Cuando un evaluador o auditor pregunta cómo está protegida su organización, gran parte de la respuesta ya reside en Microsoft 365. Los controles existen, los registros se capturan y la configuración se aplica. La brecha rara vez es la tecnología. Es poder señalar la configuración exacta que satisface un control, y poder generar evidencia de ello sin una semana de trabajo manual.

Esta guía asigna la configuración habitual de Microsoft 365, Microsoft Entra y Microsoft Intune a los controles de Cyber Essentials y a un puñado de controles del Anexo A de ISO 27001:2022. La redacción de los controles sigue los requisitos de Cyber Essentials del NCSC y la norma ISO/IEC 27001:2022. Trate esta asignación como una orientación para delimitar su evidencia, no como un sustituto de los requisitos de su organismo de certificación, porque la forma en que se aplica un control siempre depende de su propio alcance y configuración.

Por qué los auditores piden evidencia de Microsoft 365

Tanto Cyber Essentials como ISO 27001 están orientados a la evidencia. Un control sobre el papel cuenta poco a menos que pueda demostrar que se aplica y que funciona. Para la mayoría de las organizaciones que usan Microsoft 365, la plataforma es donde se gobiernan la identidad, los dispositivos, el correo electrónico y las actualizaciones, por lo que se convierte en la fuente de evidencia más rica de la evaluación. La cuestión práctica es cómo extraer esa evidencia de forma clara, a demanda y en un formato que el evaluador acepte.

Cyber Essentials: los cinco controles en Microsoft 365

Cyber Essentials define cinco controles técnicos. Cada uno se corresponde con una configuración concreta de Microsoft 365, Entra o Intune, y cada uno genera evidencia que se puede exportar.

Control de Cyber EssentialsDónde reside en Microsoft 365Evidencia que se puede exportar
FirewallsMicrosoft Defender Firewall gestionado mediante las directivas de firewall de seguridad de endpoints de Intune en los dispositivos inscritos; el límite del servicio es de Microsoft para la plataforma en la nubeConfiguración de la directiva de firewall y estado del firewall del dispositivo desde el centro de administración de Intune
Configuración seguraPerfiles de configuración de Intune y líneas base de seguridad de Windows, Microsoft Secure Score, y el bloqueo de la autenticación heredada en EntraAsignación de líneas base e informes de cumplimiento, historial de Secure Score, informe de inicios de sesión de autenticación heredada
Control de acceso de usuariosCuentas de Microsoft Entra, Conditional Access, autenticación multifactor, roles de mínimo privilegio, y los procesos de alta, cambio y baja de usuariosExportación de directivas de Conditional Access, registros de inicio de sesión, listas de asignación de roles, registros de revisión de cuentas
Protección contra malwareMicrosoft Defender Antivirus y Defender for Endpoint gestionados mediante Intune, además de Safe Attachments y Safe Links de Defender for Office 365Configuración de la directiva de antivirus y Defender, estado de protección del dispositivo, y configuración de la directiva de amenazas de correo electrónico
Gestión de actualizaciones de seguridadWindows Autopatch o los anillos de actualización de Windows Update for Business, las directivas de actualizaciones de calidad de Intune, y el canal de actualización de Microsoft 365 AppsConfiguración de anillos de actualización e informes de cumplimiento de Windows Update o Autopatch que muestran los niveles de parcheo

Merece la pena destacar dos puntos. Primero, Cyber Essentials se interesa por el firewall del endpoint y la configuración segura de los dispositivos que gestiona, no solo por el servicio en la nube, por lo que el lado de Intune de la asignación tiene más peso. Segundo, la gestión de actualizaciones de seguridad se describía antes como gestión de parches; la intención es la misma, y Windows Autopatch es la forma más limpia de evidenciarlo.

ISO 27001:2022 Anexo A: controles seleccionados y fuentes de evidencia

ISO 27001 es más amplia que Cyber Essentials y abarca la gobernanza, las personas y los procesos, además de la tecnología. Los controles siguientes son un subconjunto de los controles tecnológicos y organizativos del Anexo A en los que Microsoft 365 es una fuente de evidencia principal. Son un punto de partida para su Statement of Applicability, no el conjunto completo.

