Cuando un evaluador o auditor pregunta cómo está protegida su organización, gran parte de la respuesta ya reside en Microsoft 365. Los controles existen, los registros se capturan y la configuración se aplica. La brecha rara vez es la tecnología. Es poder señalar la configuración exacta que satisface un control, y poder generar evidencia de ello sin una semana de trabajo manual.
Esta guía asigna la configuración habitual de Microsoft 365, Microsoft Entra y Microsoft Intune a los controles de Cyber Essentials y a un puñado de controles del Anexo A de ISO 27001:2022. La redacción de los controles sigue los requisitos de Cyber Essentials del NCSC y la norma ISO/IEC 27001:2022. Trate esta asignación como una orientación para delimitar su evidencia, no como un sustituto de los requisitos de su organismo de certificación, porque la forma en que se aplica un control siempre depende de su propio alcance y configuración.
Por qué los auditores piden evidencia de Microsoft 365
Tanto Cyber Essentials como ISO 27001 están orientados a la evidencia. Un control sobre el papel cuenta poco a menos que pueda demostrar que se aplica y que funciona. Para la mayoría de las organizaciones que usan Microsoft 365, la plataforma es donde se gobiernan la identidad, los dispositivos, el correo electrónico y las actualizaciones, por lo que se convierte en la fuente de evidencia más rica de la evaluación. La cuestión práctica es cómo extraer esa evidencia de forma clara, a demanda y en un formato que el evaluador acepte.
Cyber Essentials: los cinco controles en Microsoft 365
Cyber Essentials define cinco controles técnicos. Cada uno se corresponde con una configuración concreta de Microsoft 365, Entra o Intune, y cada uno genera evidencia que se puede exportar.
| Control de Cyber Essentials | Dónde reside en Microsoft 365 | Evidencia que se puede exportar |
|---|---|---|
| Firewalls | Microsoft Defender Firewall gestionado mediante las directivas de firewall de seguridad de endpoints de Intune en los dispositivos inscritos; el límite del servicio es de Microsoft para la plataforma en la nube | Configuración de la directiva de firewall y estado del firewall del dispositivo desde el centro de administración de Intune |
| Configuración segura | Perfiles de configuración de Intune y líneas base de seguridad de Windows, Microsoft Secure Score, y el bloqueo de la autenticación heredada en Entra | Asignación de líneas base e informes de cumplimiento, historial de Secure Score, informe de inicios de sesión de autenticación heredada |
| Control de acceso de usuarios | Cuentas de Microsoft Entra, Conditional Access, autenticación multifactor, roles de mínimo privilegio, y los procesos de alta, cambio y baja de usuarios | Exportación de directivas de Conditional Access, registros de inicio de sesión, listas de asignación de roles, registros de revisión de cuentas |
| Protección contra malware | Microsoft Defender Antivirus y Defender for Endpoint gestionados mediante Intune, además de Safe Attachments y Safe Links de Defender for Office 365 | Configuración de la directiva de antivirus y Defender, estado de protección del dispositivo, y configuración de la directiva de amenazas de correo electrónico |
| Gestión de actualizaciones de seguridad | Windows Autopatch o los anillos de actualización de Windows Update for Business, las directivas de actualizaciones de calidad de Intune, y el canal de actualización de Microsoft 365 Apps | Configuración de anillos de actualización e informes de cumplimiento de Windows Update o Autopatch que muestran los niveles de parcheo |
Merece la pena destacar dos puntos. Primero, Cyber Essentials se interesa por el firewall del endpoint y la configuración segura de los dispositivos que gestiona, no solo por el servicio en la nube, por lo que el lado de Intune de la asignación tiene más peso. Segundo, la gestión de actualizaciones de seguridad se describía antes como gestión de parches; la intención es la misma, y Windows Autopatch es la forma más limpia de evidenciarlo.
ISO 27001:2022 Anexo A: controles seleccionados y fuentes de evidencia
ISO 27001 es más amplia que Cyber Essentials y abarca la gobernanza, las personas y los procesos, además de la tecnología. Los controles siguientes son un subconjunto de los controles tecnológicos y organizativos del Anexo A en los que Microsoft 365 es una fuente de evidencia principal. Son un punto de partida para su Statement of Applicability, no el conjunto completo.
