Lección 1Iniciativa: Gestión de Identidad, Acceso y Privilegios — objetivos, stakeholders, controles ejecutables (SSO, MFA, least privilege, PAM), KPIs (cuentas privilegiadas obsoletas, cobertura MFA)Esta sección define la iniciativa de identidad, acceso y privilegios, aclarando objetivos, stakeholders clave y controles ejecutables, mientras establece KPIs prácticos para monitorear riesgos de acceso, mal uso de privilegios y cobertura de autenticación con el tiempo.
Defining initiative scope and business alignmentStakeholder roles across IT, HR, and business unitsSSO and MFA rollout strategy and governanceLeast privilege, RBAC, and PAM control designKPIs for stale accounts and MFA coverageLección 2Iniciativa: Seguridad Cloud y Gestión de Configuraciones — objetivos, owners, controles baseline (CSPM, escaneo IaC, hardening de storage), KPIs (conteos de configuraciones erróneas, tiempo-para-remediar)Esta sección define la iniciativa de seguridad cloud y gestión de configuraciones, aclarando ownership, controles baseline y tooling. Explica cómo usar CSPM, escaneo IaC y estándares de hardening, con KPIs que rastrean configuraciones erróneas y velocidad de remediación.
Cloud security ownership and accountability modelBaseline policies for multi-cloud environmentsCSPM deployment and alert tuningIaC scanning in build and deployment stagesKPIs for misconfigs and remediation timeLección 3Iniciativa: Desarrollo de Software Seguro y DevSecOps — objetivos, stakeholders, puntos de integración CI/CD (SAST, DAST, SCA), KPIs (vulnerabilidades introducidas por release, mean-time-to-fix)Esta sección detalla la iniciativa de desarrollo seguro y DevSecOps, alineando objetivos con velocidad de entrega, definiendo stakeholders, incorporando seguridad en CI/CD y seleccionando KPIs que rastrean tendencias de vulnerabilidades, tiempos de fix y calidad de seguridad de pipeline.
Objectives balancing speed and securityRACI for engineering, security, and productSecurity gates in CI/CD pipelinesSAST, DAST, and SCA integration strategyKPIs for defects, MTTR, and release riskLección 4Iniciativa: Gestión de Riesgo Empresarial — objetivos, stakeholders, diseño de registro de riesgos, criterios de aceptación y KPIs (riesgos top rastreados, niveles de riesgo residual)Esta sección enmarca la iniciativa de gestión de riesgo empresarial, vinculando seguridad a riesgo de negocio. Cubre objetivos, stakeholders, diseño de registro de riesgos, scoring, criterios de aceptación y KPIs que rastrean riesgos top, tendencias y niveles de exposición residual.
Aligning cyber risk with enterprise risk appetiteRisk register structure and taxonomyQualitative and quantitative risk scoringRisk acceptance, transfer, and mitigationKPIs for top risks and residual exposureLección 5Iniciativa: Cumplimiento y Preparación para Auditorías (ISO 27001, SOC 2, GDPR) — objetivos, stakeholders, mapeo de controles, KPIs (hallazgos de auditoría, madurez de controles)Esta sección define la iniciativa de cumplimiento y preparación para auditorías (ISO 27001, SOC 2, GDPR) — objetivos, stakeholders, mapeo de controles, KPIs (hallazgos de auditoría, madurez de controles)
Regulatory and customer requirement mappingControl framework selection and scopingEvidence collection and documentationInternal audits and readiness assessmentsKPIs for findings and control maturityLección 6Iniciativa: Concientización de Seguridad, Cultura y Enablement — objetivos, stakeholders, elementos del programa, KPIs (porcentaje phish-prone, completitud de training, cobertura de champions de seguridad)Esta sección describe la iniciativa de concientización de seguridad, cultura y enablement, definiendo objetivos, audiencias y ownership. Cubre elementos del programa, champions, nudges conductuales y KPIs como tasa phish-prone, completitud de training y engagement.
Program goals and target behaviorsStakeholders in HR, comms, and leadershipTraining formats and content strategySecurity champions and local advocatesKPIs for phishing, training, and cultureLección 7Iniciativa: Gestión de Riesgo de Terceros y Cadena de Suministro — objetivos, stakeholders, cadencia de assessment, KPIs (ratings de riesgo de terceros, SLAs contractuales de remediación)Esta sección detalla la iniciativa de riesgo de terceros y cadena de suministro, definiendo objetivos, owners y cadencia de assessment. Explica due diligence, monitoreo continuo, contratos y KPIs para ratings de riesgo de proveedores y SLAs de remediación.
Vendor inventory and criticality tiersPre-contract due diligence and screeningOngoing assessments and monitoringSecurity clauses and remediation SLAsKPIs for vendor risk and closure timeLección 8Iniciativa: Respuesta a Incidentes y Gestión de Crisis — objetivos, stakeholders, playbooks, cadencia de tabletops, KPIs (MTTR, tiempo-para-detección, estimados de costo de incidente)Esta sección define la iniciativa de respuesta a incidentes y gestión de crisis, aclarando objetivos, stakeholders y gobernanza. Cubre diseño de playbooks, cadencia de tabletops, comunicaciones y KPIs como MTTR, tiempo de detección y estimados de costo de incidente.
IR objectives and executive sponsorshipRoles, RACI, and escalation pathsPlaybook development and maintenanceTabletop exercises and lessons learnedKPIs for MTTR, detection, and impact