Control del Anexo AQué exigeFuente de evidencia en Microsoft 365
A.5.15 Control de accesoReglas para controlar el acceso físico y lógico en función de los requisitos de negocio y de seguridadDirectivas de Conditional Access, asignaciones de roles de Entra, y registros de paquetes de acceso o revisiones de acceso
A.8.2 Derechos de acceso privilegiadoAsignación y uso del acceso privilegiado restringidos y gestionadosRoles elegibles de Microsoft Entra Privileged Identity Management, aprobaciones de activación, e historial de auditoría descargable
A.8.7 Protección contra malwareProtección contra malware respaldada por la concienciación de los usuariosConfiguración de directivas de Defender for Endpoint y Defender for Office 365 e informes de incidentes y detecciones
A.8.8 Gestión de vulnerabilidades técnicasObtención de información sobre vulnerabilidades técnicas, y evaluación y tratamiento de la exposiciónInformes de exposición de Microsoft Defender Vulnerability Management, además del cumplimiento de parches de Autopatch o los anillos de actualización
A.8.13 Copias de seguridad de la informaciónMantenimiento y prueba de copias de seguridad conforme a una directiva acordadaConfiguración de directivas de retención de Microsoft Purview, además de sus propios registros de copia de seguridad de configuración y datos

A.8.13 merece atención especial. Microsoft 365 ofrece redundancia de servicio y controles de retención, como las directivas de retención de Purview, pero no es un producto de copia de seguridad, y el modelo de responsabilidad compartida deja la protección de sus datos y su configuración en sus manos. Para un control de copia de seguridad de ISO 27001, evidencie su configuración de retención y su enfoque independiente para respaldar los datos y la configuración del tenant, en lugar de dar a entender que la plataforma se respalda a sí misma.

Cómo recopilar evidencia sin maratones de capturas de pantalla

Las capturas de pantalla son lentas, quedan desactualizadas rápidamente, y un evaluador no puede verificarlas. En su lugar, todas las fuentes de las tablas anteriores se pueden exportar.

  • La búsqueda de registros de Microsoft Purview Audit exporta la actividad de todo el tenant a CSV, para que pueda mostrar qué ocurrió y cuándo en Exchange, SharePoint y las acciones administrativas.
  • Los registros de inicio de sesión y auditoría de Microsoft Entra se descargan directamente en CSV o JSON, dejando constancia del control de acceso, la MFA y los cambios de directorio.
  • Las exportaciones de informes y las vistas de cumplimiento de dispositivos de Microsoft Intune evidencian la configuración segura, el firewall, el antivirus y el estado de las actualizaciones en los dispositivos gestionados.
  • Microsoft Entra Privileged Identity Management ofrece un historial de auditoría descargable para la activación y las aprobaciones de acceso privilegiado.
  • Las exportaciones de Microsoft Secure Score permiten seguir la mejora de la configuración segura a lo largo del tiempo.
  • Microsoft Purview Compliance Manager contiene las acciones de mejora y permite adjuntar archivos de evidencia a los controles, ofreciendo un único lugar donde reunir un paquete de evidencia.

Para la evidencia de dispositivos gestionados, una herramienta de informes de Intune puede convertir señales de compliance, app, update y configuración en packs de auditoría repetibles.

Para cualquier tarea que se repita, prefiera una exportación programada o una consulta de Microsoft Graph o PowerShell antes que un proceso manual de clics. Las exportaciones repetibles mantienen la evidencia actualizada entre ciclos de auditoría y eliminan las prisas anuales.

Dónde encajan EtherAssist y EtherInsights

Saber qué configuración se corresponde con qué control es solo la mitad del trabajo. La otra mitad consiste en organizar el flujo de trabajo, redactar las políticas y procedimientos que están por encima de la configuración, y reunir la evidencia que un evaluador acepta.

EtherAssist respalda ese flujo de trabajo de cumplimiento. Ayuda a los equipos a asignar controles a la evidencia de Microsoft 365, a redactar y mantener políticas y procedimientos, a estructurar las evaluaciones, y a preparar un paquete de evidencia para marcos como ISO 27001, ISO 9001, ISO 42001 y Cyber Essentials. Es cumplimiento controlado y preparación de evidencia con una persona en el bucle; organiza y acelera el trabajo, y no sustituye a su organismo de certificación ni garantiza un resultado de certificación.

EtherInsights cubre el lado de la postura de seguridad. Le ofrece una vista de la configuración de seguridad de Microsoft 365, una línea base para el tenant, y detección de desviaciones, para que un control que evidenció en la auditoría no cambie discretamente después. La copia de seguridad de la configuración, la detección de desviaciones y la restauración mantienen el entorno estable entre evaluaciones, que es precisamente lo que conserva la fiabilidad de la evidencia a lo largo del tiempo.

Asignar la configuración a los controles es la forma más rápida de convertir un tenant de Microsoft 365 que ya utiliza en evidencia lista para auditoría. Empiece por los cinco controles de Cyber Essentials, amplíe hacia los controles del Anexo A que importan para su alcance, y sustituya las capturas de pantalla por exportaciones que pueda repetir.

Explore el cumplimiento ISO y la preparación para auditorías para ver cómo se combinan un flujo de trabajo de cumplimiento controlado y la preparación de evidencia.