En la actualidad varias normativas internacionales aportan medidas proactivas para la protección del ecosistema de la seguridad de la información, y aunque son muy acertadas en procesos es complicado aplicarlo ya que el nivel de madurez de las empresas, gestores y plataformas de la información debe ser elevados, con el modelo de referencia de evaluación continua del riesgo se pretende tener control sobre el ecosistema y con ello poder tener visibilidad sobre toda la infraestructura y lejos de ser reactivos poder predecir y mitigar riesgos antes de que estos sucedan. ¿Pero qué hacer cuando no se sabe por dónde iniciar? para los gestores de la seguridad de la información se vuelve vital el aprendizaje de toda la plataforma de seguridad y darle la importancia debida ya que los riesgos inherentes deberán de mitigarse o minimizarlos antes que afecten las actividades de la empresa.