{"version":"1.0","type":"rich","provider_name":"Acast","provider_url":"https://acast.com","height":250,"width":700,"html":"<iframe src=\"https://embed.acast.com/$/6775c7c6c82b0a6413df24e3/6813b1e96ac0e5213bf1da7e?\" frameBorder=\"0\" width=\"700\" height=\"250\"></iframe>","title":"Capitulo 15 - Marco conceptual y modelos de gobernanza de seguridad de la información","thumbnail_width":200,"thumbnail_height":200,"thumbnail_url":"https://open-images.acast.com/shows/6775c7c6c82b0a6413df24e3/1746120678959-566374a1-0418-4b64-9c97-2ec954aa1c76.jpeg?height=200","description":"<p>Tema: Gobernanza de seguridad de la información</p><p>Capitulo 15 - Marco conceptual y modelos de gobernanza de seguridad de la información</p><p><br></p><p><strong>1. Enfoque y propósito</strong></p><p>La gobernanza de la seguridad de la información se apoya en principios corporativos sólidos y un ciclo continuo de mejora (PDCA) alineado con los objetivos del negocio. Para desplegarla existen diversos esquemas organizativos (centralizado, descentralizado, híbrido, basado en riesgos, colaborativo y federado) que determinan la ubicación de la autoridad y el flujo de decisiones.</p><p><strong>2. Marco conceptual clave</strong></p><ul><li><strong>Integración empresarial:</strong> Inserción de la seguridad en la arquitectura global de TI, de modo que cada control responda a metas de negocio.</li><li><strong>Ciclo PDCA:</strong> Planificar, ejecutar, evaluar y mejorar, con flujos de aprobación ejecutiva y retroalimentación operativa.</li><li><strong>Stakeholders y gobernanza:</strong> Definición de roles (CISO, consejo, unidades de negocio, auditores) y canales formales (dashboards, comités) para asegurar transparencia y alineación.</li><li><strong>Madurez y ecosistemas:</strong> Uso de frameworks (COBIT, CMMI, O-ISM3) para evaluar capacidades y gobernanza de terceros mediante certificaciones y auditorías.</li><li><strong>Innovación continua:</strong> Laboratorios de políticas, metodologías ágiles, DevSecOps e IA como impulsores de nuevas prácticas dentro del ciclo PDCA.</li></ul><p><strong>3. Modelos de implementación</strong></p><ul><li><strong>Centralizado:</strong> Autoridad única, controles homogéneos y supervisión central, ideal para entornos regulados, aunque puede generar cuellos de botella.</li><li><strong>Descentralizado:</strong> Autonomía local con lineamientos mínimos, favorece la agilidad y el empoderamiento, pero con riesgo de duplicidad e inconsistencia.</li><li><strong>Híbrido:</strong> Combina directrices globales con adaptaciones locales, buscando un balance entre consistencia y flexibilidad, aunque con mayor complejidad de coordinación.</li><li><strong>Basado en riesgos:</strong> Prioriza decisiones y recursos según evaluación continua de riesgos, optimizando esfuerzos pero requiriendo datos de alta calidad.</li><li><strong>Colaborativo:</strong> Involucra a todas las áreas (TI, Seguridad, Legal, RR.HH., externos) en un PDCA conjunto, fomentando innovación y visión integral, a costa de mayor orquestación.</li><li><strong>Federado:</strong> Políticas y estándares definidos centralmente, pero con implementación contextual por equipos locales, equilibrando economías de escala y adaptabilidad.</li></ul><p><strong>4. Conclusión</strong></p><p>No existe un modelo universal: la elección debe basarse en la estructura organizacional, apetito de riesgo, regulaciones aplicables y nivel de madurez. Un marco conceptual robusto, sustentado en estándares internacionales y el ciclo PDCA, es fundamental para asegurar alineación estratégica y resiliencia frente a amenazas presentes y futuras.</p>","author_name":"Jose Rojas"}