Analista GRC. Gobernanza de IT, Riesgo y Cumplimiento.

En esta clase se construye el vocabulario esencial para comprender la relación entre tecnología, seguridad de la información y ciberseguridad, y cómo se integran con la gestión de riesgos, la gobernanza de TI y el cumplimiento normativo. Está diseñada para estudiantes sin base técnica y para profesionales que necesitan ordenar conceptos. Al finalizar, podrás diferenciar seguridad de la información vs. ciberseguridad, entender componentes básicos de TI (hardware, software, redes y servidores), y explicar los pilares de Gobierno, Riesgo y Cumplimiento (GRC) con ejemplos prácticos.

En esta clase profundizamos en los pilares de la ciberseguridad —la tríada CIA (Confidencialidad, Integridad, Disponibilidad) y dos pilares complementarios (Autenticación y Legalidad/Compliance)— y los vinculamos con Gobierno, Riesgo y Cumplimiento (GRC). Verás cómo cada pilar guía decisiones de riesgo, qué controles lo refuerzan y qué evidencias necesitas para demostrar cumplimiento. Incluye ejemplos prácticos y un mini‑chequeo al final.

En esta clase definimos GRC (Governance, Risk & Compliance) como un modelo coordinado que alinea la tecnología y los procesos del negocio con los objetivos estratégicos, mientras gestiona riesgos y demuestra cumplimiento. Presentamos las seis disciplinas críticas que suelen intervenir en GRC (gobernanza y supervisión; estrategia y desempeño; gestión de riesgos; cumplimiento y ética; seguridad de la información; auditoría y aseguramiento), explicamos cómo se orquestan y qué métricas, roles, procesos y artefactos necesitas para operarlo. Incluye un mini‑caso y un checklist de madurez.

Profundizamos en los atributos clave de las seis disciplinas que conforman un programa de GRC (Governance, Risk, Compliance – Gobernanza, Riesgo y Cumplimiento): gobernanza y supervisión, estrategia y desempeño, gestión de riesgos, cumplimiento y ética, seguridad de la información y auditoría/aseguramiento. Conectamos cada disciplina con procesos, roles RACI (Responsible, Accountable, Consulted, Informed – Responsable, Aprobador, Consultado, Informado), métricas KPI (Key Performance Indicator – Indicador Clave de Desempeño)/KRI (Key Risk Indicator – Indicador Clave de Riesgo) y artefactos listos para auditar.

Revisamos los roles y puestos que intervienen en un programa de GRC (Governance, Risk, Compliance – Gobernanza, Riesgo y Cumplimiento) y cómo se organizan con un enfoque RACI (Responsible, Accountable, Consulted, Informed – Responsable, Aprobador, Consultado, Informado). Verás responsabilidades típicas por disciplina (gobernanza y supervisión, estrategia y desempeño, riesgos, cumplimiento y ética, seguridad de la información, auditoría y aseguramiento), caminos de carrera y cómo interactúan en procesos clave y auditorías TI (Tecnologías de la Información).

En esta clase conocerás los roles clave de ciberseguridad en una empresa tecnológica, sus responsabilidades, interacciones y cómo se conectan con GRC (Governance, Risk, Compliance – Gobernanza, Riesgo y Cumplimiento). Incluye perfiles directivos (CSO – Chief Security Officer; CISO – Chief Information Security Officer; CIO – Chief Information Officer; CTO – Chief Technology Officer), perfiles especializados (DPO/DPD – Data Protection Officer/Delegado de Protección de Datos; Analista de Seguridad; Hacker Ético; Informático Forense) y funciones modernas (SOC, DevSecOps). Verás ejemplos de RACI (Responsible, Accountable, Consulted, Informed – Responsable, Aprobador, Consultado, Informado), métricas KPI/KRI (Key Performance Indicator/Key Risk Indicator – Indicador Clave de Desempeño/Indicador Clave de Riesgo) y buenas prácticas de coordinación.

En esta clase presentamos una visión integrada de GRC (Governance, Risk, Compliance – Gobernanza, Riesgo y Cumplimiento): qué disciplinas cubre, por qué es relevante hoy y cómo se materializa en la organización. Veremos beneficios clave, el mapa de unidades organizativas (empresa, unidades de negocio, departamentos y equipos) y el modelo de tres líneas de defensa. También ubicaremos estándares y regulaciones frecuentes como GDPR (General Data Protection Regulation – Reglamento General de Protección de Datos), PCI DSS (Payment Card Industry Data Security Standard – Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago), SOX (Sarbanes‑Oxley Act – Ley Sarbanes‑Oxley) y SOC (Service Organization Control – Informes de Control de Organizaciones de Servicios).

En esta clase aprenderás qué es la gobernanza y cómo permite a una organización satisfacer las necesidades de sus partes interesadas al generar valor. Verás las responsabilidades de la Junta Directiva, la Alta Dirección y las Unidades de Negocio; la diferencia entre gobernanza y gestión; y cómo la gobernanza impulsa ética, cumplimiento, desempeño y gestión del riesgo para lograr objetivos empresariales.

