Saltar al contenido
BITS

Blog

Cómo medimos la madurez de SOC en el sector público mexicano

Una matriz operativa simple — y por qué los modelos de madurez genéricos suelen quedarse cortos para entidades estatales y municipales.

·Equipo SOC · BITS·SOCMDRSector públicoMAAGTICSI

La conversación sobre madurez de SOC en sector público suele empezar con un cuestionario importado: NIST CSF, CMMC, CIS Controls. Sirven como referencia, pero arrastran supuestos —presupuesto, estructura organizacional, modelo de adquisición— que no aplican a una entidad estatal o municipal mexicana.

A lo largo de varios años operando SOC para clientes públicos, terminamos construyendo una matriz interna que mide cinco dimensiones aterrizadas a la realidad operativa local. La compartimos aquí no como verdad absoluta, sino como punto de partida para discusión técnica.

Las cinco dimensiones

1. Cobertura efectiva

No "qué herramientas tenemos" sino "qué activos están bajo monitoreo continuo con casos de uso definidos". La diferencia entre tener FortiSIEM instalado y tener todas las fuentes parseadas, todas las alertas con umbral validado y todos los runbooks firmados es de meses, no de semanas.

2. Capacidad de respuesta

¿Qué pasa cuando una alerta crítica entra a las 3 a.m. de un domingo? La respuesta debería ser "se atendió en menos de 15 minutos según runbook X" — no "se mandó a la bandeja de Juan, que regresa el lunes".

3. Trazabilidad regulatoria

MAAGTICSI, NIST CSF y los lineamientos del INAI requieren evidencia técnica durante auditorías. La madurez se mide en si esa evidencia se entrega en horas o si es una crisis menor cada vez.

4. Integración con áreas no-TI

Un SOC maduro habla con jurídico, comunicación, RH y la presidencia. No solo con TI. La pregunta es: ¿hay un protocolo de comunicación de incidentes que incluya el primer círculo de toma de decisiones?

5. Mejora continua

Métricas que tenden a la baja (MTTA, MTTR, falsos positivos) o al alza (cobertura, casos de uso). Si en 12 meses no se mueve la aguja, algo en el proceso está roto.

Cómo arranca un assessment

Un diagnóstico típico es de 2 a 3 semanas:

  1. Entrevistas con TI y áreas usuarias.
  2. Revisión técnica de fuentes, casos de uso y SLAs vigentes.
  3. Tabletop con un escenario plausible para la entidad.
  4. Reporte ejecutivo con brechas priorizadas y plan de remediación.

No requiere contratar después. La idea es entregar algo útil incluso si la entidad decide no avanzar con nosotros.

Para terminar

La madurez no es un score; es una práctica. La diferencia la hace operar todos los días con disciplina, no descargar un cuestionario y rellenarlo una vez al año.

Ver más artículos