Empieza por la situación del negocio. Para inicios de sesión sospechosos, cambios extraños, alertas de exposición o tráfico inexplicado. Ese contexto ayuda al especialista a entender por qué la revisión importa, qué debe protegerse primero y qué partes del entorno no deben alterarse durante las pruebas.
Convierte la situación en alcance escrito. Incluye dispositivos, cuentas, logs, sistemas cloud, correo, marcas de tiempo y permisos para compartir evidencia. Un alcance claro evita exceder permisos, mantiene las pruebas dentro de activos aprobados y da a ambas partes un registro compartido si surge una duda durante el proyecto.
Define el estándar de evidencia antes de probar. Debe entregar línea de tiempo, posibles puntos de entrada, activos afectados, contención y recuperación. El informe final debe demostrar el riesgo con suficiente claridad para que ingeniería lo corrija, pero sin recolectar más información sensible de la necesaria.
Usa una pregunta de decisión para priorizar. ¿Qué ocurrió, cuándo se notó y qué sistemas cambiaron en ese periodo? Pregunta cómo preservan evidencia y si el informe sirve para revisión legal, interna o de seguros. Cuando la respuesta está clara, el proveedor puede recomendar profundidad, ventana de prueba y formato de informe adecuados para quienes actuarán sobre los resultados.