Por Qué los CSPM Tradicionales Están Rotos — Y Qué Estamos Haciendo Al Respecto

El Problema Que Todos Conocen Pero Nadie Soluciona

Si alguna vez has conectado una herramienta CSPM a tus cuentas de AWS, conoces la sensación. Día uno: 12.847 hallazgos. Todos marcados como HIGH o CRITICAL. Tu dashboard es un muro rojo y tu equipo ya se está ahogando.

La pregunta que nadie hace es: ¿son realmente todos críticos?

Pasamos años al otro lado de este problema — como los ingenieros que tenían que darle sentido al ruido. Migrando entre proveedores. Luchando las mismas batallas. Explicando a la dirección por qué "85% de cumplimiento" no significaba absolutamente nada.

Cumplimiento Binario: La Causa Raíz

Los CSPM tradicionales evalúan tu nube con un modelo simple: pasa o falla. Sin matices. Sin contexto. Sin entender qué importa realmente.

Todo Pesa lo Mismo

Un bucket S3 con acceso público de lectura y un bucket S3 sin política de ciclo de vida cuentan ambos como "fallos". Pero uno es una posible brecha de datos y el otro es una optimización de costes. Tu puntuación de cumplimiento los trata de forma idéntica.

Sin Contexto No Hay Prioridades

Considera dos usuarios IAM sin MFA:

• Usuario admin: Acceso administrativo completo, sin MFA, sin política de denegación
• Usuario de solo lectura: Permisos limitados, política de aplicación de MFA activa pero aún no configurada

Ambos fallan el mismo check. Ambos obtienen la misma severidad. Pero el riesgo es dramáticamente diferente.

Pasa = Invisible

Cuando un recurso pasa un check, desaparece de tu radar por completo. Pero pasar con cifrado básico SSE-S3 no es lo mismo que pasar con cifrado KMS y rotación automática de claves. La calidad de tu postura de seguridad importa, no solo si alcanzas el umbral mínimo.

Lo Que Construimos En Su Lugar

Vigimati aborda el cumplimiento de forma fundamentalmente diferente. En lugar de pasa/falla binario, evaluamos cada recurso con contexto completo.

Puntuación de Riesgo Residual

Cuando un control falla, no le estampamos un HIGH. Analizamos los permisos del recurso, configuraciones, dependencias y controles compensatorios para calcular el riesgo real restante.

Cumplimiento Ponderado

No todos los controles son iguales. Un control que verifica si el MFA de la cuenta root está habilitado importa más que uno que verifica las convenciones de nombres de buckets S3. Nuestra puntuación refleja criticidad, no cantidad de recursos.

Madurez de Controles

No solo verificamos si pasas — medimos cómo de bien pasas. Tres niveles de madurez (Bronze, Silver, Gold) rastrean la calidad de tus implementaciones.

El Resultado

En lugar de 12.847 alertas gritando, obtienes una imagen clara de dónde está tu riesgo real y qué arreglar primero.

La seguridad cloud no debería sentirse como apagar incendios. Debería sentirse como tener un mapa.