En esta clase aprenderás cómo la gobernanza se implementa mediante políticas, estándares y procedimientos. Verás definiciones claras, diferencias entre cada elemento, y ejemplos prácticos de políticas de seguridad de la información (código de conducta, control de accesos, terceros, incidentes, etc.). Todo orientado a crear un entorno seguro que proteja la confidencialidad, integridad y disponibilidad de los datos.

En esta clase aprenderás cómo los estándares y los procedimientos convierten la gobernanza en acciones concretas. Revisaremos estándares clave por industria (ISO 31000/COSO ERM, ISO 9001, ITIL, PCI DSS, HIPAA, HACCP), el papel de los procedimientos en la operación diaria, por qué la gobernanza importa y cómo evaluar su eficacia (estructura, supervisión del directorio, efectividad gerencial y funciones de control).

En esta lección clarificamos, con lenguaje simple y ejemplos, la diferencia entre seguridad de la información y ciberseguridad, explicamos cómo se relacionan y profundizamos en la triada CIA (Confidentiality–Integrity–Availability / Confidencialidad–Integridad–Disponibilidad). Cerramos con el rol de la gobernanza y los marcos de referencia (por ejemplo, SGSI – Sistema de Gestión de Seguridad de la Información bajo ISO/IEC 27001) para conectar el concepto con la práctica.

Introducción práctica al estándar PCI DSS (Payment Card Industry Data Security Standard – Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago): por qué existe, quién lo gobierna, a quién aplica, cómo se estructura (12 requisitos / 6 objetivos), cómo se valida el cumplimiento (SAQ – Self‑Assessment Questionnaire / Cuestionario de Autoevaluación vs ROC – Report on Compliance / Reporte de Cumplimiento y AOC – Attestation of Compliance / Declaración de Cumplimiento), roles clave (QSA – Qualified Security Assessor / Asesor Calificado, ASV – Approved Scanning Vendor / Proveedor Aprobado de Escaneo, ISA – Internal Security Assessor / Asesor Interno, PFI – PCI Forensic Investigator / Investigador Forense PCI) y el cronograma actual de la versión 4.x. Cierre con un checklist accionable.

En esta lección explicamos qué es ISO/IEC 27001 y cómo implementar un SGSI (Sistema de Gestión de Seguridad de la Información / ISMS – Information Security Management System). Recorremos las cláusulas 4–10, el ciclo PDCA (Plan–Do–Check–Act / Planificar–Hacer–Verificar–Actuar), el Anexo A 2022 con 93 controles en cuatro temas, la SoA (Statement of Applicability / Declaración de Aplicabilidad) y la relación con ISO/IEC 27005 (gestión de riesgos). Cerramos con un caso práctico inspirado en la experiencia de Canva y un checklist para ponerlo en marcha.

Guía práctica y actualizada de ISO/IEC 27005:2022 para gestionar riesgos de seguridad de la información (SI) dentro de un SGSI (Sistema de Gestión de Seguridad de la Información / ISMS – Information Security Management System). Veremos el proceso iterativo (contexto → identificación → análisis → evaluación → tratamiento), la noción de escenarios de riesgo, los criterios de aceptación, la aceptación del riesgo residual tras el tratamiento, y el vínculo con ISO/IEC 27001:2022 (Anexo A y SoA – Statement of Applicability / Declaración de Aplicabilidad). Cerraremos con un mini‑ejemplo y un checklist accionable.

Introducción clara y actualizada al NIST CSF 2.0 (National Institute of Standards and Technology – Cybersecurity Framework / Instituto Nacional de Estándares y Tecnología – Marco de Ciberseguridad). Veremos las 6 funciones (incluida GOVERN – Gobernar), cómo usar el Core (Funciones–Categorías–Subcategorías), Perfiles (Current/Target/Community), Tiers (niveles de implementación) y las Quick Start Guides (QSG) con ejemplos prácticos y un checklist de adopción.

Guía práctica y actualizada de los CIS Critical Security Controls v8.1 del CIS (Center for Internet Security – Centro para la Seguridad de Internet). Veremos la estructura de 18 Controles y 153 Salvaguardas (Safeguards), los IG (Implementation Groups – Grupos de Implementación) IG1/IG2/IG3, la alineación con NIST CSF 2.0 (incluida la función Govern – Gobernar), y un plan de arranque para PyMEs y empresas mid‑market. Incluye dos ejemplos prácticos y un checklist accionable.

En esta lección definimos con precisión qué es un control en ciberseguridad y en control interno, por qué solo brinda seguridad razonable y cómo clasificarlo (preventivo, detectivo, correctivo; administrativo, físico y tecnológico; automático vs. manual; ITGC – IT General Controls / Controles Generales de TI vs. controles de aplicación). Veremos cómo escribir buenos enunciados de control, asignar dueños, probar su diseño y su operación, y medir su eficacia con KPI/KRI. Cerraremos con dos mini‑casos prácticos y un checklist.

