Microsoft 365 seguro para pymes: configuración

·

Un tenant de Microsoft 365 no queda seguro por activar el MFA a algunas personas. La base mínima combina identidades protegidas, administradores separados, Security Defaults o Conditional Access, bloqueo de autenticación heredada, dispositivos gestionados, protección de correo, permisos de compartición, auditoría, recuperación y copias alineadas con el negocio.

Inventario inicial

Conviene revisar las cuentas inactivas y los privilegios existentes antes de añadir controles nuevos.

MFA y acceso condicional

Microsoft recomienda mantener Security Defaults salvo que se sustituyan por políticas de Conditional Access. No deben desactivarse ambos a la vez.

Prioridad:

  1. MFA para toda persona.
  2. Métodos resistentes al phishing para administradores y perfiles de riesgo alto.
  3. Bloquear la autenticación heredada.
  4. Políticas por riesgo, ubicación y dispositivo.
  5. Cuentas de emergencia controladas.

Las cuentas break-glass se monitorizan y se prueban, no se usan a diario.

Administradores

No se comparte una cuenta de administrador con un proveedor.

Altas, cambios y bajas

El ciclo debe integrar a RR. HH.:

Una baja no termina bloqueando solo el inicio de sesión.

Correo

Amenazas principales: phishing, BEC, malware y reglas maliciosas.

Controles:

Los cambios de IBAN se verifican siempre por un canal independiente.

Aplicaciones OAuth

Conviene revisar el consentimiento de aplicaciones, sus permisos y el editor. Se puede bloquear el consentimiento amplio por parte de los usuarios o establecer un flujo de aprobación.

Es necesario inventariar service principals, secretos, certificados y su uso, y revocar las aplicaciones sin propietario.

SharePoint, OneDrive y Teams

La facilidad de compartir no justifica un acceso indefinido.

Dispositivos

Con Intune u otra herramienta de gestión:

El BYOD requiere separar los datos corporativos de los personales.

Protección de datos y retención

Hay que definir qué debe conservarse o eliminarse. Las políticas de retención sirven al cumplimiento y al ciclo de vida de la información; no deben confundirse con una estrategia de recuperación completa.

Se aplican etiquetas, eDiscovery y auditoría según la necesidad y la licencia disponible.

Copias y recuperación

Microsoft 365 Backup ofrece protección para SharePoint, OneDrive y Exchange, y existen soluciones asociadas de terceros. La empresa debe definir:

La papelera de reciclaje o el versionado no sustituyen necesariamente una copia de seguridad preparada para escenarios de ransomware y borrado accidental.

Secure Score

Secure Score ayuda a medir la postura de seguridad y a priorizar recomendaciones. No es una certificación ni garantiza la seguridad. Cada acción se evalúa en función del negocio y se documenta si se acepta el riesgo.

Se usa como tendencia, no como un objetivo de alcanzar el 100 %.

Auditoría y alertas

Conviene monitorizar:

Las alertas deben tener un responsable y un procedimiento asociado.

Proveedores

Si un MSP administra el tenant:

El proveedor no debe operar con credenciales del cliente compartidas.

Plan de 30 días

Semana 1

Inventario, administradores, MFA y legado.

Semana 2

Correo, OAuth, invitados y compartición.

Semana 3

Dispositivos, retención, copias y alertas.

Semana 4

Pruebas, incidentes, documentación y formación.

Errores frecuentes

  1. Desactivar Security Defaults sin implantar Conditional Access.
  2. Administrar con la cuenta de uso diario.
  3. MFA solo por SMS para administradores.
  4. Auto-forward externo activado.
  5. Aplicaciones OAuth sin revisar.
  6. Enlaces anónimos sin caducidad.
  7. Invitados permanentes.
  8. Confundir la retención con la copia de seguridad.
  9. No probar la restauración.
  10. MSP con cuenta compartida.

Checklist

Preguntas frecuentes

¿Security Defaults o Conditional Access?

Security Defaults es una base sencilla; Conditional Access permite políticas avanzadas. No se desactiva una sin implantar la otra.

¿Secure Score demuestra el cumplimiento?

No. Ayuda a priorizar la postura de seguridad, pero requiere análisis y evidencia adicionales.

¿Microsoft hace copias de seguridad?

Existe Microsoft 365 Backup y otras soluciones asociadas. La organización debe configurar la cobertura y probar la recuperación.

Summum Sistemas puede auditar y aplicar una baseline proporcional a las licencias y al riesgo de cada organización.