Compliance Scans
Mantenido por: Aether365 Team Audiencia: Administradores de seguridad y responsables de compliance Alcance: Ejecución de compliance scans, frameworks cubiertos y estructura de resultados
Los compliance scans evalúan tu tenant de Microsoft 365 según benchmarks de seguridad reconocidos. Cada benchmark está mantenido por una autoridad de seguridad y define controles que las organizaciones deben implementar para reducir el riesgo.
Frameworks soportados
Versiones de los benchmarks
Aether365 siempre sigue la última versión publicada de cada benchmark. El motor de compliance se actualiza automáticamente a medida que las autoridades de seguridad publican nuevas revisiones, de modo que tus análisis reflejan el estándar vigente sin que tengas que hacer nada. Los números de versión que aparecen a continuación indican la línea base en vigor en el momento de redactar esta página.
CIS Microsoft 365 Foundations Benchmark (v5.0)
Mantenido por el Center for Internet Security, este benchmark es el estándar de seguridad de M365 más ampliamente utilizado. Cubre:
- Cuentas y autenticación - Requisitos de MFA, políticas de contraseñas, autenticación heredada
- Azure Active Directory / Entra ID - Acceso condicional, asignaciones de roles, acceso privilegiado
- Seguridad del correo electrónico - Anti-phishing, anti-spam, DKIM, DMARC, SPF
- Microsoft Teams - Acceso externo, configuración de invitados, políticas de reuniones
- Aplicaciones de Microsoft 365 - Configuración de macros, políticas de complementos
- Registro de auditoría - Auditoría de buzones, registro de auditoría unificado
Los controles CIS se etiquetan como Nivel 1 (L1) o Nivel 2 (L2):
| Nivel | Significado |
|---|---|
| L1 | Recomendado para todas las organizaciones. Impacto mínimo en las operaciones. |
| L2 | Mayor seguridad, puede afectar a la usabilidad. Recomendado para entornos sensibles en seguridad. |
Los IDs de las comprobaciones siguen el formato CIS.M365.{sección}.{subsección}.{item} - por ejemplo, CIS.M365.1.1.1.
EIDSCA (Entra ID Security Config Analyzer)
EIDSCA se centra específicamente en la configuración de Entra ID (anteriormente Azure Active Directory). Cubre áreas no abordadas completamente por CIS, incluyendo:
- Métodos de autenticación (SSPR, políticas de registro MFA)
- Brechas en políticas de acceso condicional
- Configuración de Privileged Identity Management (PIM)
- Controles de tiempo de vida de tokens y sesiones
- Configuración de invitados e identidad externa
CISA SCuBA M365 Security Baseline
Publicado por la Agencia de Ciberseguridad e Infraestructura de EE. UU., SCuBA (Secure Cloud Business Applications) define la línea base de seguridad del gobierno federal para M365. Se estructura por producto:
- Microsoft Entra ID (AAD)
- Microsoft Defender for Office 365
- Exchange Online
- Microsoft Teams
- SharePoint Online y OneDrive
- Microsoft 365 Apps
SCuBA es especialmente relevante para organizaciones en sectores regulados o que trabajan con agencias federales de EE. UU.
NIS2
NIS2 es la Directiva de la Unión Europea sobre redes y sistemas de información (2022/2502). Aether365 mapea los controles de configuración de M365 a los requisitos técnicos relevantes de NIS2, ayudando a las organizaciones de la Unión Europea a demostrar el cumplimiento de:
- Control de acceso y autenticación (Artículo 21)
- Gestión de incidentes y registro de eventos de seguridad
- Controles de continuidad del negocio
- Configuración de seguridad de la cadena de suministro
Categorias de resultados
Cada comprobación devuelve uno de tres resultados:
| Resultado | Significado |
|---|---|
| Passed | El control está correctamente configurado |
| Failed | El control no se cumple - se recomienda la corrección |
| Skipped | La comprobación no es aplicable a la configuración o licencia de tu tenant |
Etiquetas de severidad
Además de L1/L2 (CIS), cada comprobación tiene una severidad asignada por Aether365:
| Severidad | Descripción |
|---|---|
| Critical | Riesgo de explotación directa o vector de ataque común |
| High | Riesgo significativo, debe corregirse con prontitud |
| Medium | El riesgo existe pero está mitigado por otros controles |
| Low | Buena practica, menor riesgo inmediato |
Orientación de corrección
Cada comprobación fallida incluye:
- Una explicación en lenguaje claro de por qué falló la comprobación
- Instrucciones paso a paso para corregirla en el centro de administración de Microsoft 365 o en el portal de Azure
- Un enlace a la documentación oficial de Microsoft
Aviso legal
Los resultados de los compliance scans de Aether365 se proporcionan con fines informativos y de mejora de la seguridad. Son recomendaciones automatizadas basadas en la configuración de tu Microsoft 365 - no constituyen una certificación, atestación ni garantía legal de cumplimiento de ningún framework, estándar o normativa (incluidos CIS, EIDSCA, CISA SCuBA, NIS2 o GDPR).
- Aether365 lee únicamente metadatos de configuración. No procesa, almacena ni analiza el contenido de tu negocio, el correo, los archivos ni los datos personales de los usuarios finales para generar estos resultados, y ningún dato de cliente se envía jamás a servicios de AI o de aprendizaje automático.
- Un resultado de aprobado significa que un control estaba configurado como se esperaba en el momento del análisis. No certifica que tu organización cumpla con ninguna ley o normativa.
- Tu organización sigue siendo la única responsable de su cumplimiento normativo, de interpretar los resultados de los análisis y actuar en consecuencia, y de cualquier multa, sanción o penalización derivada de sus obligaciones regulatorias.
Para obtener una certificación formal o una evaluación legal de tu nivel de cumplimiento, consulta a un auditor cualificado o a un asesor jurídico.