NIST 800-171 es específico sobre la protección contra amenazas: tienes que defenderte del código malicioso, encontrar y corregir fallas en un calendario, y endurecer el canal que más usan los atacantes, que es el correo. Microsoft Defender cubre los tres en GCC High.
Despliega Defender for Endpoint (3.14.2)
NIST 800-171 3.14.2 exige protección contra código malicioso, y Defender for Endpoint te da antivirus en tiempo real más detección y respuesta en el endpoint. Incorpora los dispositivos vía Intune, y luego activa la protección en tiempo real, la protección entregada por la nube y la protección contra manipulación.
Corre gestión de vulnerabilidades y parcheo (3.11.2, 3.14.1)
NIST 800-171 3.11.2 y 3.14.1 exigen encontrar y remediar fallas en una cadencia regular, no una vez al año. Habilita Defender Vulnerability Management y revisa el exposure score cada semana, y configura Windows Update for Business o anillos de actualización de Intune para que los parches salgan en un calendario predecible.
Activa la protección anti-phishing (3.14.2, 3.13.13)
El correo es el vector de ataque número uno, así que Defender for Office 365 hace trabajo real aquí. En el portal de Defender, bajo Email and collaboration y luego Policies, habilita Safe Links y Safe Attachments, y aplica la política de seguridad preset Standard o Strict a todos los usuarios.
Una nota sobre qué significa "hecho"
Configurar estos ajustes endurece tu tenant de Microsoft 365 GCC High al baseline técnico de NIST 800-171. No es una certificación CMMC. Un C3PAO evalúa tu System Security Plan documentado, no tu tenant directamente, así que la configuración de arriba solo cuenta cuando queda escrita con evidencia. Nuestro GCC High Setup Autopilot gratis te lleva por cada paso en orden y entrega el resultado a tu conjunto de controles cuando pasas a Readyline Pro.
