Tema: Gobernanza de seguridad de la información
Capitulo 14 - Introducción a la gobernanza de seguridad de la información
Principios y marcos normativos
Principios: seguridad organizacional; enfoque por riesgos; alineación de inversiones al negocio; conformidad; cultura de seguridad; medición por desempeño.
Marcos: ISO/IEC 27014 (supervisión de seguridad); NIST CSF ID.GV (gobernanza cibernética); COBIT 2019 (evaluar, dirigir, monitorear); ISO/IEC 38500 (gobernanza TI)
Estructura organizativa y roles
Gobierno: órgano de gobierno y alta dirección
Seguridad: CISO y comité; CSIRT
Protección de datos: DPO
Apoyo: propietarios de activos, función de riesgos, “security champions” y auditoría interna.
Políticas, estándares y procedimientos
Jerarquía documental: políticas estratégicas → estándares técnicos → procedimientos operativos.
Ciclo de vida: elaboración, aprobación, revisión, retiro y control de versiones.
Gestión de riesgos y terceros
Riesgos: identificación, evaluación, tratamiento, monitoreo; apetito y tolerancia.
Terceros: due diligence, cláusulas contractuales, auditorías continuas.
Cumplimiento legal y regulatorio
Normas generales: GDPR (arts. 32, 83), HIPAA, PCI DSS, SOX, LOPD.
Sectoriales: NERC CIP.
Actividades: análisis de brechas, auditorías, notificaciones y sanciones.
Gestión de accesos e identidades (IAM)
Ciclo de vida de identidades.
Autenticación y autorización (RBAC/ABAC).
Accesos privilegiados, SSO/federación, revisiones y supervisión.
Capacitación y cultura
Programas con contenidos actualizados, simulaciones de phishing y campañas.
Métricas de eficacia (tasas de clic, resultados de simulacros).
Liderazgo activo para fomentar cultura de seguridad.
Respuesta a incidentes y continuidad
Fases: preparación, detección, contención, erradicación, recuperación.
BIA, BCP y DRP, pruebas periódicas, auditorías y lecciones aprendidas.
Métricas y desempeño
KPI/KRI: incidentes, vulnerabilidades, madurez de procesos.
Dashboards ejecutivos, benchmarking y ciclo PDCA (Plan‑Do‑Check‑Act).
Tendencias emergentes
DevSecOps, Cloud governance (ISO/IEC 27017), Zero Trust (NIST SP 800‑207).
Criptografía post‑cuántica (FIPS 203‑205), IA governance (ISO/IEC SC 42).
SASE, SCRM (SP 800‑161), IoT governance (ISO/IEC 30141), “policy-as-code” y SOAR.
Implementación en 4 pasos
Estrategia: definir objetivos, apetito de riesgo y requisitos de cumplimiento.
Construcción: diseñar estructura organizativa y marco normativo‑tecnológico.
Prueba e implementación: validación funcional y despliegue progresivo.
Monitoreo y mejora: seguimiento continuo y ajustes basados en resultados.
Beneficios clave
Integridad y calidad de datos
Reducción de riesgos y seguridad reforzada
Cumplimiento normativo
Eficiencia operativa y reducción de costes
Decisiones basadas en datos
Colaboración fluida y reputación fortalecida
Base para transformación digital
","author_name":"Jose Rojas"}