Lección 1Iniciativa: Gestión de Identidad, Acceso y Privilegios — objetivos, stakeholders, controles ejecutables (SSO, MFA, menor privilegio, PAM), KPIs (cuentas privilegiadas obsoletas, cobertura MFA)Esta sección define la iniciativa de identidad, acceso y gestión de privilegios, aclarando objetivos, stakeholders clave y controles ejecutables, mientras establece KPIs prácticos para monitorear riesgos de acceso, mal uso de privilegios y cobertura de autenticación con el tiempo.
Defining initiative scope and business alignmentStakeholder roles across IT, HR, and business unitsSSO and MFA rollout strategy and governanceLeast privilege, RBAC, and PAM control designKPIs for stale accounts and MFA coverageLección 2Iniciativa: Seguridad en Nube y Gestión de Configuraciones — objetivos, propietarios, controles base (CSPM, escaneo IaC, endurecimiento de almacenamiento), KPIs (conteos de configuraciones erróneas, tiempo para remediar)Esta sección define la iniciativa de seguridad en nube y gestión de configuraciones, aclarando propiedad, controles base y herramientas. Explica cómo usar CSPM, escaneo IaC y estándares de endurecimiento, con KPIs que rastrean configuraciones erróneas y velocidad de remediación.
Cloud security ownership and accountability modelBaseline policies for multi-cloud environmentsCSPM deployment and alert tuningIaC scanning in build and deployment stagesKPIs for misconfigs and remediation timeLección 3Iniciativa: Desarrollo de Software Seguro y DevSecOps — objetivos, stakeholders, puntos de integración CI/CD (SAST, DAST, SCA), KPIs (vulnerabilidades introducidas por lanzamiento, tiempo medio para corregir)Esta sección detalla la iniciativa de desarrollo seguro y DevSecOps, alineando objetivos con velocidad de entrega, definiendo stakeholders, integrando seguridad en CI/CD y seleccionando KPIs que rastrean tendencias de vulnerabilidades, tiempos de corrección y calidad de seguridad del pipeline.
Objectives balancing speed and securityRACI for engineering, security, and productSecurity gates in CI/CD pipelinesSAST, DAST, and SCA integration strategyKPIs for defects, MTTR, and release riskLección 4Iniciativa: Gestión de Riesgos Empresariales — objetivos, stakeholders, diseño de registro de riesgos, criterios de aceptación y KPIs (riesgos principales rastreados, niveles de riesgo residual)Esta sección enmarca la iniciativa de gestión de riesgos empresariales, vinculando seguridad a riesgo empresarial. Cubre objetivos, stakeholders, diseño de registro de riesgos, puntuación, criterios de aceptación y KPIs que rastrean riesgos principales, tendencias y niveles de exposición residual.
Aligning cyber risk with enterprise risk appetiteRisk register structure and taxonomyQualitative and quantitative risk scoringRisk acceptance, transfer, and mitigationKPIs for top risks and residual exposureLección 5Iniciativa: Cumplimiento y Preparación para Auditorías (ISO 27001, SOC 2, GDPR) — objetivos, stakeholders, mapeo de controles, KPIs (hallazgos de auditoría, madurez de controles)Esta sección define la iniciativa de cumplimiento y preparación para auditorías (ISO 27001, SOC 2, GDPR) — objetivos, stakeholders, mapeo de controles, KPIs (hallazgos de auditoría, madurez de controles)
Regulatory and customer requirement mappingControl framework selection and scopingEvidence collection and documentationInternal audits and readiness assessmentsKPIs for findings and control maturityLección 6Iniciativa: Concienciación de Seguridad, Cultura y Habilitación — objetivos, stakeholders, elementos del programa, KPIs (porcentaje susceptible a phishing, finalización de formación, cobertura de campeones de seguridad)Esta sección describe la iniciativa de concienciación, cultura y habilitación de seguridad, definiendo objetivos, audiencias y propiedad. Cubre elementos del programa, campeones, indicaciones conductuales y KPIs como tasa de susceptibilidad a phishing, finalización de formación y compromiso.
Program goals and target behaviorsStakeholders in HR, comms, and leadershipTraining formats and content strategySecurity champions and local advocatesKPIs for phishing, training, and cultureLección 7Iniciativa: Gestión de Riesgos de Terceros y Cadena de Suministro — objetivos, stakeholders, periodicidad de evaluación, KPIs (calificaciones de riesgo de terceros, SLAs contractuales de remediación)Esta sección detalla la iniciativa de gestión de riesgos de terceros y cadena de suministro, definiendo objetivos, propietarios y periodicidad de evaluaciones. Explica diligencia debida, monitoreo continuo, contratos y KPIs para calificaciones de riesgo de proveedores y SLAs de remediación.
Vendor inventory and criticality tiersPre-contract due diligence and screeningOngoing assessments and monitoringSecurity clauses and remediation SLAsKPIs for vendor risk and closure timeLección 8Iniciativa: Respuesta a Incidentes y Gestión de Crisis — objetivos, stakeholders, playbooks, periodicidad de tabletops, KPIs (MTTR, tiempo de detección, estimaciones de costo de incidentes)Esta sección define la iniciativa de respuesta a incidentes y gestión de crisis, aclarando objetivos, stakeholders y gobernanza. Cubre diseño de playbooks, periodicidad de tabletops, comunicaciones y KPIs como MTTR, tiempo de detección y estimaciones de costo de incidentes.
IR objectives and executive sponsorshipRoles, RACI, and escalation pathsPlaybook development and maintenanceTabletop exercises and lessons learnedKPIs for MTTR, detection, and impact