Visión práctica y actualizada del GDPR (General Data Protection Regulation – Reglamento General de Protección de Datos): alcance, principios (art. 5), bases jurídicas (art. 6), roles (controlador/procesador y DPO – Data Protection Officer / Delegado de Protección de Datos, art. 37), derechos de las personas (arts. 15–22), privacidad por diseño (art. 25) y seguridad del tratamiento (art. 32), registros de actividades – ROPA (art. 30), DPIA – Data Protection Impact Assessment / Evaluación de Impacto (art. 35), notificación de brechas en 72 h (arts. 33–34), transferencias internacionales (arts. 44–49) y sanciones (art. 83). Incluye 2 casos prácticos y un checklist accionable.

Guía práctica y actualizada de HIPAA (Health Insurance Portability and Accountability Act – Ley de Portabilidad y Responsabilidad del Seguro de Salud): a quién aplica (entidades cubiertas y asociados de negocio), qué protege (PHI – Protected Health Information / Información de Salud Protegida y ePHI – PHI electrónica), las reglas clave (Privacy Rule, Security Rule, Breach Notification Rule), contratos BAA – Business Associate Agreement, sanciones y tendencias 2024–2025. Incluye 2 casos prácticos y un checklist accionable.

Panorama claro y accionable del DORA (Digital Operational Resilience Act – Reglamento de Resiliencia Operativa Digital) aplicable desde 17‑ene‑2025 a entidades financieras de la UE/EEE y a sus proveedores TIC críticos. Veremos alcance, pilares (gestión de riesgo TIC, incidentes y reporte, TLPT – Threat‑Led Penetration Testing / Pruebas de intrusión guiadas por amenazas, terceros TIC, intercambio de información), actos técnicos (RTS/ITS – Regulatory/Implementing Technical Standards), y un plan de 90 días. Incluye 2 casos prácticos y preguntas.

Clase práctica centrada en cómo implementar PCI DSS 4.0 (Payment Card Industry Data Security Standard – Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago) en una empresa ficticia de comercio electrónico llamada E‑Shopia. Veremos paso a paso cómo: definir el alcance del CDE (Cardholder Data Environment – Entorno de Datos del Tarjetahabiente), realizar un análisis de brechas, construir un plan de proyecto y usar una plantilla Excel descargable como herramienta de trabajo.

En esta clase llevamos ISO/IEC 27001 a la práctica construyendo un SGSI (Sistema de Gestión de Seguridad de la Información) de principio a fin en una empresa ficticia llamada CertiCloud. Veremos cómo definir el alcance, entender el contexto y las partes interesadas, hacer un análisis de riesgos, preparar una SoA (Statement of Applicability – Declaración de Aplicabilidad) y diseñar un plan de proyecto para implantar o certificar el SGSI. Todo se apoya en una plantilla Excel descargable que podrás adaptar a tu propia organización.

Clase práctica para aprender a aplicar NIST CSF 2.0 (Cybersecurity Framework 2.0 – Marco de Ciberseguridad) en una empresa ficticia de servicios financieros llamada FinSure. Veremos cómo definir el alcance, construir un perfil actual, un perfil objetivo, evaluar Tiers (niveles de implementación) y armar un plan de mejora usando una plantilla Excel descargable.

Clase práctica enfocada en cómo aplicar CIS Controls v8.1 (CIS Critical Security Controls Version 8.1 – Controles Críticos de Seguridad del Center for Internet Security) en una fintech ficticia llamada FinSure. Veremos cómo definir el alcance, priorizar los controles y salvaguardas, usar las Implementation Groups (IG – Grupos de Implementación) y construir un plan de mejora utilizando una plantilla Excel descargable.

En esta clase llevamos el GDPR (General Data Protection Regulation – Reglamento General de Protección de Datos) a la práctica dentro de una empresa ficticia llamada Comercial Global S.A.. Veremos cómo construir un registro de actividades de tratamiento, un inventario de categorías de datos y bases legales, un esquema de gestión de derechos de los interesados, una DPIA (Data Protection Impact Assessment – Evaluación de Impacto en la Protección de Datos) simplificada y un plan de acciones de cumplimiento, usando una plantilla Excel descargable.

En esta clase vamos a aterrizar la HIPAA (Health Insurance Portability and Accountability Act – Ley de Portabilidad y Responsabilidad de Seguros de Salud de EE. UU.) a la realidad del día a día en organizaciones de salud y proveedores tecnológicos. Veremos qué es HIPAA, quién debe cumplirla, qué se considera información de salud protegida (PHI – Protected Health Information), las reglas clave (Privacy Rule, Security Rule y Breach Notification Rule) y ejemplos prácticos de controles técnicos y organizativos. Terminaremos con un mini-caso de incidente de seguridad y las consecuencias de incumplimiento.

