Checklist de seguridad Microsoft 365 para PyMEs — 20 controles esenciales

La checklist que toda PyME necesita

Si tu empresa usa Microsoft 365, estos son los 20 controles de seguridad que deberías verificar hoy. No necesitas ser experto en ciberseguridad — solo necesitas saber qué revisar.

Identidad y acceso (controles 1-5)

1. MFA habilitado para todos los usuarios — no solo administradores

2. Acceso condicional configurado — al menos una política que requiera MFA desde ubicaciones no reconocidas

3. Usuarios invitados (guest) auditados — revisa quién tiene acceso como invitado y si aún lo necesita

4. Política de contraseñas actualizada — mínimo 12 caracteres, sin expiración forzada (Microsoft recomienda no forzar cambios periódicos)

5. Autenticación legacy bloqueada — los protocolos legacy (POP, IMAP básico) no soportan MFA y son el vector favorito de atacantes

Email (controles 6-10)

6. SPF configurado — tu registro DNS debe limitar quién puede enviar email desde tu dominio

7. DKIM activo — firma criptográfica en todos los emails salientes

8. DMARC en modo enforced — "quarantine" o "reject", no "none"

9. Reenvío automático deshabilitado — los atacantes configuran reenvíos silenciosos para exfiltrar datos

10. Anti-phishing policies activas — Microsoft Defender incluye protección anti-impersonation

Datos (controles 11-15)

11. Compartición externa controlada — SharePoint/OneDrive no debe permitir "cualquiera con el enlace"

12. DLP policies configuradas — al menos para datos financieros y personales (CURP, RFC, tarjetas)

13. Retención de datos definida — ¿qué pasa con los emails/archivos cuando un empleado se va?

14. Etiquetas de sensibilidad aplicadas — clasifica documentos como "público", "interno", "confidencial"

15. Auditoría de acceso habilitada — necesitas saber quién accedió a qué y cuándo

Dispositivos (controles 16-18)

16. Intune configurado — gestión básica de dispositivos que acceden a datos corporativos

17. Defender for Endpoint activo — protección de endpoints integrada con el tenant

18. Políticas de cumplimiento — bloquear dispositivos sin cifrado, sin PIN, o con OS desactualizado

Operaciones (controles 19-20)

19. Alertas de seguridad configuradas — al menos para intentos de acceso sospechosos y cambios de configuración

20. Plan de respuesta a incidentes documentado — ¿qué hace tu equipo cuando algo sale mal?

¿Cuántos controles tienes activos?

• 0-5: Tu tenant está expuesto. Necesitas una auditoría urgente.
• 6-12: Tienes lo básico pero hay gaps importantes.
• 13-17: Buena postura, pero los gaps restantes son los que los atacantes explotan.
• 18-20: Excelente. Ahora mantén el monitoreo continuo.

[Escanea tu tenant gratis y descubre tu score →](/scan)