Identidad y acceso (1-5)
- MFA obligatorio para todos: el 99% de ataques de fuerza bruta fallan con MFA.
- Passwordless: Authenticator con numero de coincidencia o FIDO2 keys.
- Acceso condicional: bloquear sesiones desde paises donde no operas.
- Proteccion de identidad: deteccion de riesgos y remediacion automatica.
- PIM: roles de admin con justificacion y tiempo limitado.
Correo y datos (6-10)
- Defender for Office 365: Safe Links, Safe Attachments y anti-phishing activados.
- DLP basico: politicas para prevenir compartir datos sensibles fuera de la empresa.
- Retencion y eliminacion: politicas de retencion configuradas, no solo creacion.
- Encriptacion de correo: habilitada para mensajes con datos personales o financieros.
- Auditoria habilitada: registro de actividad de administracion y busqueda.
Dispositivos y administracion (11-15)
- Intune o Microsoft Endpoint Manager: dispositivos registrados y con directivas.
- Windows Update for Business: parches dentro de los 14 dias.
- App protection policies: datos corporativos no se copian a apps personales.
- Guest access controlado: acceso externo limitado y con caducidad.
- Alertas de seguridad: canal operativo configurado para alertas criticas.
Como implementar este checklist
No intentes activar todo en un dia. Prioriza MFA, acceso condicional y proteccion de correo. Con eso eliminas el 80% de la superficie de ataque.