En esta clase explicamos de forma clara y aplicada la normativa DORA (Digital Operational Resilience Act – Reglamento de Resiliencia Operativa Digital), que aplica a entidades financieras de la Unión Europea y a determinados proveedores de servicios tecnológicos. Veremos qué es DORA, a quién aplica, sus pilares principales (gestión de riesgos TIC, incidentes, pruebas de resiliencia, terceros tecnológicos y compartición de información) y qué pasos prácticos deben dar las organizaciones para prepararse.

En esta clase llevamos el “alcance y controles” de seguridad de la información a la práctica con un enfoque aplicable a cualquier organización. Construirás un mapa de 12 dominios que sirven para implementar, evaluar o auditar un programa de seguridad: IAM (Identity and Access Management – Gestión de Identidad y Acceso) con ciclo de vida de cuentas, MFA (Multi-Factor Authentication – Autenticación Multifactora) y RBAC (Role-Based Access Control – Control Basado en Roles); integridad y protección de datos (clasificación, cifrado en tránsito/en reposo y prevención de fuga); gestión de red (segmentación, mínimo privilegio y monitoreo); seguridad de endpoints con EDR (Endpoint Detection and Response – Detección y Respuesta en Endpoints), firewalls y IDS/IPS (Intrusion Detection/Prevention System – Detección/Prevención de Intrusiones); inventario y configuración con CMDB (Configuration Management Database – Base de Datos de Configuración); SDLC (Software Development Life Cycle – Ciclo de Vida de Desarrollo de Software) seguro; gestión de cambios y parches; gestión de vulnerabilidades priorizada con CVSS (Common Vulnerability Scoring System – Sistema Común de Puntuación de Vulnerabilidades); respuesta a incidentes apoyada en SIEM (Security Information and Event Management – Gestión de Eventos e Información de Seguridad); continuidad del negocio con BCP/DRP (Business Continuity/Disaster Recovery Plan – Plan de Continuidad/Recuperación de Desastres) y objetivos RTO/RPO (Recovery Time/Point Objectives – Objetivos de Tiempo/Punto de Recuperación); gestión de terceros; políticas y gobernanza de riesgo y cumplimiento con SoA (Statement of Applicability – Declaración de Aplicabilidad), KRI/KPI (Key Risk/Performance Indicators – Indicadores Clave de Riesgo/Desempeño).

Trabajarás con listas de verificación, preguntas de auditoría rápida y heurísticas de priorización por riesgo para salir con un diagnóstico inicial y un primer plan de acción. Todo el contenido y los ejemplos son originales y creados específicamente para esta clase.

En esta clase llevamos IAM (Identity and Access Management – Gestión de Identidad y Acceso) a la práctica para construir un control integral de accesos que reduzca riesgo y acelere el negocio. Comenzamos con los principios AAA (Authentication, Authorization, Accounting – Autenticación, Autorización y Registro) y el ciclo de vida de identidades: alta, cambio y baja. Definimos fuentes de autoridad (por ejemplo, Recursos Humanos) y sincronización de atributos para identidades humanas y no humanas (cuentas de servicio, bots y API). Aprenderás a diseñar provisionamiento y desprovisionamiento automáticos mediante SCIM (System for Cross-domain Identity Management – Gestión de Identidades entre Dominios) con SLA claros para creación y baja inmediata, y a mantener un catálogo de aplicaciones y conectores.

Profundizamos en autenticación fuerte con MFA (Multi-Factor Authentication – Autenticación Multifactora), comparando factores (TOTP, push, biometría y llaves FIDO) y aplicando políticas adaptativas por riesgo para accesos remotos y privilegios elevados. Integramos SSO (Single Sign-On – Inicio de Sesión Único) con un IdP (Identity Provider – Proveedor de Identidad) y federación usando SAML (Security Assertion Markup Language) y OIDC (OpenID Connect), además de OAuth 2.0 para delegar autorizaciones de forma granular y segura.

En autorización revisamos RBAC (Role-Based Access Control – Control Basado en Roles) y ABAC (Attribute-Based Access Control – Control Basado en Atributos) para implementar mínimo privilegio con justificación de acceso auditable. Para privilegios elevados verás cómo operar PAM (Privileged Access Management – Gestión de Accesos Privilegiados) con JIT (Just-In-Time – Acceso Justo a Tiempo) y JEA (Just Enough Administration – Administración Mínima Necesaria), rotación de credenciales y grabación de sesiones. Abordamos SoD (Segregation of Duties – Segregación de Funciones), recertificaciones periódicas por dueños de proceso y manejo de excepciones temporales.

Todo queda respaldado con registros y auditoría integrados al SIEM (Security Information and Event Management – Gestión de Eventos e Información de Seguridad): altas, bajas, elevación de privilegios, fallos de autenticación y MFA. Construiremos un tablero con KPI/KRI (Key Performance Indicators/Key Risk Indicators – Indicadores Clave de Desempeño/Riesgo): cobertura de MFA, tiempo de baja desde el fin de la relación, accesos huérfanos y tiempos de aprobación. Completamos con controles administrativos (política de acceso, estándar de contraseñas, formación continua y requisitos para terceros), una checklist de adopción y un repaso de errores comunes (provisión manual, privilegios permanentes, ausencia de revisiones).

