Auditoría de Microsoft 365 para PyMEs mexicanas — la guía completa (frameworks, herramientas, entregables)

Qué es realmente una auditoría de Microsoft 365

Una auditoría de Microsoft 365 no es un escaneo de antivirus, no es un Secure Score impreso a PDF, y no es una entrevista de 30 minutos con el equipo de IT. Es una evaluación sistemática de la configuración del tenant contra baselines publicados y verificables, con resultados que rastrean a fuentes primarias y producen evidencia que resiste un cuestionamiento de auditor externo.

Para una PyME mid-market mexicana — entre 50 y 500 empleados, con datos sujetos a LFPDPPP y, si es financiera, CNBV — la auditoría tiene cuatro componentes obligatorios:

1. Cobertura técnica de los controles M365 — Identity, Email, Data, Devices, Apps, Audit.

2. Mapeo a frameworks reconocidos — CIS Benchmark, CISA SCuBA, NIST CSF.

3. Traducción al contexto regulatorio mexicano — LFPDPPP Art. 19, CNBV Circular Única, NOM-024 cuando aplica.

4. Entregables operacionables — no solo un score, sino un plan de remediación con prioridades, costos estimados, y tiempos.

Si tu reporte no tiene los cuatro, no es una auditoría — es una opinión.

Las herramientas que usan los equipos rigurosos

El consenso técnico entre equipos serios de auditoría M365 — visible en foros como r/msp, r/sysadmin, y en la documentación de CISA — converge en una stack relativamente pequeña:

1. Microsoft Secure Score (gratis, nativo)

Para qué. Métrica de adopción de features. Útil para tracking interno mes a mes.

Limitación. Relativo, no defendible como evidencia primaria ante un auditor.

2. CIS Microsoft 365 Foundations Benchmark v3.0 (gratis en PDF)

Para qué. Estándar de configuración mínima defensible, con niveles L1 (baseline operativo) y L2 (seguridad robusta).

Limitación. Es un documento — la evaluación queda al consumidor o a un evaluador de terceros.

Fuente: [cisecurity.org/benchmark/microsoft_365](https://www.cisecurity.org/benchmark/microsoft_365)

3. CISA SCuBA / ScubaGear (gratis, open-source MIT)

Para qué. Línea base que CISA aplica a agencias federales de EE.UU. Política con IDs estables (`MS.AAD.3.1v1`, `MS.EXO.2.2v2`). Incluye PowerShell module para evaluación automatizada.

Limitación. M365 only — no cubre Azure Resource Manager, no cubre regulación local mexicana.

Fuente: [github.com/cisagov/ScubaGear](https://github.com/cisagov/ScubaGear)

4. m365assessment (gratis, open-source, PowerShell)

Para qué. Módulo PowerShell que escanea 100+ settings en Entra, SharePoint, Exchange, Defender, Purview, Teams. Complementa SCuBA en áreas que SCuBA todavía no cubre.

Limitación. Comunidad-mantenido — la velocidad de updates depende de contribuyentes.

Fuente: [github.com/system-admins/m365assessment](https://github.com/system-admins/m365assessment)

5. Maester (gratis, open-source, Pester-based)

Para qué. Framework de tests automatizados sobre Microsoft 365, estilo unit testing. Útil para integrar la auditoría en pipelines CI/CD y para detectar drift de configuración.

Limitación. Curva de aprendizaje — requiere familiaridad con Pester.

Fuente: [github.com/maester365/maester](https://github.com/maester365/maester)

6. CIPP (CyberDrain) (gratis core, hostable)

Para qué. Portal multi-tenant para MSPs. Si gestionas 10+ tenants es justificable; para una sola PyME, es sobreingeniería.

Fuente: [cipp.app](https://cipp.app)

Lo que falta cubrir

Ninguna herramienta gratis cubre regulación mexicana. LFPDPPP Art. 19 ("medidas de seguridad administrativas, técnicas y físicas"), CNBV Circular Única Art. 168 Bis 11 (retención 3 años de logs críticos, archivo inmutable 10 años de incidentes), NOM-024 — el mapeo del control técnico al artículo regulatorio es trabajo humano que ninguna herramienta open-source de EE.UU. va a hacer por ti.

Esto es exactamente la brecha que llena la categoría de infraestructura operativa que simiriki publica para el contexto mexicano. La biblioteca de 197 reglas en `packages/scan-core/src/registry.ts` incluye reglas explícitas para AUD-014 (retención 3 años CNBV), AUD-015 (archivo inmutable 10 años CNBV), y la familia DLP-* mapeada a LFPDPPP.

