Microsoft Secure Score vs CISA CPG — qué mide cada uno y cuándo usar cuál

El problema

Una buena parte de los reportes de auditoría de Microsoft 365 que circulan en el mid-market mexicano mencionan tanto Microsoft Secure Score como CISA CPG (Cross-Sector Cybersecurity Performance Goals) como si fueran capas complementarias del mismo framework. No lo son. Son métricas con propósitos distintos, emisores distintos, y reglas de cálculo distintas. Cuando un reporte los presenta como si fueran intercambiables, está usando uno para legitimar al otro — un patrón clásico de "framework laundering".

Este artículo separa qué hace cada uno.

Microsoft Secure Score

Qué es. Una métrica nativa de Microsoft que asigna un número del 0 al 100% a tu tenant en función de cuántas recomendaciones del catálogo activo de Microsoft has implementado. Visible en [security.microsoft.com](https://security.microsoft.com) bajo "Secure Score". Cubre Identity, Apps, Data, Devices.

Cómo se calcula. Cada control tiene un peso. Habilitarlo te suma puntos; no habilitarlo no. El total se normaliza contra el máximo alcanzable según las licencias que tienes (un tenant Business Premium tiene un máximo distinto que un E5). El número es relativo al universo de controles que Microsoft considera relevantes en ese momento.

Lo que mide. Adopción de features. Si Microsoft anuncia un nuevo control mañana, tu Secure Score baja sin que cambies nada — porque el denominador creció. El score sube cuando habilitas el feature nuevo.

Lo que no mide. Defensibilidad. Habilitar un feature sin configurarlo correctamente te da los puntos en Secure Score. Configurarlo bien es otra historia. Y no mide controles fuera del scope del catálogo Microsoft (regulación local, prácticas operativas, training).

Cuándo es útil. Reporting interno mes a mes — "este mes implementamos los controles X, Y, Z, Secure Score subió de 64% a 71%". Tracking de adopción a través del tiempo en un tenant individual.

Cuándo es inútil. Comparar tenants entre sí, defender el postura ante un auditor externo, o calibrar inversión en seguridad. El número no significa lo mismo entre dos tenants con licenciamiento distinto.

CISA CPG (Cross-Sector Cybersecurity Performance Goals)

Qué es. Un conjunto de objetivos de seguridad publicados por CISA (Cybersecurity & Infrastructure Security Agency, EE.UU.) diseñados como baseline mínimo aplicable a todos los sectores de infraestructura crítica. Versión actual: octubre 2024 (publicación). Fuente: [cisa.gov/cross-sector-cybersecurity-performance-goals](https://www.cisa.gov/cross-sector-cybersecurity-performance-goals).

Cómo está estructurado. No es un score — es una lista de objetivos agrupados en cinco funciones (Identify, Protect, Detect, Respond, Recover) heredadas del NIST CSF. Cada objetivo tiene un identificador estable (e.g. `2.A` — MFA), una explicación del riesgo que mitiga, y referencias cruzadas a NIST 800-53.

Lo que mide. Cobertura de un conjunto absoluto de controles considerados non-negotiable para reducir riesgo de impacto a la población general. Es deliberadamente agnóstico de producto — un objetivo CPG no dice "habilita Microsoft Defender", dice "implementar detección de endpoint con telemetría centralizada".

Lo que no mide. Configuración específica. CPG dice "MFA en todas las cuentas privilegiadas"; no dice "MS.AAD.3.1v1 con phishing-resistant MFA y conditional access policy específica". Para eso necesitas SCuBA o CIS.

Cuándo es útil. Como marco de comunicación con consejos directivos, reguladores no técnicos, y auditores que necesitan ver el por qué de la inversión, no el cómo de la configuración. CPG es el lenguaje del riesgo, no del control.

Cuándo es inútil. Como benchmark de configuración técnica. Un tenant que "cumple CPG" puede tener configuraciones de Microsoft 365 todavía muy débiles porque CPG no llega a ese nivel de granularidad.

La tabla de la realidad

| | Microsoft Secure Score | CISA CPG |

|---|---|---|

| Tipo | Score relativo % | Lista de objetivos absoluta |

| Emisor | Microsoft | CISA (US federal) |

| Granularidad | Por feature de M365 | Por objetivo de riesgo cross-sector |

| Versionado | Implícito (cambia continuamente) | Explícito (v1 oct 2022, actualizado oct 2024) |

| Lenguaje | Técnico de producto | Funcional de riesgo |

| Auditable como evidencia primaria | No | Sí (con CPG ID como referencia) |

| Cambia sin que toques tu tenant | Sí (cuando Microsoft añade controles) | No |

| Mapea a controles M365 específicos | No (directamente) | No (vía SCuBA / CIS) |

Cómo se usan juntos correctamente

Un reporte de auditoría serio usa los tres en capas distintas:

1. CISA CPG como narrativa de riesgo de alto nivel — "implementaste 18 de 20 objetivos CPG; los 2 pendientes son recovery testing y supply chain risk management".

2. CIS Benchmark / CISA SCuBA como configuración técnica subyacente — "el objetivo CPG 2.A (MFA) se cumple vía controles MS.AAD.3.1v1 y MS.AAD.3.2v1; tu tenant tiene MFA aplicado a 94% de las cuentas".

3. Microsoft Secure Score como métrica de adopción operativa mes a mes — "tu Secure Score subió de 67% a 74% este trimestre".

Si un reporte te entrega solo el Secure Score y lo posiciona como "cumplimiento", está malinterpretando su propio mecanismo.

Cómo simiriki lo trata

La Posture Brief de simiriki cita los tres frameworks en Page 3 con descripciones distintas. El sIPO score (simiriki Infrastructure Posture Observability) no es Secure Score reescrito — es una métrica estable derivada del cumplimiento de las 197 reglas internas, calibrada para mantenerse comparable a través del tiempo independientemente de los cambios al catálogo Microsoft. El mapping a CPG y a SCuBA se publica en [docs/SCUBAGEAR_MAPPING.md](https://github.com/jjdlr-simiriki/simiriki/blob/main/docs/SCUBAGEAR_MAPPING.md).

Conclusión

Microsoft Secure Score responde "¿cuántas recomendaciones de Microsoft estoy siguiendo?". CISA CPG responde "¿cuáles objetivos no-negociables de seguridad estoy cubriendo?". Son preguntas distintas. Cuando un reporte los presenta como sinónimos, está confundiendo adopción de producto con cobertura de riesgo — y esa confusión es exactamente lo que un auditor sofisticado va a usar para invalidar el reporte.

Lecturas relacionadas:

• [El CIS Benchmark de Microsoft 365 explicado](/blog/cis-benchmark-microsoft-365-explicado)
• [ScubaGear: la herramienta con la que CISA audita Microsoft 365](/blog/scubagear-cisa-auditoria-microsoft-365)
• [Auditoría de Microsoft 365 para PyMEs mexicanas: la guía completa](/blog/auditoria-microsoft-365-pyme-mexico)