Repositorio de evidencia técnica

Fragmentos de operación real,
sanitizados para revisión

Políticas, flujos, checklists y arquitecturas derivadas de trabajo en campo. Quitamos lo sensible, pero dejamos las decisiones incómodas: restricciones, excepciones, pendientes y dueños.

Documentos11

Categorías5

FormatoSanitizado · Anónimo

Acceso fullNDA / proyecto activo

Audit fragmentVLAN rollout

Hallazgo

Uplinks sin etiqueta y reglas any-any heredadas.

Decisión

Mover VLANs por ventana, con rollback y dueño de excepción.

Audit fragmentAcceso condicional

Hallazgo

Legacy auth activo antes de exigir MFA global.

Decisión

Report-only, bloqueo legacy y break-glass monitoreado.

Audit fragmentOnboarding

Hallazgo

Permisos de archivos sin responsable claro.

Decisión

Aprobación previa para SharePoint y VPN por área.

Walkthrough operacionalIncidente sanitizado · red + video + continuidad

Rastro de decisión

Señal inicial

Usuarios reportan intermitencia en ERP y cámaras con pérdida de frames. No se asume causa; se separa percepción de evidencia.

Registro de incidente · timestamps · servicios afectados

Trazado de dependencia

Se correlacionan switchports, VLAN actual, NVR, DNS, firewall y horarios de respaldo. El problema aparece como congestión lateral, no como falla de ISP.

Mapa rápido L2/L3 · tabla de flujos críticos

Cambio controlado

Se mueve CCTV a segmento dedicado en una sede piloto. Se mantiene rollback de puertos y snapshot de FortiGate.

Deployment diff · reglas nuevas · validación por rol

Handoff

El cierre deja dueño por segmento, regla y excepción. El cliente recibe qué monitorear y cuándo revisar.

Runbook · matriz VLAN · notas de excepción

Topology fragmentRuta de cambio sanitizada

La ruta mantiene decision, rollback y observabilidad juntos: no es diagrama decorativo, es contexto de operacion.

Governance overlayPolicy excerpts

CA-002 requiere MFA global, excepto break-glass con alerta inmediata.

VLAN20 solo acepta flujo ERP desde usuarios nominados y jump host.

Regla temporal expira al cierre de ventana; owner operativo obligatorio.

Continuity traceDeployment handoff

T-00

Baseline exportado antes del cambio.

T+30

Prueba de acceso por grupo piloto y rollback listo.

T+90

Evidencia, excepciones y handoff firmados.

Identidad & Acceso3 documentos

POLÍTICASanitizado

Baseline de Acceso Condicional · Entra ID P1

Conjunto mínimo de 6 políticas aplicado cuando el tenant ya opera M365, pero todavía existen accesos heredados, apps viejas y excepciones informales.

Identidad & Accesoredaccion aplicada

ContextoTenant M365 con usuarios administrativos, ventas externas y equipo operativo compartido.

NotaAntes de exigir MFA a todos, se identificaron cuentas que seguían entrando por protocolos legacy.

DecisiónSe inició en modo reporte, luego se bloqueó legacy y se dejó break-glass con alerta de uso.

Contenido incluido

→CA001 — Bloquear autenticación legacy (Exchange, SMTP, POP3)

→CA002 — Requerir MFA para todos los usuarios (excepto emergency access)

→CA003 — Requerir MFA para administradores en todas las apps

→CA004 — Bloquear acceso a países fuera de México/LATAM

→CA005 — Requerir dispositivo conforme (Intune) para acceso a datos clínicos/financieros

→CA006 — Sesión limitada (8h) en dispositivos no registrados

Tenant, dominios, usuarios y rangos IP omitidos.Ver contexto completo →

POLÍTICASanitizado

Políticas de Acceso Condicional · Riesgo adaptativo (P2)

Extensión del baseline usando Identity Protection: bloqueo automático ante sign-in de riesgo alto, MFA step-up ante riesgo medio, y revisión de acceso periódica.

Identidad & Accesoredaccion aplicada

Contenido incluido

→CA007 — Bloquear sign-in con risk level: HIGH (Identity Protection)

→CA008 — Requerir cambio de contraseña si user risk: HIGH

→CA009 — MFA step-up si sign-in risk: MEDIUM

→CA010 — Named Locations: IPs corporativas en lista permitida

→Modo "Report-only" durante 14 días antes de aplicar en producción

→Break-glass account excluida de todas las políticas con alerta de uso

Datos de proyecto anonimizadosSolicitar evidencia →

FLUJOPlantilla

Modelo de Gobierno PIM — Acceso Privilegiado Just-in-Time

Estructura de acceso administrativo sin privilegios permanentes. Activación con aprobación, límite de tiempo, y log de auditoría completo en Entra ID.

