Guía técnica · Ciberseguridad

Madurez en Ciberseguridad

Preparación en seguridad de la información evaluada en las 6 funciones del NIST CSF 2.0 — con C2M2 y adherencia al CMMC Nivel 2.

Ver la página del modelo

01 · El problemaLo que resuelve esta evaluación

Antivirus, firewall y política de contraseñas — quizá incluso una autoevaluación NIST SP 800-171 en el SPRS. Pero la monitorización continua nunca se implementó y el plan de respuesta a incidentes nunca se probó.

En la cadena del DoD, el problema no es la mala fe: es la autoevaluación sin rigor. Empresas que se creen listas para el CMMC Level 2 descubren, en una evaluación por un C3PAO, decenas de controles parcialmente cumplidos.

02 · Qué esQué es el modelo

Mide la madurez de ciberseguridad en las 6 funciones del NIST CSF 2.0 (incluida la nueva función Gobernar), en 95 preguntas, con puntuación por función, por tema y nivel general.

Integra la profundidad del C2M2 v2.1 y mapea explícitamente los 5 niveles con los CMMC Levels — útil para CMMC, NIS2, ISO 27001 y RGPD.

03 · La escalaLos 5 niveles de madurez

Cada dimensión — y la organización en su conjunto — se sitúa en uno de estos niveles, siempre con color, número y nombre.

1
Expuesto

Sin programa estructurado de ciberseguridad: prácticas reactivas y ad hoc, sin inventario de activos, política formal ni capacidad de detectar amenazas. Equivale a la etapa pre-CMMC Level 1 — no cumpliría ni los controles básicos.

2
Inicial

Prácticas básicas iniciadas de forma inconsistente — control de acceso, antivirus, algo de conciencia de phishing —, sin documentación formal, gestión de activos sistematizada ni plan de respuesta. Equivale, en la práctica, al CMMC Level 1.

3
Gestionado

Programa estructurado, con políticas documentadas, inventario de activos, controles de acceso formales y plan básico de respuesta a incidentes. Las prácticas son más consistentes, pero aún hay brechas en monitorización continua y protección de terceros.

4
Estructurado

Programa maduro, documentado y auditable: MFA implementado, monitorización de eventos activa, escaneos de vulnerabilidad regulares, planes de respuesta probados y proveedores críticos controlados. Equivale al CMMC Level 2 (los 110 controles).

5
Optimizado

Ciberseguridad como función estratégica e institucionalizada: mejora continua basada en métricas, threat intelligence integrada, ejercicios de respuesta regulares y cadena de suministro controlada. Equivale al MIL3 del C2M2.

04 · La estructuraLo que se evalúa

Ninguna área crítica se queda fuera. Cada dimensión reúne los temas que se evalúan.

Gobernar — Gobernanza y Gestión del Programa

Programa formal, políticas, rendición de cuentas del liderazgo, riesgo y cultura de seguridad.

Programa y políticasRendición de cuentasGestión de riesgosTercerosCultura de seguridad

Identificar — Identificación de Activos y Riesgos

Inventario de activos, clasificación de datos, evaluación de riesgos y mapeo de CUI/FCI.

Inventario de activosClasificación de datosEvaluación de riesgosCUI/FCI

Proteger — Protección de Activos y Sistemas

Identidad y acceso con MFA, cifrado, gestión de parches y protección de red y perímetro.

Identidad y acceso (MFA)CifradoParches y configuraciónRed y perímetro

Detectar — Detección y Conciencia Situacional

Monitorización continua, logs, escaneos, threat intelligence y pruebas de penetración.

Monitorización continuaLogs de auditoríaEscaneosThreat intelligencePentest

Responder — Respuesta a Incidentes

Plan y formación de IR, contención, análisis forense y notificación al DoD en 72 h vía DIBNet.

Plan y formación de IRContención y erradicaciónAnálisis forenseNotificación (72 h)

Recuperar — Recuperación y Mejora Continua

Plan con RTO/RPO probado, continuidad frente a ransomware y mantenimiento del SSP y la puntuación SPRS.

Plan de recuperación (RTO/RPO)ContinuidadMétricas del programaSSP y SPRS

05 · DiferencialesPor qué aplicar esta evaluación

Tres marcos integradosNIST CSF 2.0 (con la función Gobernar), C2M2 v2.1 y CMMC 2.0 en una sola evaluación.
Preparación CMMC integradaLos 5 niveles se mapean explícitamente con los CMMC Levels.
Cobertura extensa19 temas, del IAM al SSP/SPRS y el plan de continuidad.
Vale más allá del DoDSirve a quien se prepara para CMMC, NIS2, ISO 27001 y RGPD.

06 · PúblicoPara quién es

CISOs y responsables de seguridadPara mapear la madurez del programa y priorizar brechas por evidencias.
Proveedores del DoD que se preparan para CMMCPara autoevaluar la preparación antes de contratar un C3PAO y evitar sorpresas.
Consultores de ciberseguridadComo evaluación inicial para mapear la madurez de un cliente y priorizar remediaciones.

07 · Cómo aplicarDel cuestionario al plan

Son 95 preguntas organizadas en 6 dimensiones y 19 temas, todas obligatorias — responde según la realidad actual y verificable.

En minutos recibes la puntuación global, por dimensión y por tema, el nivel de madurez (con la equivalencia CMMC) y un análisis con las brechas priorizadas y un plan de acción inicial.

08 · ReferenciasBasado en estándares internacionales

NIST CSF 2.0
C2M2 v2.1
CMMC 2.0

En la prácticaLo que revela la evaluación

Una proveedora Tier 2 del DoD presentó una puntuación de 88/110 en el SPRS por autoevaluación y se creía lista para el CMMC Level 2. La evaluación reveló controles «sobre el papel», sin evidencia verificable.

Teníamos controles en las políticas, no en las evidencias.

¿Quieres Maturity Lab en tu idioma?

Vamos a abrir el sitio en más idiomas. Dinos cuál es el tuyo — te avisamos y además buscamos un contacto en tu país.