{"version":"1.0","type":"rich","provider_name":"Acast","provider_url":"https://acast.com","height":250,"width":700,"html":"<iframe src=\"https://embed.acast.com/$/6775c7c6c82b0a6413df24e3/68960ad9c6d7c56cda8cd301?\" frameBorder=\"0\" width=\"700\" height=\"250\"></iframe>","title":"Capitulo 24 - Cómo integrar seguridad de la información con la estrategia del negocio","thumbnail_width":200,"thumbnail_height":200,"thumbnail_url":"https://open-images.acast.com/shows/6775c7c6c82b0a6413df24e3/1754663193010-969d295b-bc66-4284-a139-89526af77126.jpeg?height=200","description":"<p>Tema: Gobernanza de seguridad de la información</p><p>Capitulo 24 - Como integrar seguridad de la información con la estrategia del negocio</p><p><br></p><p>Bienvenida y objetivos</p><p>Propósito: Presentar un modelo práctico de alineación inmediato.</p><p>Resultados: Esqueleto de roadmap de integración adaptable a cada organización.</p><p><br></p><p>Panorama actual</p><p>Tendencias: APTs, ransomware (5–10 % de facturación) y regulación creciente (GDPR, FinTech).</p><p>Retos: Proyectos aislados, KPIs técnicos sin vinculación al negocio y escaso patrocinio ejecutivo.</p><p><br></p><p>Comprender la estrategia</p><p>Mapeo de objetivos: Extraer metas de crecimiento (p.ej. +15 % LATAM, nuevo SaaS).</p><p>Priorización: Pesar cada iniciativa según impacto en ingresos, plazo y dependencia de sistemas.</p><p><br></p><p>Matriz impacto–valor</p><p>Puntuar 1–5 el Impacto de cada riesgo sobre la meta.</p><p>Puntuar 1–5 el Valor de los activos que la soportan.</p><p>Ubicar en cuatro zonas (roja, naranja, ámbar, verde) para guiar controles.</p><p><br></p><p>Gobierno de seguridad</p><p>Comités: CSI (CISO, TI, Legal, Finanzas, Operaciones) y Comité de Dirección (CEO, CFO, COO).</p><p>Políticas: Marco ISO 27001/22301 y estándares COBIT/ISO 27002, con ciclos anuales y “fast-track” urgente.</p><p>RACI: Claridad en Responsable, Aprobador, Consultado e Informado, con delegados en cada unidad.</p><p><br></p><p>Selección y priorización de proyectos</p><p>Inventario: Proyectos existentes vs. pipeline estratégico.</p><p>Criterios: Alineamiento con metas, exposición al riesgo y ROI/KPIs esperados.</p><p>Roadmap: Corto (0–6 m), medio (6–18 m) y largo (&gt;18 m), vinculado a hitos corporativos.</p><p><br></p><p>Implementación (PDCA)</p><p>Plan: Gap analysis y diseño de controles.</p><p>Do: Despliegue de herramientas y formación.</p><p>Check: Auditorías, pentests MITRE ATT&amp;CK y métricas (MTTD/MTTR).</p><p>Act: Acciones correctivas, feedback y actualización continua.</p><p><br></p><p>Frameworks y sinergias</p><p>Marcos: NIST CSF, ISO 27001, MITRE ATT&amp;CK.</p><p>Áreas aliadas: DevSecOps en TI, DPIA con Legal y business cases con Finanzas.</p><p><br></p><p>Métricas y reporting</p><p>KPIs operativos: % sistemas auditados, MTTD/MTTR, cumplimiento de SLAs.</p><p>KRI estratégicos: Índice de madurez (COBIT/CMMI), ALE.</p><p>Dashboard &amp; storytelling: Visuales alineados a “risk appetite” y reportes trimestrales al board.</p><p><br></p><p>Cultura y formación</p><p>Awareness: Mensajes ligados a beneficios de negocio, gamificación y micro-learning.</p><p>Ejecutivos: Table-top exercises y simulacros con evaluación de decisiones.</p><p>Comunicación: Comité trimestral, boletín mensual y portal de seguridad.</p><p><br></p><p>Mejora continua</p><p>Post-mortem: “What went well / What to improve” para capturar lecciones.</p><p>Revisión de roadmap: Talleres semestrales y triggers ante cambios de negocio o amenazas.</p><p><br></p><p>Innovación emergente</p><p>AI/ML: Detección de anomalías en tiempo real.</p><p>Cifrado post-cuántico: Pilotos graduales en datos sensibles.</p><p>Zero Trust: Validación continua de identidad y microsegmentación.</p>","author_name":"Jose Rojas"}