Como entregable, te llevas una plantilla Excel editable con inventario de identidades, matriz de roles y permisos, flujo de alta/baja y métricas IAM para que puedas aplicar de inmediato en tu organización o usar como evidencia en auditorías internas y externas.

En esta clase llevamos la integridad de datos a la práctica para que tus conjuntos de información sean confiables y auditables en todo su ciclo de vida: creación, captura, procesamiento, almacenamiento, intercambio y eliminación. Comenzamos con una definición operativa de integridad (exactitud, consistencia, completitud y vigencia) y la conectamos con la continuidad del negocio y el cumplimiento. Diseñamos políticas de retención y disposición de datos que incluyan clasificación, bases legales y métodos de borrado seguro. Implementamos controles criptográficos para proteger información sensible en tránsito (por ejemplo, TLS – Transport Layer Security) y en reposo (por ejemplo, AES – Advanced Encryption Standard) con gestión de llaves mediante KMS (Key Management Service – Servicio de Gestión de Claves) o HSM (Hardware Security Module – Módulo de Seguridad Hardware).

Aprenderás a verificar entradas provenientes de usuarios, archivos y API mediante validaciones de formato y rango; a usar sumas de verificación (hash) y firmas para detectar alteraciones; y a establecer controles de procesamiento que garanticen completitud y exactitud en integraciones aplicación–aplicación (conciliaciones, totales de control y cuarentena de datos dudosos). Profundizamos en controles de base de datos como llaves primarias, restricciones únicas, integridad referencial, transacciones con propiedades ACID (Atomicity, Consistency, Isolation, Durability – Atomicidad, Consistencia, Aislamiento, Durabilidad) y manejo de errores.

Cubrimos accesos lógicos y físicos a aplicaciones, bases de datos y centros de datos; instalación y mantenimiento de antimalware/EDR (Endpoint Detection and Response – Detección y Respuesta en Endpoints) en servidores y estaciones; y copias de seguridad con RPO/RTO (Recovery Point/Time Objectives – Objetivos de Punto/Tiempo de Recuperación) y pruebas de restauración periódicas. Integramos todo con registros (logs), métricas KPI/KRI (Key Performance/Risk Indicators – Indicadores Clave de Desempeño/Riesgo) y evidencias de auditoría. Como apoyo práctico te llevas una plantilla Excel con checklists de retención, cifrado, validación, accesos y respaldo para aplicar de inmediato.

En esta clase llevamos la gestión de redes a la práctica para diseñar, operar y auditar controles que mantengan confidencialidad, integridad y disponibilidad del tráfico y de los activos conectados. Revisaremos la arquitectura y los componentes clave (cables, switches, routers, gateways, puntos de acceso inalámbricos), y los principios de seguridad de red orientados a prevenir accesos no autorizados y intrusiones, proteger datos en tránsito con TLS (Transport Layer Security – Seguridad de la Capa de Transporte) o IPsec (Internet Protocol Security – Seguridad del Protocolo de Internet), y aplicar segmentación con VLAN (Virtual Local Area Network – Red de Área Local Virtual), DMZ (Demilitarized Zone – Zona Desmilitarizada) y microsegmentación. Verás cómo documentar y exigir políticas y procedimientos de red; controlar el acceso administrativo con AAA (Authentication, Authorization and Accounting – Autenticación, Autorización y Registro), RADIUS (Remote Authentication Dial-In User Service – Servicio de Autenticación) o TACACS+ (Terminal Access Controller Access-Control System Plus); y aplicar ACL (Access Control List – Lista de Control de Acceso) y NAC (Network Access Control – Control de Acceso a la Red) con 802.1X.

Profundizamos en seguridad perimetral y este/oeste con firewalls, WAF (Web Application Firewall – Firewall de Aplicaciones Web) y IDS/IPS (Intrusion Detection/Prevention System – Detección/Prevención de Intrusiones); visibilidad y monitoreo con syslog, NetFlow, SNMPv3 (Simple Network Management Protocol v3 – Protocolo Simple de Administración de Red v3) y correlación en SIEM (Security Information and Event Management – Gestión de Eventos e Información de Seguridad). Abordamos Wi-Fi seguro con WPA3 (Wi-Fi Protected Access 3), redes de invitados y segmentación dedicada. Integramos pruebas: pentesting de red, pruebas de reglas de firewall, y escaneos de vulnerabilidades periódicos. Completamos con respaldo de configuraciones, gestión de cambios, sincronización horaria NTP (Network Time Protocol – Protocolo de Tiempo de Red) y métricas KPI/KRI para evidenciar cumplimiento. Incluye una plantilla Excel descargable de checklist para que verifiques tu entorno.

