Hosted on Acast. See acast.com/privacy for more information.
Hosted on Acast. See acast.com/privacy for more information.
Tema: Gobernanza de seguridad de la información
Capitulo 22 - Entrevista - Gobernanza 360° Seguridad más allá del perímetro
Redes Sociales:
blueteam.smi@hotmail.com
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo:
https://buymeacoffee.com/btsmi
Antecedentes y trayectoria
Inicios en seguridad de la información a mediados de los 90 como practicante, configurando y atacando de forma “prueba y error” los primeros firewalls en Linux.
Paso por banca y telecomunicaciones, especializándose primero en aspectos técnicos (arquitectura, dimensionamiento) y luego en gobernanza, procesos y estándares (ISO 27001, COBIT 5, etc.).
Docencia activa en el Tecnológico de Monterrey y cofundador de iniciativas formativas en ciberseguridad.
Principales desafíos
Cultural: resistencia de TI y áreas operativas a incorporar buenas prácticas de seguridad (“¿quién eres tú para decirme cómo hacer mi trabajo?”).
Concienciación: romper el paradigma de que la seguridad “es cosa solo de TI” y fomentar la responsabilidad compartida en toda la organización.
Evolución del rol de líder y mentor
De “operador técnico” a impulsor de comités de seguridad y patrocinio ejecutivo.
Recomendación de vincular universidades y empresas, reclutar y formar recién egresados, y promover certificaciones especializadas.
De la teoría a la práctica
Ejemplo de gestión de incidentes: definir claramente qué se considera “incidente de seguridad”, catalogarlo en un “catálogo de incidentes” y establecer flujos de atención (detección, categorización, manejo y resolución).
Importancia de políticas aprobadas por alta dirección, procesos transversales y procedimientos detallados de “primeros auxilios” para mitigación rápida.
Definición y comunicación del apetito de riesgo
Involucrar a finanzas, legal, marketing y demás áreas para cuantificar impactos (económico, regulatorio, reputacional).
Realizar ejercicios piloto de evaluación de riesgos multidisciplinarios y consensuar con la dirección general una “banda” o nivel máximo de riesgo tolerable, revisable anualmente.
Gobernanza de terceros y cadena de suministro
Extender requisitos de seguridad a proveedores mediante contratos y cuestionarios de evaluación de controles (ISO 27001, NIST, etc.).
Implementar áreas y herramientas dedicadas a monitorear cumplimiento de estándares en entornos con múltiples terceros.
Errores comunes al iniciar un programa de gobernanza
Falta de patrocinio de alta dirección y de un comité rector.
No definir un alcance y fases claras; intentar “cubrirlo todo” de una vez.
Insuficiencia de recursos: tanto presupuesto como talento dedicado.
Recomendaciones para un programa sostenible
Basarse en ISO 27001 y su ciclo de mejora continua (Plan‑Do‑Check‑Act).
Establecer “quick wins” con resultados palpables a corto plazo para mantener el impulso.
Alimentar el programa constantemente (como a un “niño” o “vino tinto” que requiere tiempo y cuidados).
Fomentar la formación y certificación continua del personal, alinear sus especializaciones con las necesidades del negocio.
Hosted on Acast. See acast.com/privacy for more information.