SYS-05 — GOBIERNO TI

El control que la mayoría de las pymes nunca tiene — hasta que algo falla.

Políticas de TI, controles de ciberseguridad, documentación operacional y plan de continuidad para pequeñas y medianas empresas en República Dominicana. Lo que la empresa necesita para operar con control, no con esperanza.

Actualizado: julio 2026

¿Tu empresa tiene una política de contraseñas escrita y aplicada — o cada empleado usa lo que quiere?

Si un empleado hace clic en un enlace malicioso hoy y eso compromete su cuenta, ¿tienes un procedimiento documentado de respuesta? ¿Sabes exactamente qué pasos seguir y quién los ejecuta?

¿Existe un documento que describe cómo opera tu TI, qué sistemas son críticos y qué pasa si el servidor principal cae? ¿O esa información vive en la cabeza de una sola persona?

Frameworks de referencia que utilizamos

No reinventamos el control de TI — aplicamos los frameworks más reconocidos internacionalmente, adaptados al tamaño real de una pyme dominicana.

CIS Controls v8 NIST CSF 2.0 ISO 27001 (referencia) Ley 172-13 (RD) Ley 32-23 (RD) Active Directory Microsoft Entra ID

Lo que incluye el servicio

Políticas y documentación
  • Política de uso aceptable de TI: qué pueden y qué no pueden hacer los empleados con los sistemas de la empresa.
  • Política de contraseñas y accesos: requisitos mínimos, rotación, gestión de privilegios y cuentas compartidas.
  • Política de respaldos: qué se respalda, con qué frecuencia, dónde y cómo se verifica la restauración.
  • Procedimientos de operación: onboarding y offboarding documentados, respuesta a incidentes, escalación.
Controles de ciberseguridad
  • Diagnóstico con base en los CIS Controls prioritarios para pymes (IG1 y IG2): inventario, configuraciones, accesos, protección de datos.
  • Revisión de configuraciones de seguridad base en servidores, Active Directory y Microsoft 365.
  • Gestión de parches: política y proceso para que los sistemas críticos estén actualizados.
  • Revisión de perímetro: puertos expuestos, reglas de firewall, accesos remotos y VPN.
Continuidad del negocio
  • BIA (Análisis de Impacto al Negocio): identificar qué sistemas y procesos son críticos y cuánto tiempo puede estar caído cada uno.
  • Plan de continuidad documentado y ejecutable: quién hace qué, en qué orden, con qué recursos, si el sistema principal falla.
  • Prueba del plan: un plan que nunca se prueba es una promesa. Verificamos que funcione antes de necesitarlo.
  • Alineación con requisitos regulatorios locales: Ley 172-13 (datos personales), Ley 32-23 (facturación electrónica).

Cómo trabajamos

01

Diagnóstico de madurez

Evaluamos el estado actual de gobierno TI con base en CIS Controls o NIST CSF según el perfil de la empresa. Resultado: GAP analysis con brechas priorizadas por riesgo, no por orden alfabético.

02

Construcción de políticas y controles

Redactamos las políticas con lenguaje real, aprobado por la dirección e implementado en los sistemas. Un documento de política que nadie sigue no es gobierno — es papel.

03

Revisión periódica y auditorías

El entorno cambia: entran y salen empleados, cambia la infraestructura, llegan nuevas regulaciones. Revisamos el estado de cumplimiento periódicamente y actualizamos las políticas cuando es necesario.

Para qué tipo de empresa

Este servicio es para pymes que operan sin un marco formal de gobierno TI — donde las decisiones de tecnología se toman de forma reactiva y la documentación existe solo cuando algo falla:

Señales de que esto aplica a tu operación
  • No tienes políticas de TI escritas — las reglas son "lo que siempre hemos hecho".
  • El departamento de TI (interno o externo) resuelve problemas, pero no hay un proceso formal de nada.
  • Si el responsable de TI no está disponible, nadie sabe con certeza cómo funciona la infraestructura.
  • Nunca has hecho una evaluación de riesgos de TI ni un análisis de impacto al negocio.
  • Un cliente corporativo, banco o auditor te ha pedido documentación de controles y no tienes nada que mostrar.

El gobierno TI empieza por tener la infraestructura documentada. Ver servicio de Infraestructura TI →

Preguntas frecuentes

¿La Ley 32-23 de facturación electrónica afecta los controles de TI de mi empresa?

Sí. La Ley 32-23 implica intercambio de documentos fiscales digitales con la DGII y con clientes. Eso requiere integridad de datos, controles de acceso a los sistemas que generan comprobantes y, en casos de fiscalización, capacidad de demostrar que los sistemas operan con controles adecuados. Una empresa sin gobierno TI documentado tiene mayor exposición ante una auditoría.

¿Cuál es la diferencia entre gobierno de TI y gestión de TI?

La gestión de TI es el día a día: resolver incidencias, mantener sistemas, hacer respaldos. El gobierno de TI es el marco que define cómo se toman decisiones sobre tecnología: qué políticas existen, quién aprueba qué accesos, cómo se documenta la infraestructura, cómo responde la empresa ante un incidente. Sin gobierno, la gestión depende completamente de las personas — y cuando esas personas no están, no hay continuidad.

¿Qué es un BIA y para qué sirve en una pyme?

BIA (Business Impact Analysis) es el proceso de identificar qué sistemas y procesos son críticos para la operación, cuánto tiempo puede estar caído cada uno antes de que el impacto sea inaceptable, y en qué orden deben recuperarse. Es la base de cualquier plan de continuidad real. Sin un BIA, el plan de recuperación es genérico — con él, es ejecutable.

¿Necesitamos certificarnos en ISO 27001 para esto?

No. ISO 27001 es un marco de certificación formal que implica auditorías externas y un proceso de varios años. Para una pyme, los CIS Controls o el NIST CSF son más prácticos: son frameworks públicos, sin costo de certificación, escalables al tamaño de la empresa y suficientes para cumplir requisitos de clientes corporativos, bancos o reguladores dominicanos. La certificación ISO puede llegar después si la empresa la necesita para un cliente específico.

¿Qué pasa si tenemos un incidente de seguridad sin políticas documentadas?

Sin políticas documentadas, un incidente se convierte en dos problemas: el incidente en sí y la demostración de que la empresa tomó medidas razonables para prevenirlo. Ante clientes corporativos, bancos, aseguradoras o en el contexto de la Ley 172-13 de protección de datos personales, no tener controles documentados puede ser más costoso que el incidente mismo. El gobierno TI no elimina los incidentes — demuestra que la empresa opera con diligencia.

No instalamos tecnología. La gobernamos.

Empecemos con un diagnóstico de gobierno TI

30 minutos para revisar el estado de tus políticas, controles de acceso y documentación operacional. Te entregamos un GAP analysis priorizado — sin compromiso ni costo inicial.

SOLICITAR DIAGNÓSTICO →