Qué debe estar en el entregable

Un entregable de auditoría serio tiene seis secciones:

1. Resumen ejecutivo (1 página) — Score global, findings críticos, prioridades de remediación.

2. Inventario de controles evaluados — Qué baselines, qué versión, qué controles individuales. Si no puedes enumerar los controles, no fue una auditoría.

3. Findings por severidad — Cada finding con ID estable, descripción, evidencia (qué evaluó el control y qué respondió), remediación específica.

4. Mapeo regulatorio — Para cada framework aplicable (LFPDPPP, CNBV, NOM-024, ISO 27001), una matriz de cumplimiento control-por-control.

5. Plan de remediación priorizado — Cambios concretos, costos estimados, dependencias, secuencia recomendada.

6. Apéndice técnico — Comandos, queries, configuraciones a aplicar. No "habilita MFA" — sino el PowerShell exacto o el path en el admin center.

El entregable debe poderse forward a tu junta directiva sin tener que pedirle al consultor que lo explique. Si necesitas al consultor para que el reporte tenga sentido, no es operacional.

Banderas rojas en reportes existentes

Si tu equipo ha recibido un reporte de auditoría M365 en los últimos 18 meses, estos son los problemas comunes que vale revisar:

1. Solo Secure Score, sin baseline contra el cual mapear. "Tu Secure Score es 67%" no dice nada de cumplimiento. Es un dato interno, no externo.

2. Cita "CIS Benchmark" sin especificar versión ni nivel. v2.x está obsoleto. Sin L1 vs L2, el número de cumplimiento es ambiguo.

3. No menciona SCuBA, ScubaGear, ni CPG. Marca que el reporte se limitó a herramientas nativas Microsoft y no contrastó contra emisores federales.

4. No tiene IDs de control estables. "Implementar MFA para usuarios privilegiados" es una recomendación; "MS.AAD.3.1v1 (phishing-resistant MFA) actualmente cubre 47/52 cuentas privilegiadas" es evidencia.

5. No mapea a LFPDPPP/CNBV. Para una PyME mexicana regulada, esto es una brecha funcional del entregable. No basta con "aplican buenas prácticas internacionales".

6. El plan de remediación dice "trabajar con tu IT". Si las acciones específicas no están en el reporte, falta la mitad del trabajo.

Costos típicos

Para una PyME mid-market en Monterrey, una auditoría seria de M365 entregada con los seis componentes anteriores y mapeo regulatorio mexicano cuesta entre MXN $19,900 (auditoría productizada de un solo tenant, 48-72h entrega, sin retainer) y MXN $80,000–$150,000 (auditoría custom para múltiples tenants o entornos híbridos con Azure). Cualquier propuesta arriba de $300K MXN para una auditoría única (sin retainer continuo) requiere justificación específica — usualmente significa que el alcance incluye implementación de remediación, no solo evaluación.

Cualquier auditoría debajo de MXN $10,000 entregada en menos de una semana es un Secure Score reformateado. No es auditoría.

Cómo simiriki lo entrega

simiriki es el [free scan en /scan](https://simiriki.com/scan) (OAuth read-only, 197 reglas evaluadas en <90 segundos, Posture Brief en PDF) más la [Auditoría productizada de $19,900 MXN](https://simiriki.com/audit) (evaluación contra los 6 baselines, mapeo LFPDPPP/CNBV/NOM-024, plan de remediación priorizado, 30-min review session). La metodología completa con frameworks y phasing está documentada en [/metodologia](https://simiriki.com/metodologia).

Conclusión

Una auditoría de Microsoft 365 que vale lo que cuesta no es una opinión técnica, es una evaluación sistemática contra baselines publicados con evidencia traceable. Para una PyME mexicana, el contexto regulatorio local es parte no-opcional del entregable. Si tu próximo reporte no incluye SCuBA, CIS L1+L2, mapeo a LFPDPPP/CNBV, y un plan de remediación accionable — no contrataste una auditoría, contrataste un PDF.

Lecturas relacionadas:

• [ScubaGear: la herramienta con la que CISA audita Microsoft 365](/blog/scubagear-cisa-auditoria-microsoft-365)
• [El CIS Benchmark de Microsoft 365 explicado](/blog/cis-benchmark-microsoft-365-explicado)
• [Microsoft Secure Score vs CISA CPG: qué mide cada uno](/blog/secure-score-vs-cisa-cpg)
• [Metodología simiriki — cómo se calibran las 197 reglas](/metodologia)