Microsoft SC-900 en 30 minutos: la guía fundamental de seguridad/cumplimiento
SC-900 es la certificación de seguridad más fácil de Microsoft. Quién la necesita realmente, quién debería omitirla para SC-200 o AZ-500, y qué te ofrecen los $99.
SC-900 — Microsoft Certified: Security, Compliance, and Identity Fundamentals — es la más fácil de las certificaciones de seguridad de Microsoft, y eso es tanto su punto fuerte como su limitación. Cuesta $99, puedes prepararte en aproximadamente 10 horas si has trabajado con Microsoft 365 o Azure, y las preguntas son conceptuales: define esto, relaciona aquello, identifica qué producto de Microsoft resuelve qué problema.
Si eres una persona técnica de seguridad, probablemente puedas dejar de leer e ir a tomar SC-200 o AZ-500 en su lugar. SC-900 no está dirigida a ti. Está dirigida a los auditores, analistas de cumplimiento, ingenieros de ventas, gerentes de proyectos y ejecutivos de cuentas que necesitan hablar con credibilidad sobre el stack de seguridad de Microsoft sin ser quienes lo implementan.
Qué incluye realmente el examen
El plan de estudios actual de SC-900 cubre cuatro dominios:
- Conceptos de seguridad, cumplimiento e identidad (~10–15%): los fundamentos — defensa en profundidad, responsabilidad compartida, Zero Trust, cifrado en reposo vs. en tránsito, marcos de cumplimiento comunes (GDPR, HIPAA, ISO 27001 a nivel de reconocimiento de nombre).
- Capacidades de Microsoft Entra (~25–30%): Entra ID (el renombrado Azure AD), métodos de autenticación, MFA, Conditional Access, gobernanza de identidades, External Identities, PIM a nivel de vocabulario.
- Soluciones de seguridad de Microsoft (~25–30%): Defender for Cloud, Defender for Endpoint, Defender for Office 365, Defender for Identity, Sentinel — qué hace cada uno, no cómo configurarlo. Además, protección Azure DDoS, Azure Firewall, NSGs y Key Vault como material a nivel de características.
- Soluciones de cumplimiento de Microsoft (~25–30%): Purview (el nombre general para las herramientas de cumplimiento desde 2022), Information Protection, Data Loss Prevention, Insider Risk Management, eDiscovery, Compliance Manager, el Service Trust Portal.
El examen consta de 40 a 60 preguntas, 60 minutos, de opción múltiple y selección múltiple. No hay estudios de caso, ni laboratorios, ni secuencias de arrastrar y soltar. La calificación para aprobar es 700/1000. En línea a través de Pearson VUE OnVUE o en persona — a tu elección.
Precio de lista de $99 USD (el precio regional lo reduce a ~$50 en algunos mercados). La validez es de 1 año, con renovación gratuita mediante una evaluación en línea de 25 preguntas. El proceso de renovación de Microsoft para las certificaciones fundamentales es realmente sencillo.
Para quién es SC-900
Tres audiencias para las que la certificación vale la pena:
Roles no técnicos en trabajos relacionados con la seguridad. Analistas GRC, oficiales de cumplimiento, auditores internos y personal de adquisiciones que necesitan validar las afirmaciones de seguridad de los proveedores. SC-900 te proporciona el vocabulario para leer una revisión de seguridad de Microsoft 365 y saber si los controles descritos son reales o marketing.
Equipos de preventa y cuentas en partners de Microsoft. Este es el grupo más grande. El estatus de Microsoft Solutions Partner requiere empleados certificados, y SC-900 cuenta para los mínimos del nivel de partner. Los ingenieros de ventas que pueden responder "¿cuál es la diferencia entre Defender for Endpoint y Defender for Cloud Apps?" cierran más acuerdos que aquellos que divagan.
Personas que cambian de carrera y la usan como punto de partida. Si te estás moviendo a TI o seguridad desde un campo no relacionado, SC-900 es una forma de bajo riesgo para demostrar seriedad sin gastar $165 en un examen basado en roles para el que no estás listo. Combínala con AZ-900 por $198 y tendrás una respetable señal de dos certificaciones de "Soy nuevo pero no un turista".
Quién debería omitirla
Si ya eres ingeniero de seguridad, analista SOC, administrador de identidad o ingeniero de la nube con responsabilidades de seguridad — omite SC-900. El contenido es el primer capítulo de los exámenes basados en roles. No aprenderás nada, gastarás $99, y SC-900 en un currículum de seguridad senior se lee como relleno.
