Tema: Gobernanza de seguridad de la informaciónCapitulo 14 - Introducción a la gobernanza de seguridad de la informaciónPrincipios y marcos normativosPrincipios: seguridad organizacional; enfoque por riesgos; alineación de inversiones al negocio; conformidad; cultura de seguridad; medición por desempeño.Marcos: ISO/IEC 27014 (supervisión de seguridad); NIST CSF ID.GV (gobernanza cibernética); COBIT 2019 (evaluar, dirigir, monitorear); ISO/IEC 38500 (gobernanza TI)Estructura organizativa y rolesGobierno: órgano de gobierno y alta direcciónSeguridad: CISO y comité; CSIRTProtección de datos: DPOApoyo: propietarios de activos, función de riesgos, “security champions” y auditoría interna.Políticas, estándares y procedimientosJerarquía documental: políticas estratégicas → estándares técnicos → procedimientos operativos.Ciclo de vida: elaboración, aprobación, revisión, retiro y control de versiones.Gestión de riesgos y tercerosRiesgos: identificación, evaluación, tratamiento, monitoreo; apetito y tolerancia.Terceros: due diligence, cláusulas contractuales, auditorías continuas.Cumplimiento legal y regulatorioNormas generales: GDPR (arts. 32, 83), HIPAA, PCI DSS, SOX, LOPD.Sectoriales: NERC CIP.Actividades: análisis de brechas, auditorías, notificaciones y sanciones.Gestión de accesos e identidades (IAM)Ciclo de vida de identidades.Autenticación y autorización (RBAC/ABAC).Accesos privilegiados, SSO/federación, revisiones y supervisión.Capacitación y culturaProgramas con contenidos actualizados, simulaciones de phishing y campañas.Métricas de eficacia (tasas de clic, resultados de simulacros).Liderazgo activo para fomentar cultura de seguridad.Respuesta a incidentes y continuidadFases: preparación, detección, contención, erradicación, recuperación.BIA, BCP y DRP, pruebas periódicas, auditorías y lecciones aprendidas.Métricas y desempeñoKPI/KRI: incidentes, vulnerabilidades, madurez de procesos.Dashboards ejecutivos, benchmarking y ciclo PDCA (Plan‑Do‑Check‑Act).Tendencias emergentesDevSecOps, Cloud governance (ISO/IEC 27017), Zero Trust (NIST SP 800‑207).Criptografía post‑cuántica (FIPS 203‑205), IA governance (ISO/IEC SC 42).SASE, SCRM (SP 800‑161), IoT governance (ISO/IEC 30141), “policy-as-code” y SOAR.Implementación en 4 pasosEstrategia: definir objetivos, apetito de riesgo y requisitos de cumplimiento.Construcción: diseñar estructura organizativa y marco normativo‑tecnológico.Prueba e implementación: validación funcional y despliegue progresivo.Monitoreo y mejora: seguimiento continuo y ajustes basados en resultados.Beneficios claveIntegridad y calidad de datosReducción de riesgos y seguridad reforzadaCumplimiento normativoEficiencia operativa y reducción de costesDecisiones basadas en datosColaboración fluida y reputación fortalecidaBase para transformación digitalRedes Sociales:
[email protected]://shows.acast.com/blueteam-sin-morir-en-el-intentohttps://linkedin.com/company/blue-team-smihttps://x.com/blueteam_smihttps://www.youtube.com/@BlueTeamSMIDonativo:https://buymeacoffee.com/btsmi Hosted on Acast. See acast.com/privacy for more information.