Cumplimiento Ponderado: Por Qué Tu Puntuación de Seguridad Te Está Mintiendo
El Mito del 85% de Cumplimiento
Abres el dashboard de tu CSPM. Dice 85% de cumplimiento. Tu CISO pregunta: "¿Eso es bueno?"
La respuesta honesta: No tienes ni idea.
Las puntuaciones de cumplimiento tradicionales se calculan dividiendo los checks que pasan entre los checks totales. Matemáticas simples, métrica terrible. Te explico por qué.
La Trampa del Recuento de Recursos
Imagina dos controles:
- Control A: "La cuenta root debe tener MFA" — afecta a 1 recurso
- Control B: "Los buckets S3 deben tener versionado" — afecta a 500 recursos
Si el Control A falla y el Control B pasa, tu puntuación muestra 500/501 = 99,8% de cumplimiento. Se ve genial, ¿verdad?
Pero el Control A — la cuenta root sin MFA — es posiblemente el problema de seguridad más crítico en todo tu entorno AWS. Está oculto detrás de un muro de checks de S3 que pasan.
Cómo Funciona el Cumplimiento Ponderado
En lugar de contar checks brutos, Vigimati pondera cada control por su criticidad:
Un Control, Un Voto
Cada control obtiene exactamente un voto en tu puntuación. Tanto si aplica a 1 recurso como a 10.000, su impacto en la puntuación es proporcional a su importancia, no a su recuento de recursos.
Ponderación Basada en Criticidad
Los controles se ponderan por su impacto en seguridad:
- Controles críticos (MFA root, acceso público, cifrado en reposo) tienen mucho peso
- Controles importantes (logging, monitorización, backups) tienen peso estándar
- Controles de recomendación (convenciones de nombres, etiquetado) tienen peso mínimo
Puntuación Justa
El resultado es una puntuación que refleja lo que realmente importa. Si tus controles más críticos están fallando, tu puntuación baja — aunque miles de checks de menor prioridad estén pasando.
Tradicional vs. Ponderado: Un Ejemplo Real
| Métrica | Tradicional | Ponderado |
|---|---|---|
| Controles pasando | 45/50 | 45/50 |
| Puntuación tradicional | 90% | — |
| Puntuación ponderada | — | 72% |
| ¿Por qué? | Cuenta igual | 3 controles fallidos son CRITICAL |
La puntuación tradicional dice "vas genial". La ponderada dice "tienes brechas serias en tus controles críticos". ¿Cuál preferirías saber?
La Puntuación Que Realmente Ayuda
Una puntuación de cumplimiento ponderada te da algo que las tradicionales nunca pudieron: dirección accionable. Cuando tu puntuación baja, sabes que es porque algo importante falló. Sin más perseguir victorias fáciles para inflar un número sin sentido.
Sobre Vigimati Team
The team behind Vigimati, building context-aware cloud security compliance.