Un tenant de Microsoft 365 no queda seguro por activar el MFA a algunas personas. La base mínima combina identidades protegidas, administradores separados, Security Defaults o Conditional Access, bloqueo de autenticación heredada, dispositivos gestionados, protección de correo, permisos de compartición, auditoría, recuperación y copias alineadas con el negocio.
Inventario inicial
- Dominios
- Licencias
- Usuarios
- Invitados
- Administradores
- Buzones compartidos
- Grupos
- Aplicaciones empresariales
- Dispositivos
- Reglas de correo
- SharePoint/Teams
- Copias y retención
Conviene revisar las cuentas inactivas y los privilegios existentes antes de añadir controles nuevos.
MFA y acceso condicional
Microsoft recomienda mantener Security Defaults salvo que se sustituyan por políticas de Conditional Access. No deben desactivarse ambos a la vez.
Prioridad:
- MFA para toda persona.
- Métodos resistentes al phishing para administradores y perfiles de riesgo alto.
- Bloquear la autenticación heredada.
- Políticas por riesgo, ubicación y dispositivo.
- Cuentas de emergencia controladas.
Las cuentas break-glass se monitorizan y se prueban, no se usan a diario.
Administradores
- Cuenta separada de la cuenta de trabajo
- Mínimo número de Global Admin
- Roles específicos
- Activación temporal con PIM si está disponible
- MFA fuerte
- Alertas
- Revisión mensual
No se comparte una cuenta de administrador con un proveedor.
Altas, cambios y bajas
El ciclo debe integrar a RR. HH.:
- Alta con rol mínimo
- Licencia y grupos
- Dispositivo
- Cambio de puesto
- Revocación inmediata
- Transferencia controlada
- Cierre de sesiones/tokens
- Conservación y borrado
Una baja no termina bloqueando solo el inicio de sesión.
Correo
Amenazas principales: phishing, BEC, malware y reglas maliciosas.
Controles:
- SPF, DKIM y DMARC
- Protección antiphishing
- Safe Links/Attachments según licencia
- Bloqueo de auto-forward externo
- Alertas por reglas
- Revisión de buzones compartidos
- Formación y canal de reporte
Los cambios de IBAN se verifican siempre por un canal independiente.
Aplicaciones OAuth
Conviene revisar el consentimiento de aplicaciones, sus permisos y el editor. Se puede bloquear el consentimiento amplio por parte de los usuarios o establecer un flujo de aprobación.
Es necesario inventariar service principals, secretos, certificados y su uso, y revocar las aplicaciones sin propietario.
SharePoint, OneDrive y Teams
- Compartición externa por necesidad
- Enlaces con caducidad
- Evitar «cualquiera con el enlace» por defecto
- Grupos, no permisos individuales
- Propietarios de sitios
- Revisión de invitados
- Etiquetas de sensibilidad
- DLP cuando proceda
- Ciclo de vida de Teams
La facilidad de compartir no justifica un acceso indefinido.
Dispositivos
Con Intune u otra herramienta de gestión:
- Cifrado
- PIN/biometría local
- Parches
- Antivirus/EDR
- Bloqueo
- Borrado remoto
- Compliance
- Restricción de dispositivos no gestionados
El BYOD requiere separar los datos corporativos de los personales.
Protección de datos y retención
Hay que definir qué debe conservarse o eliminarse. Las políticas de retención sirven al cumplimiento y al ciclo de vida de la información; no deben confundirse con una estrategia de recuperación completa.
Se aplican etiquetas, eDiscovery y auditoría según la necesidad y la licencia disponible.
Copias y recuperación
Microsoft 365 Backup ofrece protección para SharePoint, OneDrive y Exchange, y existen soluciones asociadas de terceros. La empresa debe definir:
- Cargas cubiertas
- RPO/RTO
- Retención
- Inmutabilidad
- Restauración granular/masiva
- Cuentas y claves
- Pruebas
- Coste
La papelera de reciclaje o el versionado no sustituyen necesariamente una copia de seguridad preparada para escenarios de ransomware y borrado accidental.
Secure Score
Secure Score ayuda a medir la postura de seguridad y a priorizar recomendaciones. No es una certificación ni garantiza la seguridad. Cada acción se evalúa en función del negocio y se documenta si se acepta el riesgo.
Se usa como tendencia, no como un objetivo de alcanzar el 100 %.
Auditoría y alertas
Conviene monitorizar:
- Inicio de sesión imposible o de riesgo
- Alta de administrador
- Consentimiento OAuth
- Reglas de buzón
- Reenvío
- Descarga masiva
- Compartición pública
- Cambio de política
- Uso de cuentas break-glass
Las alertas deben tener un responsable y un procedimiento asociado.
Proveedores
Si un MSP administra el tenant:
- Cuentas nominativas
- Roles mínimos
- Acceso delegado controlado
- MFA
- Logs
- SLA
- Incidentes
- Baja
- Contrato de encargado
El proveedor no debe operar con credenciales del cliente compartidas.
Plan de 30 días
Semana 1
Inventario, administradores, MFA y legado.
Semana 2
Correo, OAuth, invitados y compartición.
Semana 3
Dispositivos, retención, copias y alertas.
Semana 4
Pruebas, incidentes, documentación y formación.
Errores frecuentes
- Desactivar Security Defaults sin implantar Conditional Access.
- Administrar con la cuenta de uso diario.
- MFA solo por SMS para administradores.
- Auto-forward externo activado.
- Aplicaciones OAuth sin revisar.
- Enlaces anónimos sin caducidad.
- Invitados permanentes.
- Confundir la retención con la copia de seguridad.
- No probar la restauración.
- MSP con cuenta compartida.
Checklist
- Inventario
- MFA/Conditional Access
- Administradores separados
- Legado bloqueado
- Correo y dominios
- OAuth
- SharePoint/Teams
- Dispositivos
- Retención y copias
- Alertas, proveedores e incidentes
Preguntas frecuentes
¿Security Defaults o Conditional Access?
Security Defaults es una base sencilla; Conditional Access permite políticas avanzadas. No se desactiva una sin implantar la otra.
¿Secure Score demuestra el cumplimiento?
No. Ayuda a priorizar la postura de seguridad, pero requiere análisis y evidencia adicionales.
¿Microsoft hace copias de seguridad?
Existe Microsoft 365 Backup y otras soluciones asociadas. La organización debe configurar la cobertura y probar la recuperación.
Summum Sistemas puede auditar y aplicar una baseline proporcional a las licencias y al riesgo de cada organización.