{"version":"1.0","type":"rich","provider_name":"Acast","provider_url":"https://acast.com","height":250,"width":700,"html":"<iframe src=\"https://embed.acast.com/$/6775c7c6c82b0a6413df24e3/6837718f7b483718e06b2fe7?\" frameBorder=\"0\" width=\"700\" height=\"250\"></iframe>","title":"Capitulo 17 - Políticas y estrategias de seguridad digital","thumbnail_width":200,"thumbnail_height":200,"thumbnail_url":"https://open-images.acast.com/shows/6775c7c6c82b0a6413df24e3/1748463797852-f557db62-6dd0-4476-a57f-45fcf226a29e.jpeg?height=200","description":"<p>Tema: Gobernanza de seguridad de la información</p><p>Capitulo 17 - Políticas y estrategias de seguridad digital</p><p><br></p><p>I. Gobernanza y Liderazgo</p><p>Se establece la necesidad de un compromiso activo del liderazgo mediante comités de seguridad, definición de visión estratégica y KPIs claros. La gestión de riesgos es fundamental, utilizando modelos como ISO 27005 o FAIR para priorizar controles.</p><p><br></p><p>II. Identidad y Acceso</p><p>El capítulo describe cómo controlar el acceso a sistemas mediante políticas de Identity and Access Management (IAM), forzando MFA y revisando privilegios periódicamente. Se introduce la arquitectura Zero Trust, que exige verificar cada acceso sin suposiciones de confianza, aplicando principios de mínima exposición.</p><p><br></p><p>III. Protección de la Infraestructura</p><p>Se plantean mecanismos de segmentación de red (VLANs, ACLs) para limitar movimientos laterales, y el cifrado de datos tanto en tránsito (TLS 1.3) como en reposo (AES-256), incluyendo la rotación automatizada de llaves mediante KMS.</p><p><br></p><p>IV. Detección y Respuesta</p><p>Se promueve la integración de SIEM para correlacionar eventos de seguridad y la elaboración de playbooks de Respuesta a Incidentes (IR). Se recomienda ensayar respuestas con ejercicios tabletop y definir SLAs.</p><p><br></p><p>V. Resiliencia y Continuidad</p><p>Describe políticas de Continuidad de Negocio y Recuperación ante Desastres (BC/DR), que incluyen análisis de impacto (BIA), objetivos RTO/RPO y pruebas semestrales. También se integra DevSecOps como cultura y automatización de seguridad en el desarrollo ágil, promoviendo controles desde el inicio del ciclo.</p><p><br></p><p>VI. Personas y Procesos</p><p>La formación y concienciación son pilares esenciales. Se recomiendan campañas constantes de phishing simulado y capacitación medida por retención. También se trata la gestión de terceros, exigiendo cláusulas contractuales, auditorías y cuestionarios específicos.</p><p><br></p><p>VII. Tecnologías Emergentes</p><p>Se exploran 10 tecnologías clave que deben considerarse en políticas modernas:</p><p><br></p><p>IA Generativa y ML Avanzado</p><p>Criptografía Post-Cuántica</p><p>Criptografía Homomórfica</p><p>Blockchain y DLT</p><p>IoT, Edge Computing y 5G/6G</p><p>Digital Twins para simulación segura</p><p>XDR y SOAR</p><p>Confidential Computing</p><p>Deception Technology y honeypots inteligentes</p><p>Agentes Autónomos + Explainable AI</p><p>Cada una está acompañada de consejos prácticos para pruebas de concepto o despliegue seguro.</p><p><br></p><p>VIII. Diseño de Políticas</p><p>Se describe el ciclo completo de creación de políticas:</p><p>Análisis de riesgos y objetivos</p><p>Definición de propósito y alcance</p><p>Benchmarking con estándares</p><p>Redacción clara y verificable</p><p>Revisión con stakeholders</p><p>Aprobación ejecutiva formal</p><p>Comunicación y gestión del cambio</p><p>Implementación técnica</p><p>Monitoreo y métricas (MTTD, MTTR, % cumplimiento)</p><p>Revisión periódica y retiro de versiones obsoletas</p><p><br></p><p>IX. Nomenclatura y Estructura de Políticas</p><p>Se propone una convención estándar:</p><p>POL–&lt;DOMINIO&gt;–&lt;TIPO&gt;–&lt;VERSIÓN&gt;</p><p>Ej.: POL–IAM–ACCESS–v1.0</p><p><br></p><p>X. Políticas Recomendadas</p><p>Se presentan 13 políticas prioritarias para cubrir todos los dominios tratados:</p><p>Gestión de riesgos</p><p>Gestión de activos</p><p>IAM</p><p>Zero Trust</p><p>Segmentación de red</p><p>Cifrado</p><p>SIEM</p><p>IR</p><p>BC/DR</p><p>DevSecOps</p><p>Formación</p><p>Terceros</p><p>Tecnologías emergentes</p>","author_name":"Jose Rojas"}