¿Qué es infraestructura operativa para Microsoft 365? La categoría que faltaba
Microsoft 365 entrega primitivas — políticas, controles, conectores, APIs. La capa que las opera consistentemente, las mapea a regulación local, y demuestra evidencia ante un auditor no la entrega Microsoft. Esa capa es la categoría: infraestructura operativa. Definición, qué la distingue, y por qué el contexto mexicano la hace necesaria.
El problema que esta categoría resuelve
Cualquier tenant de Microsoft 365 con licenciamiento Business Premium o E3 ya tiene Defender, Conditional Access, Purview, Intune y todos los conectores nativos. La capacidad técnica está. Lo que falta — y lo que cualquier auditor de LFPDPPP, CNBV o ISO 27001 va a notar a los cinco minutos — es la operación consistente de esas capacidades.
Operación consistente significa cuatro cosas que ningún componente nativo de Microsoft 365 entrega completas:
1. Configuración estable a través del tiempo. Las políticas que un MSP aplicó en marzo no son las mismas que están vigentes en septiembre. Drift de configuración es la regla, no la excepción.
2. Detección de cambios y findings priorizados. Microsoft Secure Score da un número. No te dice cuál de 200+ controles se rompió esta semana, ni qué tan grave es para tu vertical.
3. Remediación con evidencia. Cerrar un finding requiere ejecutar un cambio, y el auditor querrá ver _quién, cuándo, con qué autorización_. El email con un screenshot no resiste el cuestionamiento serio.
4. Mapeos a regulación local. Microsoft Compliance Manager incluye plantillas, pero el trabajo de mapear el control X de M365 al artículo 19 de LFPDPPP — para tu industria, tu tamaño, tu contrato con el cliente — recae sobre alguien.
La capa que cubre las cuatro es la infraestructura operativa.
Definición: qué es una "infraestructura operativa para Microsoft 365"
Una infraestructura operativa cumple, como mínimo, los cuatro puntos siguientes:
1. Detección continua con biblioteca de reglas auditable
No es un escaneo trimestral. Es una biblioteca de reglas (en simiriki: 192 reglas en `lib/deepScan.ts`, evaluadas contra Microsoft Graph y Azure Resource Manager) que se ejecuta de forma recurrente y cuyo código es público y verificable. Cada finding tiene un ID estable, una severidad asignada, y un mapeo explícito a categorías de cumplimiento (CIS Microsoft 365 Benchmark, NIST CSF v2.0, LFPDPPP Art. 19).
Si la biblioteca de reglas no es pública, no es infraestructura — es una caja negra.
2. Remediación con aprobación humana y evidencia
Detectar una misconfiguración sin un camino claro a la remediación es deuda. Una infraestructura operativa entrega, para cada finding, un playbook ejecutable: qué cambio se va a hacer, qué nivel de privilegio requiere, qué impacto tiene si se rompe algo. La aprobación es explícita y humana. La evidencia se persiste con timestamp, actor, y delta.
Un auditor de CNBV no acepta "se cerró el finding" sin la captura de quién aprobó, cuándo se ejecutó, y qué quedó documentado.
3. Métricas operativas estables, no scores cosméticos
Microsoft Secure Score es útil pero ruidoso: cambia con cada anuncio de Microsoft sobre nuevos controles, y compara contra benchmarks globales que no son los tuyos. Una infraestructura operativa publica métricas propias — en simiriki las llamamos sIPO (simiriki Infrastructure Posture Observability) y sIRR (simiriki Infrastructure Risk Reduction) — que se mantienen estables a través del tiempo y permiten comparación intra-organización mes a mes.
Sin métricas estables no hay reporting al consejo, y sin reporting al consejo no hay presupuesto recurrente.
4. Trazabilidad pública de fuentes
Cada afirmación cuantitativa que la infraestructura hace al cliente debe rastrearse a una fuente primaria. simiriki publica el grafo completo en `/sources` — todas las autoridades citadas (IBM, Microsoft DDR, Coveware, CISA, NIST, INEGI, SAT, INAI, CNBV, AMVO, ISO) en un índice público. Si una afirmación no rastrea a una fuente, es opinión, no infraestructura.
