Tema: Gobernanza de seguridad de la informaciónCapitulo 22 - Entrevista - Gobernanza 360° Seguridad más allá del perímetroRedes Sociales:[email protected]://shows.acast.com/blueteam-sin-morir-en-el-intentohttps://linkedin.com/company/blue-team-smihttps://x.com/blueteam_smihttps://www.youtube.com/@BlueTeamSMIDonativo:https://buymeacoffee.com/btsmiAntecedentes y trayectoriaInicios en seguridad de la información a mediados de los 90 como practicante, configurando y atacando de forma “prueba y error” los primeros firewalls en Linux.Paso por banca y telecomunicaciones, especializándose primero en aspectos técnicos (arquitectura, dimensionamiento) y luego en gobernanza, procesos y estándares (ISO 27001, COBIT 5, etc.).Docencia activa en el Tecnológico de Monterrey y cofundador de iniciativas formativas en ciberseguridad.Principales desafíosCultural: resistencia de TI y áreas operativas a incorporar buenas prácticas de seguridad (“¿quién eres tú para decirme cómo hacer mi trabajo?”).Concienciación: romper el paradigma de que la seguridad “es cosa solo de TI” y fomentar la responsabilidad compartida en toda la organización.Evolución del rol de líder y mentorDe “operador técnico” a impulsor de comités de seguridad y patrocinio ejecutivo.Recomendación de vincular universidades y empresas, reclutar y formar recién egresados, y promover certificaciones especializadas.De la teoría a la prácticaEjemplo de gestión de incidentes: definir claramente qué se considera “incidente de seguridad”, catalogarlo en un “catálogo de incidentes” y establecer flujos de atención (detección, categorización, manejo y resolución).Importancia de políticas aprobadas por alta dirección, procesos transversales y procedimientos detallados de “primeros auxilios” para mitigación rápida.Definición y comunicación del apetito de riesgoInvolucrar a finanzas, legal, marketing y demás áreas para cuantificar impactos (económico, regulatorio, reputacional).Realizar ejercicios piloto de evaluación de riesgos multidisciplinarios y consensuar con la dirección general una “banda” o nivel máximo de riesgo tolerable, revisable anualmente.Gobernanza de terceros y cadena de suministroExtender requisitos de seguridad a proveedores mediante contratos y cuestionarios de evaluación de controles (ISO 27001, NIST, etc.).Implementar áreas y herramientas dedicadas a monitorear cumplimiento de estándares en entornos con múltiples terceros.Errores comunes al iniciar un programa de gobernanzaFalta de patrocinio de alta dirección y de un comité rector.No definir un alcance y fases claras; intentar “cubrirlo todo” de una vez.Insuficiencia de recursos: tanto presupuesto como talento dedicado.Recomendaciones para un programa sostenibleBasarse en ISO 27001 y su ciclo de mejora continua (Plan‑Do‑Check‑Act).Establecer “quick wins” con resultados palpables a corto plazo para mantener el impulso.Alimentar el programa constantemente (como a un “niño” o “vino tinto” que requiere tiempo y cuidados).Fomentar la formación y certificación continua del personal, alinear sus especializaciones con las necesidades del negocio. Hosted on Acast. See acast.com/privacy for more information.

Ver todos los episodios