Es común que una organización llegue a una conversación sobre ciberseguridad con una decisión ya tomada: quiere invertir en cierta tecnología, contratar a cierto especialista, o corregir cierto proceso que salió a la luz después de un incidente. El problema es que esas decisiones, tomadas sin un diagnóstico previo, suelen resolver el síntoma más visible sin atender la causa real. Y la causa real casi siempre tiene que ver con un nivel de madurez que nadie se detuvo a medir primero.
Evaluar la madurez de ciberseguridad no es un ejercicio académico ni un checklist de cumplimiento. Es, en esencia, responder con honestidad qué tan preparada está la organización para prevenir, detectar y responder a un incidente, antes de decidir en qué invertir para mejorar esa preparación. Sin ese punto de partida, cualquier inversión —por bien intencionada que sea— corre el riesgo de resolver lo urgente en lugar de lo importante.
El error de empezar por la solución en lugar del diagnóstico
Un patrón que se repite en muchas organizaciones de la región es decidir la respuesta antes de entender la pregunta. Se compra una tecnología nueva porque un competidor la tiene, o porque un proveedor hizo una buena presentación, sin haber establecido primero cuál es el nivel real de madurez de la organización ni qué brecha específica esa tecnología vendría a cerrar.
El resultado más común de este patrón es una acumulación de herramientas que no conversan entre sí, que nadie termina de operar con profundidad, y que generan una falsa sensación de seguridad basada en la cantidad de inversión hecha, no en el nivel de protección real alcanzado. Evaluar la madurez antes de decidir evita exactamente ese error: permite invertir en lo que la organización necesita en su etapa actual, no en lo que parece más atractivo o urgente en el momento.
El primer indicador de madurez: ¿qué tan bien conoces lo que tienes?
De todos los indicadores que existen para medir madurez de ciberseguridad, hay uno que antecede a todos los demás: la visibilidad. Antes de preguntar qué tan bien responde una organización a un incidente, o qué tan robustos son sus controles de acceso, hay que preguntar algo más básico: ¿la organización sabe, con precisión, qué activos tiene conectados a su red y cuáles de ellos tienen vulnerabilidades activas?
Sorprendentemente, muchas organizaciones no pueden responder esto con certeza. Entre dispositivos que se conectan sin pasar por un proceso formal de alta, equipos que quedaron fuera de los ciclos de actualización, o sistemas que un área contrató directamente sin involucrar a TI, es común que exista una brecha entre lo que la organización cree tener y lo que realmente tiene expuesto. Esa brecha —el activo que nadie sabía que existía, la vulnerabilidad que nadie sabía que estaba activa— es, en la práctica, la puerta de entrada más común para un atacante.
Por qué la visibilidad es la base y no un paso más
Es tentador pensar en la visibilidad de activos como un paso técnico más dentro de una lista larga de prioridades. En realidad, funciona como la base sobre la que se sostiene todo lo demás. No se puede priorizar qué vulnerabilidades corregir primero si no se sabe qué activos existen. No se puede diseñar una estrategia de respuesta a incidentes efectiva si hay sistemas enteros fuera del radar. Y no se puede tener una conversación honesta con el consejo o la dirección general sobre el nivel de riesgo real de la organización si ese riesgo se calcula sobre un mapa incompleto.
Por eso, cualquier marco serio de evaluación de madurez debería empezar exactamente ahí: no con la pregunta de qué tecnología falta, sino con la pregunta de qué tan completo y actualizado es el conocimiento que la organización tiene sobre su propia superficie de exposición. Todo lo demás —priorización, respuesta, gobierno— se construye sobre esa base.
Un marco simple para empezar la conversación
Evaluar la madurez no requiere un proceso de meses ni una consultoría exhaustiva para arrancar. Puede empezar con un ejercicio honesto de tres preguntas: ¿sabemos con certeza qué activos tenemos conectados a nuestra red en este momento? ¿sabemos cuáles de ellos tienen vulnerabilidades activas y qué tan críticas son? y ¿tenemos un criterio claro para decidir qué corregir primero, en lugar de reaccionar a lo último que se hizo visible? Las respuestas a esas tres preguntas —no la cantidad de tecnología instalada— son el verdadero punto de partida para decidir qué sigue.
En la práctica
En la operación de TBSEK, este primer indicador de madurez se resuelve de forma concreta con Armis, integrado como parte de cómo TBSEK construye visibilidad para