{"version":"1.0","type":"rich","provider_name":"Acast","provider_url":"https://acast.com","height":250,"width":700,"html":"<iframe src=\"https://embed.acast.com/$/6775c7c6c82b0a6413df24e3/688061fe4d38ffe5f5a629eb?\" frameBorder=\"0\" width=\"700\" height=\"250\"></iframe>","title":"Capitulo 22 - Entrevista - Gobernanza 360° Seguridad más allá del perímetro","thumbnail_width":200,"thumbnail_height":200,"thumbnail_url":"https://open-images.acast.com/shows/6775c7c6c82b0a6413df24e3/1753244067373-5e7eb79b-5e3e-424c-8029-11af46680966.jpeg?height=200","description":"<p>Tema: Gobernanza de seguridad de la información</p><p>Capitulo 22 - Entrevista - Gobernanza 360° Seguridad más allá del perímetro</p><p><br></p><p>Antecedentes y trayectoria</p><p>Inicios en seguridad de la información a mediados de los 90 como practicante, configurando y atacando de forma “prueba y error” los primeros firewalls en Linux.</p><p>Paso por banca y telecomunicaciones, especializándose primero en aspectos técnicos (arquitectura, dimensionamiento) y luego en gobernanza, procesos y estándares (ISO 27001, COBIT 5, etc.).</p><p>Docencia activa en el Tecnológico de Monterrey y cofundador de iniciativas formativas en ciberseguridad.</p><p><br></p><p>Principales desafíos</p><p>Cultural: resistencia de TI y áreas operativas a incorporar buenas prácticas de seguridad (“¿quién eres tú para decirme cómo hacer mi trabajo?”).</p><p>Concienciación: romper el paradigma de que la seguridad “es cosa solo de TI” y fomentar la responsabilidad compartida en toda la organización.</p><p>Evolución del rol de líder y mentor</p><p>De “operador técnico” a impulsor de comités de seguridad y patrocinio ejecutivo.</p><p>Recomendación de vincular universidades y empresas, reclutar y formar recién egresados, y promover certificaciones especializadas.</p><p><br></p><p>De la teoría a la práctica</p><p>Ejemplo de gestión de incidentes: definir claramente qué se considera “incidente de seguridad”, catalogarlo en un “catálogo de incidentes” y establecer flujos de atención (detección, categorización, manejo y resolución).</p><p>Importancia de políticas aprobadas por alta dirección, procesos transversales y procedimientos detallados de “primeros auxilios” para mitigación rápida.</p><p>Definición y comunicación del apetito de riesgo</p><p>Involucrar a finanzas, legal, marketing y demás áreas para cuantificar impactos (económico, regulatorio, reputacional).</p><p>Realizar ejercicios piloto de evaluación de riesgos multidisciplinarios y consensuar con la dirección general una “banda” o nivel máximo de riesgo tolerable, revisable anualmente.</p><p><br></p><p>Gobernanza de terceros y cadena de suministro</p><p>Extender requisitos de seguridad a proveedores mediante contratos y cuestionarios de evaluación de controles (ISO 27001, NIST, etc.).</p><p>Implementar áreas y herramientas dedicadas a monitorear cumplimiento de estándares en entornos con múltiples terceros.</p><p>Errores comunes al iniciar un programa de gobernanza</p><p>Falta de patrocinio de alta dirección y de un comité rector.</p><p>No definir un alcance y fases claras; intentar “cubrirlo todo” de una vez.</p><p>Insuficiencia de recursos: tanto presupuesto como talento dedicado.</p><p><br></p><p>Recomendaciones para un programa sostenible</p><p>Basarse en ISO 27001 y su ciclo de mejora continua (Plan‑Do‑Check‑Act).</p><p>Establecer “quick wins” con resultados palpables a corto plazo para mantener el impulso.</p><p>Alimentar el programa constantemente (como a un “niño” o “vino tinto” que requiere tiempo y cuidados).</p><p>Fomentar la formación y certificación continua del personal, alinear sus especializaciones con las necesidades del negocio.</p>","author_name":"Jose Rojas"}