Tres cosas que NO es la infraestructura operativa
No es un servicio gestionado por horas
Un MSP que configura Microsoft 365 manualmente para 30 clientes vende horas y entrega un PDF. La infraestructura es el software que opera Microsoft 365 — código que el cliente puede inspeccionar, métricas que el cliente puede medir, evidencia que el cliente puede entregar al auditor sin pedirle permiso al consultor.
No es un audit consultivo de un solo punto en el tiempo
Una auditoría de seguridad de 60 horas entregada en PDF es un instante. La infraestructura es un sistema continuo: la posture el día 90 es la consecuencia de la operación de los 89 días anteriores, no de un escaneo de un día.
No es solo un SOAR ni solo un SIEM
Microsoft Sentinel y Defender XDR son componentes técnicos formidables. Cubren detección y respuesta a amenazas activas. La infraestructura operativa los opera: configura las playbooks de Sentinel, mantiene las reglas analíticas, conecta los logs al journal de auditoría con la cadena de evidencia que el regulador pide. Sentinel es la herramienta; la infraestructura es lo que decide cuándo activarla, cómo mantenerla, y cómo demostrarlo.
Por qué el contexto mexicano hace la categoría necesaria
Tres regulaciones la hacen no-opcional para una empresa mexicana mid-market:
LFPDPPP Art. 19 (INAI)
Obliga al responsable a establecer y mantener medidas de seguridad administrativas, técnicas y físicas. Los términos clave son "establecer" y _mantener_. Establecer es un proyecto; mantener es una operación. La infraestructura operativa es la implementación literal del verbo "mantener" del artículo.
CNBV Circular Única de Bancos
Para instituciones financieras, requiere un Plan Director de Seguridad firmado, designación formal de CISO, y revisión periódica de privilegios — todo con evidencia. Mantener esa evidencia mes a mes no es trabajo de un consultor; es trabajo de infraestructura.
SAT — CFDI 4.0 y Carta Porte
Para cualquier empresa que emite CFDI, la operación de Microsoft 365 incluye el flujo CFDI ↔ ERP ↔ correo electrónico. Cada flujo es evidencia fiscal, y cada uno está sujeto a controles de seguridad de identidad y datos. La infraestructura operativa cierra el bucle entre cumplimiento de seguridad y cumplimiento fiscal.
Cómo evaluar a un proveedor
Cuatro preguntas que cualquier proveedor que se llame "infraestructura operativa" debe responder con evidencia pública:
1. ¿Está publicada tu biblioteca de reglas y su mapeo a frameworks? Si la respuesta es "bajo NDA", no es infraestructura.
2. ¿Está publicada tu auditoría de seguridad de plataforma? simiriki publica los doce vectores auditados en `/security-posture`.
3. ¿Está publicado tu grafo de fuentes citadas? El nuestro está en `/sources`.
4. ¿Está publicado tu precio? Sin precio plano publicado, lo que vendes es consultoría, no infraestructura.
Para una comparación factual de simiriki vs Augmentt vs CoreView vs Microsoft Defender contra estos cuatro ejes, ver `/comparison`.
El siguiente paso
Si quieres ver cómo se ve la postura de tu Microsoft 365 contra una biblioteca de reglas pública, sin tarjeta de crédito, sin instalación: el escaneo gratuito conecta tu tenant en menos de 90 segundos y entrega el veredicto en minutos.
[Escanea tu Microsoft 365 gratis →](/scan)
---
Fuentes citadas en este artículo:
- IBM Security · Cost of a Data Breach Report 2024
- Microsoft Digital Defense Report 2023 — identidad como vector primario, eficacia de MFA
- NIST Cybersecurity Framework v2.0 — taxonomía Identify / Protect / Detect / Respond / Recover
- LFPDPPP Art. 19 (INAI) — establecimiento y mantenimiento de medidas de seguridad
- CNBV Circular Única de Bancos — Capítulo IX, outsourcing y CISO designation
- SAT — CFDI 4.0 y Complemento Carta Porte
- CISA Cross-Sector Cybersecurity Performance Goals
- ISO/IEC 27001:2022
Índice completo de fuentes: [simiriki.com/sources](/sources)
¿Tu empresa está protegida?
Diagnóstico gratuito de madurez digital en 5 minutos. Identifica riesgos antes de que se conviertan en incidentes.