Esta clase convierte la seguridad de endpoints en un conjunto de prácticas verificables para proteger computadoras, portátiles y dispositivos móviles frente a amenazas y vulnerabilidades. Empezamos con una visión de riesgos típicos (malware, phishing, ransomware y movimiento lateral) y los controles esenciales: EDR (Endpoint Detection and Response – Detección y Respuesta en Endpoints) para visibilidad y contención, antivirus/antimalware con firmas y motores actualizados, parcheo sistemático de SO (Sistema Operativo) y aplicaciones con SLA y anillos de despliegue, y firewall de endpoint correctamente configurado por perfil de red. Profundizamos en cifrado de disco completo (FDE – Full Disk Encryption), principio de mínimo privilegio, eliminación de administradores locales, control de dispositivos USB, control de aplicaciones (lista de permitidos) y UEM/MDM (Unified Endpoint Management/Mobile Device Management – Gestión Unificada/Movilidad) para móviles, incluyendo borrado remoto y políticas de cumplimiento. Verás cómo reunir evidencias para auditoría: informes de cobertura EDR, estado de antivirus, reportes de parches críticos, bitácoras de incidentes, configuración del firewall de host y métricas KPI/KRI (Key Performance Indicators/Key Risk Indicators – Indicadores Clave de Desempeño/Riesgo) como cobertura de EDR, cumplimiento de parches en ≤14 días, tiempo medio de resolución y cumplimiento de perfiles de firewall. La clase incluye checklists, preguntas de auditoría y una plantilla Excel descargable para aplicar de inmediato.

Esta clase aterriza firewalls e IDS/IPS en prácticas verificables para evaluar y mejorar su eficacia contra accesos no autorizados, amenazas y ciberataques. Construirás una metodología para comprobar que la configuración de los firewalls se alinea con políticas y mejores prácticas, que las reglas están documentadas, justificadas, con fecha de caducidad y son revisadas periódicamente; que existe un proceso de limpieza para eliminar reglas innecesarias o superpuestas; y que se generan alertas de seguridad que el SOC (Security Operations Center – Centro de Operaciones de Seguridad) analiza con SLA (Service Level Agreement – Acuerdo de Nivel de Servicio) definidos. Integraremos conceptos clave: NGFW (Next-Generation Firewall – Firewall de Nueva Generación), WAF (Web Application Firewall – Firewall de Aplicaciones Web), IDS (Intrusion Detection System – Sistema de Detección de Intrusiones), IPS (Intrusion Prevention System – Sistema de Prevención de Intrusiones), SIEM (Security Information and Event Management – Gestión de Eventos e Información de Seguridad), IOC (Indicators of Compromise – Indicadores de Compromiso), DMZ (Demilitarized Zone – Zona Desmilitarizada), ACL (Access Control List – Lista de Control de Acceso) y microsegmentación. Aprenderás a diseñar pruebas de reglas, simulaciones de IDS/IPS, y a instrumentar métricas KPI/KRI (Key Performance Indicators/Key Risk Indicators – Indicadores Clave de Desempeño/Riesgo): edad promedio de reglas, porcentaje de reglas sin uso en 90 días, tiempo de análisis de alertas, cobertura de envío syslog a SIEM, y porcentaje de tráfico cifrado. La clase incluye una checklist Excel descargable para que puedas evidenciar cumplimiento y madurez.

En esta clase convertimos la revisión del SDLC (Software Development Life Cycle – Ciclo de Vida de Desarrollo de Software) en un proceso auditable con evaluaciones, controles y puntos de control (gates) en cada fase: requisitos, diseño, construcción/código, pruebas, despliegue, operación y mantenimiento. Arrancamos definiendo requisitos de seguridad y cumplimiento trazables con el negocio, y validamos su alineación con políticas y estándares de la organización. En diseño incorporamos principios de diseño seguro, modelos de amenazas y revisión de diagramas de arquitectura. En construcción evaluamos prácticas de codificación segura, revisión por pares y controles automáticos en el pipeline: SAST (Static Application Security Testing – Pruebas Estáticas), SCA (Software Composition Analysis – Análisis de Composición de Software) y escaneo de secretos; en pruebas integramos DAST (Dynamic Application Security Testing – Pruebas Dinámicas), pentesting, evaluaciones de vulnerabilidades y hardening del entorno. Para despliegue y configuración revisamos IaC (Infrastructure as Code – Infraestructura como Código), gestión de secretos, cambios aprobados (CAB – Change Advisory Board) y plan de reversa. En operación y mantenimiento cubrimos monitoreo y logging centralizados en SIEM (Security Information and Event Management – Gestión de Eventos e Información de Seguridad), evaluaciones periódicas de seguridad, gestión de parches y pruebas de respuesta a incidentes. Saldrás con una checklist Excel descargable, ejemplos de evidencias y KPI/KRI (Key Performance/Risk Indicators – Indicadores Clave de Desempeño/Riesgo) para medir madurez: MTTD/MTTR, edad de vulnerabilidades, cobertura de pruebas y cumplimiento de gates.