Identidad & Accesoplantilla operable

Contenido incluido

→Roles elegibles vs activos: solo Global Admin y Exchange Admin como elegibles

→Duración máxima de activación: 4 horas (configurable por rol)

→Aprobación requerida: segundo administrador vía notificación

→Justificación obligatoria en formulario de activación

→Alerta de activación a equipo de seguridad por correo

→Revisión de acceso trimestral para todos los roles privilegiados

Disponible bajo NDAPedir plantilla →

Infraestructura de red2 documentos

DIAGRAMAReferencia

Arquitectura de Segmentación VLAN · Entorno Corporativo Típico

Modelo de segmentación para empresas donde administración, cámaras, invitados y operación han compartido red durante años. Se prioriza aislar lo que puede detener operación.

Infraestructura de redreferencia base

ContextoSede central con sucursales, cámaras IP, impresoras, ERP local y Wi-Fi de visitantes.

NotaEl primer levantamiento normalmente descubre uplinks sin etiqueta y equipos que nadie quiere apagar.

DecisiónSe documenta topología antes de mover VLANs; cambios por ventana y con reversa preparada.

Contenido incluido

→VLAN 10 — Corporativo (workstations, laptops)

→VLAN 20 — Servidores (AD, File, ERP)

→VLAN 30 — Gestión (switches, APs, cámaras)

→VLAN 40 — Impresoras (aisladas por protocolo)

→VLAN 50 — IoT (sin acceso a otras VLANs)

→VLAN 99 — Invitados (Internet-only, aislada)

→Inter-VLAN routing controlado por FortiGate con ACLs explícitas

Arquitectura de referenciaRevisar arquitectura →

CHECKLISTSanitizado

Hardening Baseline FortiGate · Post-implementación

Lista de verificación aplicada al cierre de firewall para evitar que el proyecto termine con reglas abiertas, accesos de gestión expuestos o respaldos sin dueño.

Infraestructura de redredaccion aplicada

ContextoFortiGate en producción con VPN, reglas heredadas y administración local.

NotaSe encontraron reglas any/any creadas para emergencias antiguas que nunca se retiraron.

DecisiónCada regla heredada se marcó como conservar, restringir o retirar con responsable interno.

Contenido incluido

→Contraseña admin por defecto cambiada · cuenta "admin" renombrada

→Acceso HTTPS management solo desde VLAN 30 (Mgmt)

→SSH desactivado en interfaz externa

→IPS profile: "protect" en interfaces externas, "monitor" en LAN

→FortiGuard subscriptions activas y actualizadas

→SNMP v3 configurado para monitoreo (SNMPv1/v2 desactivado)

→Política "implicit deny" verificada como regla final

→Backup de configuración automatizado a FortiManager

IPs públicas, nombres de políticas y objetos internos anonimizados.Ver contexto completo →

Gestión de dispositivos2 documentos

FLUJOPlantilla

Flujo de Onboarding Intune · Autopilot + Acceso Condicional

Proceso de incorporación para que un usuario nuevo reciba equipo, apps y acceso sin depender de favores, hojas de cálculo o configuraciones manuales repetidas.

Gestión de dispositivosplantilla operable

ContextoAlta de usuario con laptop nueva, M365, VPN y aplicaciones base por departamento.

NotaEl cuello de botella no era Autopilot: era saber quién autorizaba permisos de archivos.

DecisiónSe agregó aprobación de responsable antes de entregar acceso a SharePoint y VPN.

Contenido incluido

→Paso 1 — Dispositivo registrado en Autopilot (hash pre-importado por proveedor)

→Paso 2 — Equipo enciende, detecta configuración de empresa automáticamente

→Paso 3 — Usuario se autentica con credenciales Entra ID

→Paso 4 — Autopilot aplica: idioma, zona horaria, join a Entra ID, inscripción Intune

→Paso 5 — Intune despliega apps esenciales (M365, Teams, VPN, AV) en background

→Paso 6 — Acceso Condicional evalúa cumplimiento → acceso a M365 habilitado

→Tiempo total de espera activa del usuario: < 20 minutos

Disponible bajo NDAPedir plantilla →

CHECKLISTSanitizado

Política de Cumplimiento Intune · Windows 11 Empresarial

Perfil de cumplimiento aplicado a todos los dispositivos Windows gestionados. Define los requisitos mínimos para que un equipo sea considerado conforme por Acceso Condicional.

