Si tu empresa trabaja sobre Microsoft 365, probablemente compartes dos sensaciones que rara vez se dicen en voz alta. La primera: "tenemos herramientas de seguridad, pero no estamos seguros de usarlas bien." La segunda: "pagamos por muchas cosas que no usamos, pero el día a día no nos deja pararnos a ordenarlo." Ambas sensaciones tienen el mismo origen. No es falta de presupuesto ni falta de herramientas: es falta de visibilidad sobre el propio entorno. Nadie ha hecho el ejercicio de mirar, con método, qué hay, cómo está configurado, qué riesgos existen y qué capacidades están activas pero sin usar. Con la configuración por defecto de Microsoft 365, hasta el 80% de los riesgos más comunes permanecen abiertos, según datos de Cúbica Cloud. Y al mismo tiempo, la mayoría de los planes incluyen herramientas de automatización, colaboración y gestión que pocas pymes llegan a activar siquiera.
Por qué es difícil tener una foto clara del entorno
El problema no suele ser técnico. Es acumulativo. Microsoft 365 se implanta en un momento, el negocio crece, entran y salen personas, se crean equipos de Teams sobre la marcha, se asignan permisos según la urgencia del momento, se añaden aplicaciones integradas sin revisar qué acceso tienen. Con el tiempo, el entorno refleja la historia de la empresa más que una arquitectura pensada.
El resultado es predecible: cuentas de exempleados que siguen activas, usuarios con permisos elevados que nadie recuerda haber asignado, documentos sensibles en sitios de SharePoint con acceso más amplio de lo necesario, procesos críticos que dependen de que alguien se acuerde de hacer algo manualmente. Ninguno de estos problemas interrumpe el trabajo diario. Pero cada uno es un riesgo latente o un freno a la productividad, y con frecuencia son las dos cosas a la vez.
La pregunta que debería poder responderse con seguridad —¿quién tiene acceso a qué, desde dónde y en qué condiciones?— no tiene respuesta clara en la mayoría de los entornos de pymes. Y mientras no la tenga, tanto la seguridad como el aprovechamiento de la plataforma quedan al azar.
El 68% de las empresas españolas no cuenta con una solución de backup específica para Microsoft 365, según datos de Nimbustech. La razón más frecuente es asumir que Microsoft lo cubre por defecto. El modelo de responsabilidad compartida de Microsoft deja claro que no es así: proteger los datos en M365 es responsabilidad del cliente. Lo mismo aplica a la configuración de seguridad: Microsoft ofrece las herramientas, pero las decisiones sobre cómo usarlas son tuyas.
Lo que una revisión estructurada debería mostrar
La forma más directa de salir de esta zona gris no es una auditoría técnica completa, sino una revisión estructurada que responda preguntas concretas en cinco áreas. No para tenerlo todo perfecto, sino para saber dónde se está y qué conviene atender primero.
La primera área es la identidad y el acceso. Cómo se autentican los usuarios, quién tiene permisos elevados y cómo se gestionan, y qué ocurre cuando alguien entra o sale de la organización. La autenticación multifactor frena el 99,9% de los intentos de compromiso de cuentas basados en credenciales robadas, según Microsoft, y sigue sin estar activada de forma universal en muchas pymes. Un proceso de offboarding claro —revocar accesos, transferir datos, eliminar la cuenta— debería ser automático, no depender de que alguien lo recuerde.
La segunda área son los dispositivos y el trabajo remoto. Qué tipo de dispositivos acceden al entorno —corporativos, personales, móviles—, qué nivel de control existe sobre ellos y qué ocurre si un dispositivo se pierde o es robado. En un modelo híbrido, donde parte del equipo trabaja desde casa y parte desde la oficina, esta capa es especialmente relevante: un dispositivo personal sin las políticas correctas aplicadas puede convertirse en la puerta de entrada más fácil.
La tercera área es donde seguridad y productividad se tocan de forma más directa: los datos y la colaboración. Dónde viven realmente los documentos sensibles, cómo se comparten interna y externamente, y qué prácticas se siguen en Teams, SharePoint y OneDrive. Un archivo compartido con un enlace público sin caducidad, un equipo de Teams con invitados externos que nadie ha revisado desde hace meses, o una estructura de carpetas en SharePoint que nadie entiende son simultáneamente un riesgo de seguridad y un obstáculo para trabajar bien. Resolverlos no requiere herramientas nuevas: requiere decisiones sobre cómo organizar lo que ya existe.
"La diferencia entre organizaciones que viven apagando fuegos y las que gestionan sus riesgos de forma madura no está en las herramientas, sino en la claridad sobre la situación actual y los próximos pasos."
— Principio de gobierno de entornos Microsoft 365La cuarta área es la monitorización y la respuesta ante incidentes. Qué alertas se generan en el entorno, quién las revisa y con qué criterio, y cómo se respondería si mañana ocurriera un incidente. Microsoft 365 genera eventos de seguridad de forma continua, pero esos eventos no tienen valor si nadie los analiza. Un entorno sin monitorización activa es un entorno donde los problemas se descubren tarde, cuando el impacto ya es visible.
La quinta área es la que conecta directamente con el aprovechamiento de la inversión: los procesos y la automatización. Qué tareas críticas dependen de acciones manuales, dónde podría automatizarse un flujo con Power Automate sin necesidad de desarrollo, y cómo se documentan y revisan esos procesos. En la mayoría de los planes de Microsoft 365 para pymes, estas capacidades están disponibles y sin usar. No porque no aporten valor, sino porque nadie ha hecho el ejercicio de identificar dónde encajan.
De la revisión a la acción: cómo pasar a mejorar sin montar un proyecto sin fin
La preocupación más frecuente cuando se plantea este tipo de análisis es que acabe siendo un informe extenso que nadie ejecuta. La forma de evitarlo es estructurar la salida en tres niveles desde el principio.
El primer nivel son las acciones inmediatas: cambios que pueden hacerse en días y que reducen el riesgo de forma significativa sin afectar a la operación. Activar MFA de forma universal, revisar y limpiar cuentas activas de exempleados, y auditar los permisos de administrador son ejemplos concretos. No requieren planificación compleja ni presupuesto adicional: requieren tiempo y decisión.
El segundo nivel son las medidas estructurales: cambios que necesitan más preparación pero que tienen un impacto duradero. Rediseñar el modelo de permisos en SharePoint, establecer una política de creación y gobierno de equipos en Teams, o definir cómo se clasifican y protegen los datos sensibles son ejemplos de este tipo. Requieren más coordinación, pero parten de tener resuelto el primer nivel.
El tercer nivel es la automatización selectiva: identificar dos o tres procesos donde automatizar un flujo marque una diferencia clara en tiempo o en errores. No se trata de automatizar todo, sino de encontrar los puntos donde el esfuerzo de configurar algo una vez libera trabajo recurrente durante meses.
El resultado de hacer bien este ejercicio no es solo un entorno más seguro. Es también un entorno donde el equipo trabaja con más claridad: sabe dónde están los documentos, cómo colaborar sin depender del correo, y qué herramientas usar para qué. Seguridad y productividad dejan de ser objetivos separados y se convierten en dos efectos del mismo orden. El primer paso es tener una foto honesta de dónde se está. Lo demás viene después.