La palabra 'auditoría' agrupa servicios muy distintos. Un análisis de vulnerabilidades automatizado no es lo mismo que un test de penetración manual, y ninguno de los dos es lo mismo que una revisión de arquitectura.
El timeline real de una auditoría para una empresa de 50–200 empleados suele ser: dos días de recopilación de información, tres a cinco días de análisis activo dependiendo del alcance, y dos días de elaboración del informe. En total, entre una y dos semanas.
El informe final debe incluir una clasificación de hallazgos por riesgo real para el negocio, no solo por severidad técnica. Una vulnerabilidad crítica en un servidor de desarrollo desconectado de producción no tiene el mismo impacto que un fallo medio en el ERP.
Lo más valioso de una auditoría no es la lista de problemas, sino el orden de remediación y la conversación sobre qué mitigar, qué transferir y qué aceptar temporalmente.