Ciberseguridad
Madurez en Ciberseguridad
Preparación en seguridad de la información evaluada en las 6 funciones del NIST CSF 2.0 — con C2M2 y adherencia al CMMC Nivel 2.
El problema que resuelve
Antivirus, firewall y política de contraseñas — quizá incluso una autoevaluación NIST SP 800-171 en el SPRS. Pero la monitorización continua nunca se implementó y el plan de respuesta a incidentes nunca se probó.
En la cadena del DoD, el problema no es la mala fe: es la autoevaluación sin rigor. Empresas que se creen listas para el CMMC Level 2 descubren, en una evaluación por un C3PAO, decenas de controles parcialmente cumplidos.
Qué evalúa
Lo que se evalúa
Cada dimensión se evalúa en profundidad — ninguna área crítica se queda fuera.
Gobernar — Gobernanza y Gestión del Programa
Programa formal, políticas, rendición de cuentas del liderazgo, riesgo y cultura de seguridad.
Identificar — Identificación de Activos y Riesgos
Inventario de activos, clasificación de datos, evaluación de riesgos y mapeo de CUI/FCI.
Proteger — Protección de Activos y Sistemas
Identidad y acceso con MFA, cifrado, gestión de parches y protección de red y perímetro.
Detectar — Detección y Conciencia Situacional
Monitorización continua, logs, escaneos, threat intelligence y pruebas de penetración.
Responder — Respuesta a Incidentes
Plan y formación de IR, contención, análisis forense y notificación al DoD en 72 h vía DIBNet.
Recuperar — Recuperación y Mejora Continua
Plan con RTO/RPO probado, continuidad frente a ransomware y mantenimiento del SSP y la puntuación SPRS.
La escala
Los 5 niveles de madurez
Cada dimensión y la organización en su conjunto se sitúan en un nivel claro — color, número y nombre.
Sin programa estructurado: prácticas reactivas, sin inventario de activos, política formal ni capacidad de detección (pre-CMMC L1).
Prácticas básicas inconsistentes — acceso, antivirus, conciencia de phishing —, sin documentación formal ni plan de respuesta (CMMC L1).
Programa estructurado: políticas, inventario y controles de acceso, con brechas en monitorización continua y terceros.
Programa maduro y auditable: MFA, monitorización activa, escaneos y respuesta a incidentes probada — equivalente al CMMC Level 2.
Ciberseguridad como función estratégica: mejora continua por métricas, threat intelligence y cadena controlada (MIL3 del C2M2).
Calibrado, no genérico
Procedencia y calibración
El análisis lleva el razonamiento de los marcos de referencia — es lo que separa una evaluación calibrada de un consejo genérico.
¿Quieres profundizar? Entiende la metodología, las dimensiones y los niveles en detalle en la guía técnica.
Entiende el modelo a fondoConsigue tu acceso fundador
Entra antes del 1 de agosto de 2026 y consigue 6 meses de Pro gratis — otros 6 para los fundadores activos. Sin tarjeta.