En esta clase convertirás la gestión de inventario de activos en un sistema fiable y auditable para que todos los activos —hardware, software, datos, servicios en nube y elementos físicos— estén identificados, clasificados, protegidos y utilizados eficientemente a lo largo de su ciclo de vida. Revisaremos principios y prácticas de ITAM (IT Asset Management – Gestión de Activos de TI) incluyendo HAM (Hardware Asset Management – Gestión de Hardware) y SAM (Software Asset Management – Gestión de Software); uso de CMDB (Configuration Management Database – Base de Datos de Configuración); descubrimiento automático y reconciliación; etiquetado con QR (Quick Response – Código de Respuesta Rápida) o RFID (Radio-Frequency Identification – Identificación por Radiofrecuencia); clasificación y criticidad; propiedad y RACI (Responsible, Accountable, Consulted, Informed – Responsable, Aprobador, Consultado, Informado); controles de acceso y SoD (Segregation of Duties – Segregación de Funciones); seguridad física (accesos, CCTV, bitácoras y cadena de custodia); conteos cíclicos y auditorías; EOL/EOS (End of Life/End of Support – Fin de Vida/Fin de Soporte); y disposición segura con borrado según NIST 800-88 (National Institute of Standards and Technology – Instituto Nacional de Estándares y Tecnología). Te llevarás una checklist Excel para aplicar de inmediato y KPI/KRI (Key Performance/Risk Indicators – Indicadores Clave de Desempeño/Riesgo) para medir exactitud, activos huérfanos, recertificaciones de acceso y cumplimiento de inventario.

En esta clase convertimos Change Management (Gestión de Cambios) en un proceso seguro, trazable y auditable para que las modificaciones a infraestructura, sistemas, aplicaciones y procesos no afecten la estabilidad, seguridad ni funcionalidad del entorno. Verás cómo diseñar y operar una política y un procedimiento de cambios; clasificar tipos de cambio (Estándar, Normal y Emergencia); establecer un flujo de punta a punta con solicitud, evaluación de riesgo/impacto, aprobación por CAB (Change Advisory Board – Comité Asesor de Cambios) o ECAB (Emergency Change Advisory Board – Comité de Cambios de Emergencia), pruebas (QA – Quality Assurance – Aseguramiento de la Calidad, UAT – User Acceptance Testing – Pruebas de Aceptación de Usuario, y revisión de código), despliegue con plan de reversa (backout), verificación, PIR (Post Implementation Review – Revisión Posterior a la Implementación) y cierre. Aprenderás a evidenciar controles: registro de cambio, aprobaciones, resultados de pruebas, segregación de funciones – SoD (Segregation of Duties), ventanas de cambio, calendario, y a medir madurez con KPI/KRI (Key Performance/Risk Indicators – Indicadores Clave de Desempeño/Riesgo): CFR (Change Failure Rate – Tasa de Fallo de Cambios), % de cambios no autorizados, % de emergencias, lead time y MTTR (Mean Time To Repair – Tiempo Medio de Reparación). Incluye una plantilla Excel descargable.

En esta clase convertimos Patch Management (Gestión de Parches) en un proceso completo, seguro y auditable para mantener sistemas operativos, aplicaciones, firmware y servicios en nube actualizados, protegidos y eficientes. Diseñaremos un flujo end-to-end: identificación de parches mediante CVE (Common Vulnerabilities and Exposures – Vulnerabilidades y Exposiciones Comunes), evaluación de riesgo con CVSS (Common Vulnerability Scoring System – Sistema Común de Puntuación de Vulnerabilidades) y contexto del negocio, pruebas en laboratorio/QA, despliegue por anillos (piloto → controlado → producción) en ventanas aprobadas por CAB (Change Advisory Board – Comité Asesor de Cambios), verificación post-parche y documentación exhaustiva. Cubrimos parches de terceros, firmware en switches/routers/firewalls, y entornos de nube/contendedores (reconstrucción de imágenes base). Alineamos con UEM/MDM (Unified/Mobile Endpoint Management – Gestión Unificada/Móvil), MECM/SCCM (Microsoft Endpoint Configuration Manager/Systems Center Configuration Manager), repositorios Linux y herramientas de orquestación. Mostraremos cómo establecer SLA por severidad (crítico, alto, medio, bajo), gestionar excepciones con controles compensatorios, y generar evidencias: resultados de pruebas, calendarios, reportes de despliegue y bitácoras de incidentes. Finalizamos con KPI/KRI (Key Performance/Risk Indicators – Indicadores Clave de Desempeño/Riesgo): cumplimiento de críticos en ≤14 días, edad promedio de vulnerabilidades, tasa de éxito de despliegue y cambios no autorizados = 0. Incluye checklist Excel descargable para aplicar de inmediato.