| Control del Anexo A | Qué exige | Fuente de evidencia en Microsoft 365 |
|---|---|---|
| A.5.15 Control de acceso | Reglas para controlar el acceso físico y lógico en función de los requisitos de negocio y de seguridad | Directivas de Conditional Access, asignaciones de roles de Entra, y registros de paquetes de acceso o revisiones de acceso |
| A.8.2 Derechos de acceso privilegiado | Asignación y uso del acceso privilegiado restringidos y gestionados | Roles elegibles de Microsoft Entra Privileged Identity Management, aprobaciones de activación, e historial de auditoría descargable |
| A.8.7 Protección contra malware | Protección contra malware respaldada por la concienciación de los usuarios | Configuración de directivas de Defender for Endpoint y Defender for Office 365 e informes de incidentes y detecciones |
| A.8.8 Gestión de vulnerabilidades técnicas | Obtención de información sobre vulnerabilidades técnicas, y evaluación y tratamiento de la exposición | Informes de exposición de Microsoft Defender Vulnerability Management, además del cumplimiento de parches de Autopatch o los anillos de actualización |
| A.8.13 Copias de seguridad de la información | Mantenimiento y prueba de copias de seguridad conforme a una directiva acordada | Configuración de directivas de retención de Microsoft Purview, además de sus propios registros de copia de seguridad de configuración y datos |
A.8.13 merece atención especial. Microsoft 365 ofrece redundancia de servicio y controles de retención, como las directivas de retención de Purview, pero no es un producto de copia de seguridad, y el modelo de responsabilidad compartida deja la protección de sus datos y su configuración en sus manos. Para un control de copia de seguridad de ISO 27001, evidencie su configuración de retención y su enfoque independiente para respaldar los datos y la configuración del tenant, en lugar de dar a entender que la plataforma se respalda a sí misma.
Cómo recopilar evidencia sin maratones de capturas de pantalla
Las capturas de pantalla son lentas, quedan desactualizadas rápidamente, y un evaluador no puede verificarlas. En su lugar, todas las fuentes de las tablas anteriores se pueden exportar.
- La búsqueda de registros de Microsoft Purview Audit exporta la actividad de todo el tenant a CSV, para que pueda mostrar qué ocurrió y cuándo en Exchange, SharePoint y las acciones administrativas.
- Los registros de inicio de sesión y auditoría de Microsoft Entra se descargan directamente en CSV o JSON, dejando constancia del control de acceso, la MFA y los cambios de directorio.
- Las exportaciones de informes y las vistas de cumplimiento de dispositivos de Microsoft Intune evidencian la configuración segura, el firewall, el antivirus y el estado de las actualizaciones en los dispositivos gestionados.
- Microsoft Entra Privileged Identity Management ofrece un historial de auditoría descargable para la activación y las aprobaciones de acceso privilegiado.
- Las exportaciones de Microsoft Secure Score permiten seguir la mejora de la configuración segura a lo largo del tiempo.
- Microsoft Purview Compliance Manager contiene las acciones de mejora y permite adjuntar archivos de evidencia a los controles, ofreciendo un único lugar donde reunir un paquete de evidencia.
Para la evidencia de dispositivos gestionados, una herramienta de informes de Intune puede convertir señales de compliance, app, update y configuración en packs de auditoría repetibles.
Para cualquier tarea que se repita, prefiera una exportación programada o una consulta de Microsoft Graph o PowerShell antes que un proceso manual de clics. Las exportaciones repetibles mantienen la evidencia actualizada entre ciclos de auditoría y eliminan las prisas anuales.
Dónde encajan EtherAssist y EtherInsights
Saber qué configuración se corresponde con qué control es solo la mitad del trabajo. La otra mitad consiste en organizar el flujo de trabajo, redactar las políticas y procedimientos que están por encima de la configuración, y reunir la evidencia que un evaluador acepta.
EtherAssist respalda ese flujo de trabajo de cumplimiento. Ayuda a los equipos a asignar controles a la evidencia de Microsoft 365, a redactar y mantener políticas y procedimientos, a estructurar las evaluaciones, y a preparar un paquete de evidencia para marcos como ISO 27001, ISO 9001, ISO 42001 y Cyber Essentials. Es cumplimiento controlado y preparación de evidencia con una persona en el bucle; organiza y acelera el trabajo, y no sustituye a su organismo de certificación ni garantiza un resultado de certificación.
EtherInsights cubre el lado de la postura de seguridad. Le ofrece una vista de la configuración de seguridad de Microsoft 365, una línea base para el tenant, y detección de desviaciones, para que un control que evidenció en la auditoría no cambie discretamente después. La copia de seguridad de la configuración, la detección de desviaciones y la restauración mantienen el entorno estable entre evaluaciones, que es precisamente lo que conserva la fiabilidad de la evidencia a lo largo del tiempo.
Asignar la configuración a los controles es la forma más rápida de convertir un tenant de Microsoft 365 que ya utiliza en evidencia lista para auditoría. Empiece por los cinco controles de Cyber Essentials, amplíe hacia los controles del Anexo A que importan para su alcance, y sustituya las capturas de pantalla por exportaciones que pueda repetir.
Explore el cumplimiento ISO y la preparación para auditorías para ver cómo se combinan un flujo de trabajo de cumplimiento controlado y la preparación de evidencia.