Para rutas técnicas, las alternativas:
- Ruta de analista SOC: SC-200 (Security Operations Analyst Associate), $165, práctica con Sentinel y Defender.
- Ruta de ingeniero de seguridad en la nube: AZ-500 (Azure Security Engineer Associate), $165, con gran énfasis en la configuración en Azure.
- Ruta de administrador de identidad: SC-300 (Identity and Access Administrator Associate), $165, profundo en Entra ID.
- Ruta de arquitecto de seguridad: SC-100 (Cybersecurity Architect Expert), $165, requiere una de las anteriores como requisito previo.
Los exámenes basados en roles cubren todo lo que SC-900 abarca, además de la implementación real. Omitir los fundamentos cuando tienes la experiencia para los exámenes basados en roles no es un atajo, es la decisión correcta.
Tiempo de preparación, cifras realistas
| Background | Hours | Calendar |
|---|---|---|
| Ya trabaja con seguridad de M365 / Azure diariamente | 5–8 | Un fin de semana |
| TI generalista, exposición ocasional a Microsoft | 10–15 | 1–2 semanas |
| Completamente nuevo en la nube de Microsoft | 20–30 | 3–4 semanas |
| Persona que cambia de carrera, sin experiencia en TI | 40–60 | 6–8 semanas |
La ruta oficial de SC-900 en Microsoft Learn es gratuita y está actualizada — es el único recurso que la mayoría de los candidatos necesita. El canal de YouTube de John Savill tiene un resumen de estudio para SC-900 que es útil para aquellos que aprenden de forma auditiva. Omite los cursos pagados de Udemy a menos que cuesten menos de $15 — el contenido oficial es lo suficientemente completo.
El mayor obstáculo es la nomenclatura de productos. Microsoft renombró la mitad de sus productos de seguridad entre 2020 y 2024. Azure AD se convirtió en Entra ID. Microsoft Cloud App Security se convirtió en Defender for Cloud Apps. Las herramientas de cumplimiento se consolidaron bajo Purview. El examen evalúa los nombres actuales, pero gran parte del material de estudio más antiguo utiliza nombres antiguos. Si estás leyendo una guía de SC-900 de 2022, verifica cada nombre de producto en learn.microsoft.com antes del examen.
Impacto salarial
No hay ninguno. SC-900 no influye directamente en los salarios. Es una certificación de vocabulario, no de habilidades. levels.fyi no tiene una columna para ella. La BLS no la rastrea. Lo que sí puede hacer:
- Ayudarte a pasar un filtro de RRHH para un puesto de seguridad o cumplimiento de nivel de entrada donde aparezca "certificación Microsoft preferida" en el anuncio.
- Fortalecer el currículum de un ingeniero de ventas de un partner donde las credenciales de Microsoft afectan directamente los niveles de comisión.
- Servir como un trampolín hacia SC-200 o AZ-500, donde la señal salarial es real (Analistas de Seguridad de la Información, BLS OEWS Mayo 2024: mediana alrededor de $124k, percentil 90 alrededor de $182k — pero eso es para la ruta basada en roles, no para SC-900).
Si tu objetivo es un aumento de sueldo, SC-900 por sí sola no lo logrará. Si tu objetivo es participar de forma inteligente en conversaciones de seguridad de Microsoft, lo hará absolutamente.
¿Deberías tomarlo?
Toma SC-900 si:
- Estás en un rol no técnico que necesita hablar de la seguridad de Microsoft de manera creíble.
- Estás en un partner de Microsoft y la certificación afecta el nivel de partner o la estructura de comisiones.
- Eres completamente nuevo en TI/seguridad y quieres una credencial inicial de $99 antes de comprometerte con una ruta basada en roles.
Omite SC-900 si:
- Ya tienes suficiente conocimiento técnico para SC-200, AZ-500 o SC-300 — comienza por ahí.
- No trabajas en tiendas Microsoft ni vendes a ellas. La certificación es específica del proveedor y no significa nada en una organización de AWS o Google Cloud.
- Estás buscando un aumento de sueldo. SC-900 no lo proporciona.
Si SC-900 es la opción correcta, explora las preguntas de práctica de SC-900 en CertLabPro o comienza un examen cronometrado. El patrón del examen se centra mucho en "relacionar el producto con el problema" — practicar con elementos realistas es la forma más rápida de fijar la taxonomía de nombres de Microsoft que realmente confunde a la mayoría de la gente.