La mayoría de los equipos de seguridad siguen operando en modo reactivo: escáneres que se ejecutan sin criterio, parches aplicados según el criterio del último auditor y CVSSv3 como única brújula de priorización. Este modelo ya no es suficiente.
Microsoft ha publicado una guía de madurez basada en el framework CTEM (Continuous Threat Exposure Management) que define con precisión los cinco niveles por los que pasan las organizaciones: desde la gestión reactiva de vulnerabilidades hasta la cuantificación financiera del riesgo. En este artículo resumo los puntos clave y lo que significa en la práctica para un equipo de seguridad.
¿Qué es la gestión de exposiciones?
La gestión de exposiciones es un enfoque continuo y basado en el riesgo para identificar y mitigar exposiciones a través de toda la superficie de ataque. A diferencia de la gestión clásica de vulnerabilidades —centrada en CVEs y puntuaciones CVSS—, la gestión de exposiciones incorpora contexto: criticidad del activo, rutas de ataque, identidades expuestas, configuraciones erróneas y validación real de controles.
El dato que abre la guía de Microsoft lo ilustra perfectamente: en sus investigaciones de respuesta a incidentes, los atacantes no explotaron un único zero-day, sino que encadenaron múltiples configuraciones erróneas y activos no gestionados. Eso es exactamente lo que la gestión de vulnerabilidades tradicional no ve.
Los 5 niveles de madurez
Nivel 1 — Reactivo
Escaneos inconsistentes, resultados en CSV que nadie actualiza, parcheo según la urgencia del momento. La seguridad se percibe como un coste o un requisito de auditoría, no como un control estratégico. El tiempo medio de remediación se mide en meses.
Nivel 2 — Gestionado
Existe un proceso: inventario unificado de activos, SLAs de remediación por severidad, tickets generados automáticamente en el ITSM. El problema es que todas las vulnerabilidades críticas se tratan igual, sin considerar si están siendo explotadas activamente o si el activo afectado es realmente crítico para el negocio.
Nivel 3 — Priorizado
Aquí el cambio es filosófico. La priorización incorpora CISA KEV, EPSS y análisis de rutas de ataque. El equipo puede decir con confianza «estas son las 10 exposiciones con mayor probabilidad de provocar una brecha». El impacto es directo: reducción del 60-80% de la superficie de ataque explotable remedando menos vulnerabilidades en total.
Nivel 4 — Proactivo
No basta con identificar y priorizar. Hay que validar que los controles funcionan. Breach and Attack Simulation (BAS), modelado de escenarios «what-if», grafo unificado de activos que cruza identidades, datos y vulnerabilidades en entornos híbridos. El equipo pasa de gestionar tickets a predecir el impacto de una brecha antes de que ocurra.
Nivel 5 — Optimizado
El riesgo se cuantifica en euros. Las decisiones de inversión en seguridad se evalúan por ROI de reducción de riesgo. La seguridad deja de ser una función de soporte y se convierte en un indicador estratégico del negocio. No es un destino: es un ciclo de mejora continua.
Tres acciones concretas según tu nivel actual
Si estás en Nivel 1 o 2: Antes de invertir en más herramientas, consolida lo que ya tienes. Un inventario de activos fiable y un proceso de remediación con propietarios definidos son más valiosos que cualquier plataforma nueva. Sin esta base, cualquier avance posterior se construye sobre arena.
Si estás en Nivel 3: Integra EPSS y CISA KEV en tus flujos de priorización si aún no lo has hecho. Evalúa si tu solución de vulnerability management actual te permite cruzar datos de rutas de ataque con contexto de identidad. Aquí es donde herramientas como Microsoft Security Exposure Management (MSEM) aportan valor real.
Si estás en Nivel 4 o apuntando al 5: El siguiente paso no es técnico, es organizativo. La cuantificación financiera del riesgo requiere que seguridad, finanzas y negocio hablen el mismo idioma. Define un modelo de métricas que te permita responder «¿cuánto riesgo hemos reducido este trimestre?» en términos que el CISO pueda llevar al comité de dirección.
La guía de Microsoft no aporta nada radicalmente nuevo en concepto —el framework CTEM lleva años sobre la mesa—, pero sí ofrece algo útil: una escala de madurez concreta con criterios verificables que permite a cualquier organización saber exactamente dónde está y qué tiene que hacer a continuación.
La pregunta relevante no es si tu organización necesita evolucionar su programa de gestión de exposiciones. Es cuánto tiempo puede permitirse seguir en el nivel actual antes de que un atacante aproveche exactamente los activos no gestionados y las configuraciones encadenadas que aún no tienes visibilidad para detectar.