio profesional y backup del servidor y las bases de datos en una ubicacion independiente.

Lo mas importante es la verificacion: programa pruebas de restauracion mensuales para confirmar que los backups son funcionales. Un backup que nunca se ha probado no ofrece ninguna garantia.

6. Antivirus empresarial con consola centralizada

Las soluciones domesticas o gratuitas no ofrecen la proteccion que necesita una empresa. Necesitas un antivirus con consola centralizada que permita gestionar todos los endpoints desde un unico panel, aplicar politicas uniformes, responder a incidentes de forma coordinada y generar informes de cumplimiento.

La consola centralizada es lo que marca la diferencia: sin ella, cada equipo es una isla de seguridad con su propia configuracion y sus propios agujeros.

7. Permisos por roles en Active Directory

Aplica el principio de minimo privilegio: cada empleado debe tener acceso unicamente a los recursos que necesita para su trabajo. En Active Directory, crea grupos de seguridad por departamento y asigna permisos a los grupos, no a los usuarios individuales.

Esto simplifica enormemente la gestion: cuando un empleado cambia de departamento, basta con moverlo de grupo. Cuando causa baja, desactivas su cuenta y todos los accesos se revocan automaticamente.

Revisa los permisos trimestralmente. Es habitual encontrar empleados con accesos acumulados de puestos anteriores que ya no necesitan.

8. Monitorizacion de red y sistemas

Detectar anomalias a tiempo evita danos mayores. La monitorizacion no tiene por que ser compleja: con herramientas como Zabbix puedes supervisar la disponibilidad de servidores, el uso de recursos, el estado del antivirus y el trafico de red desde un unico panel.

Configura alertas para los eventos criticos: caida de un servicio, uso de CPU superior al 90 %, espacio en disco inferior al 15 % y multiples intentos fallidos de autenticacion. La monitorizacion proactiva convierte emergencias en incidencias programadas.

9. Protocolo documentado de respuesta a incidentes

Cuando ocurre un incidente de seguridad, los primeros minutos son criticos. Sin un protocolo claro, el panico genera decisiones erroneas que empeoran la situacion.

Documenta un protocolo que responda a estas preguntas:

  • Quien detecta el incidente y a quien lo notifica.
  • Como se aislan los equipos afectados sin destruir evidencia.
  • Quien toma las decisiones criticas (apagar servidores, notificar a clientes, contactar con asesoria legal).
  • Como se recuperan los sistemas desde los backups.
  • Que se documenta durante y despues del incidente para aprender y mejorar.

Revisa el protocolo semestralmente y realiza al menos un simulacro anual.

10. Revision trimestral de todas las medidas

La seguridad no es un proyecto con fecha de fin, es un proceso continuo. Programa revisiones trimestrales donde se verifique que todas las medidas siguen activas, los empleados mantienen buenas practicas, las nuevas amenazas estan cubiertas y el inventario de activos esta actualizado.

Documenta cada revision con sus hallazgos y las mejoras implementadas. Este historico es invaluable para auditorias y para demostrar diligencia ante un posible incidente.

Presupuesto orientativo para una empresa de 30 empleados

La seguridad no requiere presupuestos desproporcionados. Una empresa de 30 empleados puede implementar todas estas medidas con una inversion aproximada de:

  • Antivirus empresarial: 30-50 EUR por endpoint y ano.
  • Backup en la nube: 100-300 EUR mensuales dependiendo del volumen.
  • Gestor de contrasenas corporativo: gratuito con Bitwarden o desde 3 EUR por usuario y mes.
  • Formacion anti-phishing: bonificable por FUNDAE, coste neto cercano a cero.
  • Monitorizacion: Zabbix es open source y gratuito; el coste es la configuracion inicial.
  • 2FA: incluido en Microsoft 365, sin coste adicional.

El total puede estar entre 3.000 y 6.000 EUR anuales para 30 empleados. Comparado con los 35.000 EUR de coste medio de un ciberataque, la inversion se justifica con creces.

Errores comunes que debes evitar

  • Confiar solo en el antivirus: el antivirus es una capa mas, no la solucion completa. Sin formacion, sin backups y sin monitorizacion, el antivirus solo no te protege.
  • Ignorar los dispositivos moviles: los moviles acceden al correo, al ERP y a datos de clientes. Necesitan las mismas politicas de seguridad que los PCs.
  • No revocar accesos de exempleados: un exempleado con acceso activo a los sistemas es un riesgo real. Incluye la revocacion de accesos en el proceso de baja desde el primer dia.
  • Creer que no sois objetivo: los atacantes no seleccionan PYMEs por su nombre, sino mediante escaneos automatizados que buscan vulnerabilidades conocidas. Si tienes una vulnerabilidad, seras encontrado.

Problemas frecuentes y solucion

  • “No tenemos presupuesto”: prioriza las medidas sin coste o de bajo coste. Actualizaciones, contrasenas seguras, 2FA y formacion basica no requieren inversion significativa y cubren los riesgos mas graves.
  • “Nadie sabe gestionarlo internamente”: externalizar la seguridad en un proveedor especializado es mas eficiente y economico que contratar un perfil tecnico a tiempo completo para una empresa de 30 empleados.
  • “Ya tenemos antivirus, estamos protegidos”: la seguridad requiere multiples capas. El antivirus protege los endpoints, pero sin backup, sin formacion, sin monitorizacion y sin control de accesos, la empresa sigue siendo vulnerable.
  • “No hemos tenido ningun problema hasta ahora”: la ausencia de incidentes conocidos no significa ausencia de riesgo. Muchos ataques pasan desapercibidos durante meses antes de manifestarse.

Preguntas frecuentes

Es necesario contratar a un experto externo? Las medidas basicas pueden implementarse internamente si hay un perfil tecnico en el equipo. Para auditorias de seguridad, cumplimiento normativo avanzado y respuesta ante incidentes complejos, un partner especializado aporta un valor que compensa ampliamente su coste.

Como empezar con poco presupuesto? Prioriza en este orden: activar 2FA en todas las cuentas, configurar backups automaticos, actualizar todos los sistemas y formar al equipo en phishing. Estas cuatro medidas cubren los vectores de ataque mas frecuentes y tienen coste minimo.

Que hacer si sufrimos un ataque? Aislar equipos afectados inmediatamente, no apagar los servidores hasta evaluar el alcance, cambiar contrasenas criticas, contactar con especialistas y no pagar rescates de ransomware. Cada minuto cuenta, por eso es vital tener el protocolo documentado y accesible.

Cada cuanto debemos hacer una auditoria de seguridad? Una auditoria completa anual complementada con revisiones trimestrales internas es el minimo recomendable para empresas de este tamano.

En IBERSYA ayudamos a empresas de 20 a 50 empleados a implementar estas medidas con herramientas profesionales como Bitdefender GravityZone para proteccion endpoint centralizada, Fortinet para seguridad perimetral de red, Zabbix para monitorizacion 24/7 y Snipe-IT para inventario de activos. Ademas, impartimos formaciones bonificadas por FUNDAE para concienciar a los equipos en ciberseguridad y buenas practicas IT. Contacta con nosotros para una auditoria inicial sin compromiso y un plan de seguridad adaptado a tu empresa.

Ver servicio relacionado →

¿Necesitas ayuda con esto?

Cuéntanos tu situación y te asesoramos sin compromiso.

Teléfono 665 87 93 46
Horario Lunes a Viernes: 8:00 - 20:00
¡Te llamamos!
¿Te llamamos?

Déjanos tu teléfono y te contactamos en menos de 1 hora.

Al enviar aceptas nuestra política de privacidad.