Madurez de Controles: No Todos los 'Pasa' Son Iguales
El Problema del Pasa/Falla
Los CSPM tradicionales solo se preocupan de una cosa: ¿ha pasado?
Si tu bucket S3 tiene cifrado habilitado, pasa. Si tu usuario IAM tiene MFA configurado, pasa. Check verde. Siguiente.
Pero esta visión binaria se pierde algo crucial: la calidad de la implementación.
Mismo Check, Diferente Calidad
Veamos MFA como ejemplo. Tres usuarios, todos pasando el check "MFA debe estar habilitado":
| Usuario | Estado MFA | Implementación | Calidad |
|---|---|---|---|
user_ops | Habilitado | App TOTP virtual | Básica |
user_dev | Habilitado | Llave de seguridad hardware (YubiKey) | Fuerte |
user_security | Habilitado | 2+ llaves hardware con backup | Excelente |
Los tres pasan. Pero la diferencia de seguridad entre una app TOTP y múltiples llaves hardware es enorme. Las herramientas tradicionales no ven diferencia.
Niveles de Madurez
Vigimati evalúa los recursos que pasan en tres niveles de calidad:
Bronze
El recurso pasa el control con una implementación básica. Cumple los requisitos mínimos pero se podría mejorar significativamente.
Ejemplos:
- Cifrado S3 con SSE-S3 (claves gestionadas por Amazon)
- Un único dispositivo MFA virtual
- Logging básico de CloudTrail sin validación de archivos
Silver
El recurso pasa con una implementación fuerte que sigue las prácticas recomendadas.
Ejemplos:
- Cifrado S3 con KMS (claves gestionadas por el cliente)
- Llave de seguridad hardware para MFA
- CloudTrail con validación de archivos y multi-región habilitado
Gold
El recurso pasa con una implementación excelente que representa seguridad de primera clase.
Ejemplos:
- Cifrado S3 con KMS, rotación automática de claves y bucket key habilitado
- Múltiples llaves de seguridad hardware con registro de backup
- CloudTrail con validación, multi-región, trail de organización y logging a nivel de objeto S3
Por Qué la Madurez Importa
Seguimiento de Mejoras
Cuando arreglas un hallazgo, tu puntuación de cumplimiento sube. Pero cuando mejoras una implementación de Bronze a Gold, nada cambia en herramientas tradicionales. Con la puntuación de madurez, cada mejora es visible y medible.
Identificar Oportunidades
En lugar de solo perseguir fallos, tu equipo puede identificar recursos que pasan pero podrían endurecerse. "Tenemos 50 buckets S3 en cifrado Bronze — mejoremos los que tienen datos sensibles a Gold."
La Imagen Completa
Cuando combinas madurez con cumplimiento ponderado y riesgo residual, obtienes una vista completa de tu postura de seguridad. Esto es lo que el cumplimiento contextual de verdad parece.
Sobre Vigimati Team
The team behind Vigimati, building context-aware cloud security compliance.