Gestión de dispositivosredaccion aplicada

Contenido incluido

→Versión mínima de Windows: 22H2 (Build 22621)

→BitLocker habilitado y encriptación verificada

→Windows Defender Antivirus activo y definiciones actualizadas (< 3 días)

→Firewall Windows habilitado en todos los perfiles de red

→Sin apps en la lista de bloqueo (TikTok, apps de gaming, etc.)

→Contraseña de inicio de sesión: mínimo 12 caracteres, complejidad activada

→Gracia ante incumplimiento: 3 días antes de bloqueo de acceso

Datos de proyecto anonimizadosSolicitar evidencia →

Planes de implementación2 documentos

TEMPLATEPlantilla

Plan de Adopción MFA · Organización 50–200 usuarios

Cronograma para activar MFA sin romper operación diaria. Incluye comunicación, piloto, soporte en días de cambio y manejo explícito de excepciones.

Planes de implementaciónplantilla operable

ContextoUsuarios administrativos, operación móvil y dirección con viajes frecuentes.

NotaEl mayor riesgo fue resistencia de usuarios con teléfono personal y turnos sin soporte local.

DecisiónSe preparó material impreso, soporte por Teams y ventana extendida durante los primeros dos días.

Contenido incluido

→Semana 1 — Comunicación a usuarios: qué cambia y por qué (correo + sesión 15 min)

→Semana 2 — Piloto: 10% usuarios (área IT + dirección)

→Semana 3 — Expansión: 50% usuarios por departamento

→Semana 4 — Cobertura completa · CA002 en modo "enforce"

→Semana 5 — Métricas: % registro, reportes de problemas, tickets helpdesk

→Canales de soporte: Teams channel + número de helpdesk durante roll-out

→Material incluido: guía de instalación Authenticator (ES/EN) + FAQ imprimible

Disponible bajo NDAPedir plantilla →

TEMPLATEPlantilla

Migración de AD On-Premises a Entra ID Híbrido · Plan de 8 Semanas

Plan para organizaciones con Active Directory on-premises que migran a modelo híbrido con Entra Connect Sync, sin disrupciones en autenticación ni pérdida de políticas GPO.

Planes de implementaciónplantilla operable

Contenido incluido

→Sem 1 — Auditoría de AD: usuarios, grupos, GPOs, service accounts

→Sem 2 — Instalación y configuración Entra Connect Sync (staging mode)

→Sem 3 — Validación de sincronización en staging · revisión de conflictos

→Sem 4 — Cutover a producción · monitoreo de sincronización 48h

→Sem 5 — Entra ID join para dispositivos nuevos · Hybrid Join para existentes

→Sem 6 — Acceso Condicional baseline · MFA enrollment

→Sem 7–8 — Limpieza: cuentas huérfanas, service accounts, GPOs redundantes

Disponible bajo NDAPedir plantilla →

Auditoría y gobernanza2 documentos

FRAGMENTOSanitizado

Extracto de Auditoría de Seguridad · Hallazgos Tipo para SMB

Fragmento sanitizado de hallazgos frecuentes en organizaciones de 50–200 empleados. El objetivo es priorizar lo que realmente baja riesgo operativo.

Auditoría y gobernanzaredaccion aplicada

ContextoEmpresa multi-sede con AD local, M365, firewall perimetral y respaldos mixtos.

NotaLa restauración de respaldo nunca se había probado con usuarios reales conectados.

DecisiónSe puso prueba de restauración antes de ampliar cambios de identidad.

Contenido incluido

→CRÍTICO — 100% de usuarios sin MFA en tenant M365 activo

→CRÍTICO — Cuentas administrativas con acceso permanente (no PIM)

→ALTO — 12 dispositivos con Windows 10 1909 (sin soporte desde 2022)

→ALTO — Firewall perimetral con reglas "any/any" en 60% del ruleset

→MEDIO — Sin política de retención de logs de AD (eventos críticos sobrescritos en 7 días)

→MEDIO — Backup de datos críticos solo local, sin prueba de restauración documentada

→INFORMATIVO — 8 service accounts con contraseñas sin fecha de expiración

Nombres de cliente, hosts, rutas de backup y cuentas omitidos.Ver contexto completo →

FRAGMENTOPlantilla

Estructura de Gobierno IT · Responsabilidades y Escalación

Modelo de responsabilidades IT para organizaciones que formalizan su función tecnológica por primera vez. Define roles, matriz de escalación y cadencia de revisión.

