El recorrido por el plano de control de confianzacontinúa con la Etapa 2: Analizar y medir. Esta etapa hace hincapié en la importancia de los datos, las métricas y la validación, de forma continua. Para los CISO y los ejecutivos de la empresa, es aquí donde se cuantifica y valida el valor del programa. Se trata de demostrar, con pruebas fehacientes, cómo se puede gestionar la confianza y establecerla para que mejore con el tiempo, garantizando un ciclo de retroalimentación que impulse la mejora continua en todas las etapas.
De los datos a las decisiones: por qué la medición es fundamental
En el entorno empresarial actual, basado en los datos, «no se puede gestionar lo que no se puede medir» también es válido para la confianza digital. La fase 2 tiene varios objetivos de alto nivel:
- Visibilidad y generación de informes sobre riesgos: Los CISO necesitan respuestas claras a preguntas como «¿Qué nivel de seguridad tenemos en este momento?» y «¿Estamos mejorando o empeorando?» La fase de análisis revela métricas que caracterizan la postura de confianza de la organización —por ejemplo, el tiempo necesario para resolver los incidentes de confianza, tendencia en el recuento de identidades de máquinas frente a la cobertura, número de certificados que caducan en los próximos 30 días, porcentaje de sistemas que cumplen plenamente con las políticas de criptografía, etc. Estos se convierten en indicadores clave de riesgo que pueden comunicarse al consejo de administración y servir de base para la estrategia corporativa.
- Prueba de control: Especialmente en los sectores regulados, demostrar que se ejerce un control continuo es tan importante como tenerlo. La fase 2 proporciona el registro de auditoría y los paneles de control para demostrar que la detección es continua, que se aplican las políticas y que los sistemas de automatización funcionan. Una cosa es afirmar que no hay puntos ciegos ni fallos; es mucho más convincente poder mostrar datos en tiempo real que lo respalden.
- Mejora continua: Al analizar los datos generados por tus procesos de confianza, puedes identificar áreas que hay que reforzar. Quizás observes que ciertas unidades de negocio o departamentos tardan más en sustituir las claves obsoletas, o que las comprobaciones de cumplimiento específicas suelen generar excepciones , lo que indica que tal vez sea necesario ajustar la política o impartir más formación. Esta etapa reincorpora esos conocimientos al ciclo, reforzando el sistema en su conjunto con el tiempo.
Métricas y análisis del plano de control de confianza
El plano de control de confianza genera de forma inherente una gran cantidad de datos de telemetría. Entre las métricas y análisis clave que proporciona se incluyen:
- Cobertura del inventario de fideicomisos: ¿Qué porcentaje de nuestro entorno se encuentra bajo gestión activa? Lo ideal sería el 100 %, pero los paneles de control pueden indicar si algún segmento (por ejemplo, la infraestructura de una filial recién adquirida) aún se está incorporando. Esto ayuda a priorizar los esfuerzos de descubrimiento posteriores.
- Puntuaciones de cumplimiento: ¿En qué medida estamos cumpliendo nuestras políticas definidas? Por ejemplo, «El 98 % de los certificados cumplen nuestra política (2 % de excepciones en virtud de una exención)» o «Todos los sistemas de alta criticidad utilizan algoritmos aprobados y preparados para PQC». Una gran empresa se fijó el objetivo de que el 100 % de los sistemas orientados al exterior utilicen cifrado a prueba de cuántica para 2028 ; su plataforma de confianza informa de lo cerca que están de ese objetivo en un momento dado.
- Rendimiento a lo largo del ciclo de vida: Métricas como el tiempo medio desde la solicitud del certificado hasta su emisión, tasa de éxito en la renovacióny tasa de fallos en los cambios (¿alguna implementación automatizada requirió una reversión?). Las altas tasas de éxito y la reducción de los tiempos de respuesta indican que el proceso funciona sin problemas; los contratiempos revelan dónde podría ser necesaria una mayor optimización.
- Tendencias de incidentes y anomalías: Seguimiento de aspectos como activos criptográficos anómalos detectados o el número de caducidades de certificados no planificadas (que debería tender a cero si se utiliza una plataforma automatizada parala agilidad criptográfica). Con el tiempo, estas cifras deberían mostrar una tendencia a la baja a medida que mejoran las etapas iniciales. Si se produce un pico de anomalías en un mes, el análisis puede profundizar en el motivo: ¿hubo un aumento de la TI en la sombra o de la IA en la sombra? ¿Una nueva técnica de escaneo que detectó elementos previamente desconocidos? Esto garantiza que no quede ningún cabo suelto.
En realidad, la Fase 2 no se limita a generar datos, sino que los contextualiza para la toma de decisiones. Los paneles de control suelen estar basados en funciones: un CISO puede ver un resumen general y el nivel de riesgo, mientras que un gestor de PKI puede profundizar en detalles específicos de certificados o tareas que están a punto de caducar. Y más allá de los paneles de control, se pueden generar automáticamente alertas e informes se pueden generar automáticamente para las partes interesadas (por ejemplo, un informe semanal sobre el estado de la confianza dirigido a los responsables de TI o a la alta dirección).
Situación real: preparados para lo inesperado
Para ilustrar el potencial de «Analizar y medir», consideremos un caso práctico comentado por uno de nuestros clientes empresariales: «Q-Day» : el día en que aparezca un ordenador cuántico funcional capaz de descifrar el cifrado actual. En sus propias palabras: «Quiero que me despierten a las 3 de la madrugada con esta noticia y poder decirle a mi director general exactamente cuál es nuestra exposición y que está bajo control». Con la Fase 2 en marcha, ese tipo de respuesta se hace factible. El sistema de control de confianza mostrará de inmediato el porcentaje del entorno que ya utiliza algoritmos resistentes a la computación cuántica, identificará qué sistemas son más vulnerables y hará un seguimiento del progreso de las medidas de mitigación rápidas. En esencia, la organización puede adaptarse en un santiamén porque tiene los datos al alcance de la mano.
Incluso en situaciones menos dramáticas, disponer de respuestas inmediatas refuerza la credibilidad. Si un directivo pregunta: «¿Se han migrado todos nuestros certificados desde SHA-1 tal y como habíamos previsto?» (sí, en la práctica todavía hay entornos que utilizan SHA-1) o «¿Cuántas claves huérfanas nos quedan por eliminar?», la Fase 2 ofrece una respuesta objetiva con solo unos clics. Esto fomenta una cultura de responsabilidad y genera confianza en el propio programa de seguridad.
En definitiva, esta fase del plano de control de confianza define claramente los riesgos, evaluando y priorizando de forma continua las medidas que deben adoptarse en todo el entorno empresarial. Al seguir esta metodología, los equipos saben dónde deben tomar la primera medida, que es la más crítica, y elaboran planes continuos basándose en el conocimiento del contexto y la validación constante.
