Cuando una empresa empieza a vender a clientes grandes, el security review deja de ser una formalidad. Procurement, legal y security suelen pedir evidencia de controles, no solo respuestas bonitas.
Idea central: si no puedes demostrar el control, para enterprise el control todavía no existe.
La evidencia mínima que normalmente aparece
- MFA en cuentas críticas y usuarios privilegiados.
- Políticas de acceso, incident response, backup, retención y proveedores.
- Inventario de sistemas, datos y terceros relevantes.
- Backups y evidencia de pruebas de restauración.
- Logs, monitoreo y proceso de revisión.
- Seguridad de desarrollo: dependencias, secretos, cambios y releases.
- Uso de IA: datos tocados, proveedores, retención y guardrails.
Cómo responder sin improvisar
Conviene separar controles existentes, controles documentados pero no evidenciados, controles inexistentes y controles fuera de alcance. Kronixial usa un evidence tracker para convertir el security review en owner, evidencia, gap y deadline.
Señales de alerta
- Responder “sí” sin evidencia.
- Políticas copiadas que nadie opera.
- No saber qué proveedores procesan datos.
- No tener restore test reciente.
- No poder explicar cómo se usa IA con datos internos.