Sin jerga técnica: qué puede salir mal, qué tan grave sería, y un ejemplo real de cómo pasa.
El riesgo: no saber qué computadoras, laptops o celulares usa realmente tu empresa.
El impacto: un equipo perdido o robado puede seguir teniendo acceso a tus sistemas sin que nadie se dé cuenta.
Ejemplo real: un ex-empleado se lleva su laptop de trabajo y, meses después, todavía puede entrar al correo de la empresa porque nadie le quitó el acceso.
El riesgo: contraseñas débiles, compartidas entre varias personas, o sin un segundo paso de verificación.
El impacto: alguien roba o adivina una contraseña y entra a tus sistemas como si fuera un empleado más.
Ejemplo real: un atacante prueba una contraseña que se filtró de otra página web (que el empleado reutilizó) y entra directo al correo de la empresa.
El riesgo: no tener respaldo de la información, o tenerlo guardado en el mismo lugar que el original.
El impacto: si pierdes tus archivos (virus, robo, falla del equipo), no hay forma de recuperarlos.
Ejemplo real: un ransomware cifra todos los archivos de la empresa; al no existir un backup aparte, la única opción es pagar el rescate o perderlo todo.
El riesgo: programas y sistemas desactualizados, con fallas de seguridad ya conocidas.
El impacto: un atacante entra explotando una falla que ya tenía solución disponible hace meses.
Ejemplo real: una vulnerabilidad publicada hace tres meses, y nunca corregida, permite a un atacante tomar control remoto de un equipo.
El riesgo: equipos sin antivirus o con uno desactualizado.
El impacto: virus, spyware o ransomware se instalan sin que nadie lo note a tiempo.
Ejemplo real: un empleado abre un archivo adjunto infectado y, sin protección activa, el virus se propaga a otros equipos de la red.
El riesgo: wifi sin separar invitados de la red interna, o conexiones remotas sin protección.
El impacto: alguien externo se conecta a la red de la empresa sin autorización.
Ejemplo real: un visitante se conecta a la misma red wifi que usan los equipos internos, y desde ahí alcanza a ver otros dispositivos conectados.
El riesgo: el equipo no sabe identificar un correo falso.
El impacto: alguien hace clic en un enlace o adjunto malicioso, y eso le abre la puerta a un atacante.
Ejemplo real: llega un correo que parece del banco pidiendo "confirmar tus datos"; un empleado lo hace, y el atacante usa esas credenciales para mover dinero de la cuenta de la empresa.
El riesgo: información sensible (clientes, finanzas) sin control de acceso ni cifrado.
El impacto: esos datos terminan expuestos o robados.
Ejemplo real: se pierde una laptop sin cifrado con la base de datos de clientes — quien la encuentre puede leer esa información sin necesitar ninguna contraseña.
El riesgo: proveedores externos (contador, soporte IT, nube) con acceso a tus sistemas sin ningún control.
El impacto: una brecha de seguridad en el proveedor se convierte en una brecha en tu propia empresa.
Ejemplo real: hackean a un contador externo que tiene acceso a tu sistema contable, y el atacante usa ese mismo acceso para entrar a tu empresa.
El riesgo: nadie es responsable de la seguridad, y no existe un plan para cuando algo sale mal.
El impacto: cuando ocurre un incidente, se pierde tiempo valioso decidiendo qué hacer, y el daño sigue creciendo.
Ejemplo real: detectan un ataque un viernes por la noche y, al no saber a quién avisar ni qué apagar, el problema sigue sin control todo el fin de semana.