Guía técnica · Ciberseguridad
Madurez en Ciberseguridad
Preparación en seguridad de la información evaluada en las 6 funciones del NIST CSF 2.0 — con C2M2 y adherencia al CMMC Nivel 2.
01 · El problemaLo que resuelve esta evaluación
Antivirus, firewall y política de contraseñas — quizá incluso una autoevaluación NIST SP 800-171 en el SPRS. Pero la monitorización continua nunca se implementó y el plan de respuesta a incidentes nunca se probó.
En la cadena del DoD, el problema no es la mala fe: es la autoevaluación sin rigor. Empresas que se creen listas para el CMMC Level 2 descubren, en una evaluación por un C3PAO, decenas de controles parcialmente cumplidos.
02 · Qué esQué es el modelo
Mide la madurez de ciberseguridad en las 6 funciones del NIST CSF 2.0 (incluida la nueva función Gobernar), en 95 preguntas, con puntuación por función, por tema y nivel general.
Integra la profundidad del C2M2 v2.1 y mapea explícitamente los 5 niveles con los CMMC Levels — útil para CMMC, NIS2, ISO 27001 y RGPD.
03 · La escalaLos 5 niveles de madurez
Cada dimensión — y la organización en su conjunto — se sitúa en uno de estos niveles, siempre con color, número y nombre.
Sin programa estructurado de ciberseguridad: prácticas reactivas y ad hoc, sin inventario de activos, política formal ni capacidad de detectar amenazas. Equivale a la etapa pre-CMMC Level 1 — no cumpliría ni los controles básicos.
Prácticas básicas iniciadas de forma inconsistente — control de acceso, antivirus, algo de conciencia de phishing —, sin documentación formal, gestión de activos sistematizada ni plan de respuesta. Equivale, en la práctica, al CMMC Level 1.
Programa estructurado, con políticas documentadas, inventario de activos, controles de acceso formales y plan básico de respuesta a incidentes. Las prácticas son más consistentes, pero aún hay brechas en monitorización continua y protección de terceros.
Programa maduro, documentado y auditable: MFA implementado, monitorización de eventos activa, escaneos de vulnerabilidad regulares, planes de respuesta probados y proveedores críticos controlados. Equivale al CMMC Level 2 (los 110 controles).
Ciberseguridad como función estratégica e institucionalizada: mejora continua basada en métricas, threat intelligence integrada, ejercicios de respuesta regulares y cadena de suministro controlada. Equivale al MIL3 del C2M2.
04 · La estructuraLo que se evalúa
Ninguna área crítica se queda fuera. Cada dimensión reúne los temas que se evalúan.
Gobernar — Gobernanza y Gestión del Programa
Programa formal, políticas, rendición de cuentas del liderazgo, riesgo y cultura de seguridad.
Identificar — Identificación de Activos y Riesgos
Inventario de activos, clasificación de datos, evaluación de riesgos y mapeo de CUI/FCI.
Proteger — Protección de Activos y Sistemas
Identidad y acceso con MFA, cifrado, gestión de parches y protección de red y perímetro.
Detectar — Detección y Conciencia Situacional
Monitorización continua, logs, escaneos, threat intelligence y pruebas de penetración.
Responder — Respuesta a Incidentes
Plan y formación de IR, contención, análisis forense y notificación al DoD en 72 h vía DIBNet.
Recuperar — Recuperación y Mejora Continua
Plan con RTO/RPO probado, continuidad frente a ransomware y mantenimiento del SSP y la puntuación SPRS.
05 · DiferencialesPor qué aplicar esta evaluación
06 · PúblicoPara quién es
07 · Cómo aplicarDel cuestionario al plan
Son 95 preguntas organizadas en 6 dimensiones y 19 temas, todas obligatorias — responde según la realidad actual y verificable.
En minutos recibes la puntuación global, por dimensión y por tema, el nivel de madurez (con la equivalencia CMMC) y un análisis con las brechas priorizadas y un plan de acción inicial.
08 · ReferenciasBasado en estándares internacionales
En la prácticaLo que revela la evaluación
Una proveedora Tier 2 del DoD presentó una puntuación de 88/110 en el SPRS por autoevaluación y se creía lista para el CMMC Level 2. La evaluación reveló controles «sobre el papel», sin evidencia verificable.
Teníamos controles en las políticas, no en las evidencias.