// 01 · Correo
Exchange Online & MDO
Anti-phishing, anti-spoofing, SPF/DKIM/DMARC, Safe Links, Safe Attachments, reglas de transporte sospechosas y exfiltración por reenvíos automáticos.
Servicio de entrada · Alcance y precio cerrado
Foto honesta de tu exposición real en Microsoft 365
Auditamos correo, identidades, endpoints y datos sobre tu tenant. Te entregamos hallazgos priorizados, hoja de ruta accionable y precio cerrado — sin descubrimiento eterno ni propuesta de 80 láminas.
- Entrega en 5–10 días hábiles, sin reuniones que no aportan
- Acceso de solo lectura — Global Reader, no admin
- Reporte ejecutivo + técnico + roadmap de 90 días
- Precio cerrado, sin scope creep ni horas indefinidas
Alcance
Qué revisamos exactamente
Cuatro vectores donde la mayoría de las PYMES tienen brechas — y donde el atacante invierte la mayor parte de su tiempo.
// 02 · Identidad
Entra ID & acceso
MFA real (no opcional), Conditional Access, cuentas privilegiadas, dispositivos heredados, métodos de auth débiles, riesgos por sign-in y consentimientos OAuth abusivos.
// 03 · Endpoint
Intune & Defender for Endpoint
Inscripción de equipos, políticas de cumplimiento, BitLocker, ASR rules, EDR activo, dispositivos no gestionados conectándose a recursos corporativos.
// 04 · Datos
Purview & SharePoint
Sensitivity labels existentes (o ausencia), DLP, links externos, sitios sobreexpuestos, datos sensibles fuera de control y configuración de OneDrive corporativo.
Entregables
Qué te llevas al final
Documentos accionables, no PowerPoints de relleno. Todo lo que recibe tu equipo:
Output del servicio
- Reporte ejecutivo de 1 página con postura de seguridad y riesgo agregado
- Detalle técnico por dominio (correo · identidad · endpoint · datos)
- Hallazgos clasificados por severidad (crítico · alto · medio · bajo)
- Hoja de ruta priorizada a 90 días con quick wins y proyectos
- Estimación de licenciamiento requerido por mejora
- Sesión de presentación de resultados (60–90 min, dirección + IT)
Cuándo te conviene
Esta evaluación tiene sentido si…
Ya pagas Microsoft 365Business Premium, E3 o E5 — pero no sabes qué de eso está realmente activado y protegiéndote.
Recibiste un intento de phishing serioO sospechas que un buzón fue comprometido. Quieres saber qué tan expuesto está el resto.
Vienen auditorías o requisitosCliente, regulador, aseguradora — alguien te pide evidencia de postura de seguridad y no la tienes.
Tu equipo IT está desbordadoConocen las herramientas pero no tienen tiempo para hacer una revisión seria. Necesitas una mirada externa con criterio.
Quieres invertir bien, no por catálogoAntes de comprar más licencias o herramientas, necesitas saber qué reduce riesgo real y qué solo agrega complejidad.
Tienes 20–500 empleadosTamaño donde Microsoft 365 ya es el core operativo y donde un incidente serio paraliza el negocio.
Metodología
Cómo trabajamos
Proceso ordenado en 4 etapas. Sin descubrimiento eterno, sin reuniones que no aportan.
01 · Día 1
Sesión de contexto (90 min)
Entendemos negocio, criticidad de datos, incidentes recientes, licenciamiento actual y miedos del cliente. Recolectamos accesos de solo lectura.
02 · Días 2–6
Auditoría técnica sobre el tenant
Trabajamos directamente sobre tu Microsoft 365. Revisamos configuración, controles activos, brechas y evidencia. Sin volcar todo a un Excel — analizamos con criterio.
03 · Días 7–9
Priorización y documentación
Clasificamos hallazgos por severidad. Construimos hoja de ruta de 90 días con quick wins primero, proyectos después. Validamos viabilidad operativa.
04 · Día 10
Presentación de resultados
Sesión de 60–90 min con dirección e IT. Explicamos hallazgos críticos, justificamos prioridades y respondemos preguntas. Te llevas el reporte completo.
Preguntas frecuentes
Lo que más nos preguntan antes de empezar
¿Cuánto dura la evaluación?
Entre 5 y 10 días hábiles según el tamaño del tenant y la disponibilidad de tu equipo para la sesión de contexto inicial. Lo definimos en la llamada de calificación.
¿Necesito dar acceso de administrador?
No. Trabajamos con rol Global Reader o roles delegados de solo lectura. Si necesitamos algo más para un caso específico, lo justificamos antes y queda documentado en el alcance.
¿Qué pasa si encuentran un incidente activo?
Te avisamos de inmediato y pausamos la evaluación. Definimos contigo respuesta inmediata vs. continuar el assessment. La evaluación no es respuesta a incidentes — si ya tienes uno activo, hablemos antes.
¿El precio es cerrado?
Sí. Tras la llamada de calificación te enviamos propuesta con alcance, plazo y precio cerrado. Sin sorpresas ni horas indefinidas ni cambios de scope a medio camino.
¿Implementan también después de la evaluación?
Sí, pero no es obligatorio. La hoja de ruta es tuya y puedes ejecutarla con tu equipo interno, con otro proveedor o con nosotros. Sin upsell forzado.
¿Aplica para empresas fuera de México?
Sí. Operamos para PYMES en México y LATAM. El trabajo es remoto sobre el tenant, así que la geografía no es un bloqueo. Sesiones en español.
Solicitar
Cuéntanos tu contexto
Compártenos brevemente tu situación. Te respondemos por correo en horas hábiles para coordinar la llamada de calificación.