No, no es como pensabasLa madurez de los SGSI no es una medida de lo buena que es la protección de la tecnología de la información. Es una medida de lo buenos que somos para mejorar esa protección, adaptarnos a los cambios en el panorama de amenazas, los cambios en el entorno interno de la tecnología de la información y aprender de los incidentes.El primer paso en la escalera de la madurez es tener una buena comprensión de lo que estamos protegiendo. Este paso se describe formalmente en este artículo:El segundo paso en la escalera de la madurez es tomar una decisión sobre qué cosas protegemos merecen niveles de protección más altos y más bajos. Este paso se describe formalmente en este artículo:El tercer paso es verificar si los activos que protegemos tienen vulnerabilidades que se deben eliminar o características de seguridad que se deben incorporar…