Auditoría y gobernanzaplantilla operable

Contenido incluido

→IT Owner: responsable de decisiones de inversión y política

→IT Admin: operación diaria, gestión de incidentes, provisioning

→Security Champion: revisión periódica de accesos y cumplimiento

→Change Advisory: revisión de cambios mayores (mínimo 2 personas)

→Cadencia de revisión: accesos privilegiados mensual · usuarios trimestrales

→Escalación: incidente crítico → IT Owner en < 1h · regulatorio → Dirección General

Disponible bajo NDAPedir plantilla →

Diagramas de arquitectura4 diagramas operacionales

DIAGRAMASegmentación VLAN · Sede corporativa con sucursales

Referencia

←Desplaza para ver el diagrama→

FortiGate NGFW · 6 VLANs funcionales · ACL inter-VLAN explícita · deny implícito como regla final

DIAGRAMAFlujo de Gobierno de Identidad · Entra ID + Acceso Condicional

Referencia

Entra ID P2 · Identity Protection · Acceso Condicional · PIM · Decisión: Grant / Deny por condición

DIAGRAMACiclo de Vida de Dispositivo · Intune MDM / Autopilot

Referencia

Windows Autopilot · Enrollment · Compliance check · Provisioning de apps · Retire / Wipe en offboarding

DIAGRAMAInfraestructura Híbrida · Cloud + On-Premises

Referencia

AD on-premises + Entra Connect Sync · Entra ID / Intune / Defender en Azure · FortiGate perimetral en sede

Acceso a documentación completa

Políticas, runbooks y arquitecturas sin sanitizar

Las versiones completas incluyen configuraciones específicas, rangos IP, nombres de tenant, evidencia fotográfica y actas de validación. Disponibles bajo NDA para proyectos activos.

Solicitar acceso bajo NDA →

← Metodología·Casos de ingeniería·Evaluación operacional

VELKOR

SYSTEMS

Fragmentos de operación real, sanitizados para revisión

Señal inicial

Trazado de dependencia

Cambio controlado

Handoff

Baseline de Acceso Condicional · Entra ID P1

Políticas de Acceso Condicional · Riesgo adaptativo (P2)

Modelo de Gobierno PIM — Acceso Privilegiado Just-in-Time

Arquitectura de Segmentación VLAN · Entorno Corporativo Típico

Hardening Baseline FortiGate · Post-implementación

Flujo de Onboarding Intune · Autopilot + Acceso Condicional

Política de Cumplimiento Intune · Windows 11 Empresarial

Plan de Adopción MFA · Organización 50–200 usuarios

Migración de AD On-Premises a Entra ID Híbrido · Plan de 8 Semanas

Extracto de Auditoría de Seguridad · Hallazgos Tipo para SMB

Estructura de Gobierno IT · Responsabilidades y Escalación

Políticas, runbooks y arquitecturas sin sanitizar

Fragmentos de operación real, sanitizados para revisión

Señal inicial

Trazado de dependencia

Cambio controlado

Handoff

Baseline de Acceso Condicional · Entra ID P1

Políticas de Acceso Condicional · Riesgo adaptativo (P2)

Modelo de Gobierno PIM — Acceso Privilegiado Just-in-Time

Arquitectura de Segmentación VLAN · Entorno Corporativo Típico

Hardening Baseline FortiGate · Post-implementación

Flujo de Onboarding Intune · Autopilot + Acceso Condicional

Política de Cumplimiento Intune · Windows 11 Empresarial

Plan de Adopción MFA · Organización 50–200 usuarios

Migración de AD On-Premises a Entra ID Híbrido · Plan de 8 Semanas

Extracto de Auditoría de Seguridad · Hallazgos Tipo para SMB

Estructura de Gobierno IT · Responsabilidades y Escalación

Políticas, runbooks y arquitecturas sin sanitizar

Fragmentos de operación real,
sanitizados para revisión

Fragmentos de operación real,
sanitizados para revisión