En esta clase convertirás la Evaluación de Vulnerabilidades —VA (Vulnerability Assessment – Evaluación de Vulnerabilidades)— en un proceso práctico y auditable para detectar, priorizar y dar seguimiento a debilidades conocidas en redes cableadas/inalámbricas, hosts (servidores y estaciones de trabajo), aplicaciones web y bases de datos. Aprenderás a seleccionar y operar herramientas de escaneo, definir cobertura y frecuencias, ejecutar escaneos autenticados y no autenticados, y producir hallazgos accionables. Profundizamos en CVSS (Common Vulnerability Scoring System – Sistema Común de Puntuación de Vulnerabilidades), CVE (Common Vulnerabilities and Exposures – Vulnerabilidades y Exposiciones Comunes), KEV (Known Exploited Vulnerabilities – Vulnerabilidades Conocidas Explotadas), SLA (Service Level Agreement – Acuerdo de Nivel de Servicio) por severidad y TTR (Time To Remediate – Tiempo para Remediar). Integraremos el flujo con SIEM (Security Information and Event Management – Gestión de Eventos e Información de Seguridad), ITSM (Information Technology Service Management – Gestión de Servicios de TI) y gobernanza RACI (Responsible, Accountable, Consulted, Informed – Responsable, Aprobador, Consultado, Informado). Verás cómo manejar falsos positivos, cómo validar y remediar con reescaneo, y cómo documentar excepciones con controles compensatorios. Incluye checklist Excel descargable con plantillas de cobertura, registro de escaneos, priorización CVSS/KEV, remediación y métricas KPI/KRI (Key Performance Indicators/Key Risk Indicators – Indicadores Clave de Desempeño/Indicadores Clave de Riesgo).

En esta clase convertirás Incident Management (Gestión de Incidentes) en un proceso estructurado, medible y auditable dentro de ITSM (Information Technology Service Management – Gestión de Servicios de TI). Aprenderás a identificar incidentes por reportes de usuarios y por monitoreo/alertas, registrarlos en una herramienta de incidentes con datos completos, clasificarlos por categoría (hardware, software, red, servicio), priorizarlos por impacto y urgencia (P1–P4), asignarlos al equipo correcto, y escalar de forma funcional y jerárquica cuando sea necesario. Practicaremos cómo usar KEDB (Known Error DataBase – Base de Errores Conocidos), runbooks y workarounds para acelerar la restauración; cómo coordinar MIM (Major Incident Management – Gestión de Incidentes Mayores); y cómo comunicar estados a los interesados. Cerrarás incidentes con verificación, documentación de resolución, PIR (Post-Incident Review – Revisión Posterior al Incidente) y lecciones aprendidas para Problem Management. Medirás desempeño con MTTD (Mean Time To Detect – Tiempo Medio de Detección), MTTA (Mean Time To Acknowledge – Tiempo Medio de Reconocimiento), MTTR (Mean Time To Repair – Tiempo Medio de Reparación), cumplimiento de SLA (Service Level Agreement – Acuerdo de Nivel de Servicio) y backlog. Incluye checklist Excel descargable con registro, matriz de prioridad, SLA/SLO (Service Level Objective – Objetivo de Nivel de Servicio), escalamiento, KEDB, PIR y métricas.

En esta clase transformarás el BCP (Business Continuity Plan – Plan de Continuidad del Negocio) en un sistema operativo y auditable que permite a la organización seguir prestando servicios durante una crisis. Desglosamos conceptos y prácticas clave: BIA (Business Impact Analysis – Análisis de Impacto en el Negocio) para priorizar procesos críticos, DRP (Disaster Recovery Plan – Plan de Recuperación ante Desastres) para restaurar tecnología, RTO (Recovery Time Objective – Objetivo de Tiempo de Recuperación) y RPO (Recovery Point Objective – Objetivo de Punto de Recuperación) para definir objetivos medibles, y MTPD/MAO (Maximum Tolerable Period of Disruption/Maximum Acceptable Outage – Máximo Período Tolerable de Interrupción/Interrupción Máxima Aceptable) como límite de continuidad. Veremos estrategias (sitio alterno caliente/templado/frío, HA – High Availability – Alta Disponibilidad, trabajo manual temporal), respaldo y recuperación con pruebas de restore, y un esquema de pruebas de BCP/DRP (tabletop, simulacro técnico, failover, cutover) con frecuencias y evidencias. Aprenderás qué revisar en auditoría: BCP y DRP vigentes y probados en ≤ 12 meses, backups y pruebas de recuperación, BIA reciente, así como la gestión de hallazgos y la actualización del plan. Incluye checklist Excel descargable con glosario, BIA, RTO/RPO, calendario de pruebas, comunicación de crisis, RACI y evidencias.

En esta clase dominarás Policy Management (Gestión de Políticas) dentro de GRC (Governance, Risk and Compliance – Gobernanza, Riesgo y Cumplimiento) para crear, implementar, mantener y revisar políticas que gobiernan las operaciones y el cumplimiento normativo. Diseñaremos una arquitectura de políticas (Policy/Standard/Procedure/Guideline/Control), definiremos el ciclo de vida completo (propuesta, revisión, aprobación, comunicación, implementación, monitoreo, revisión periódica), y aprenderás a priorizar políticas por criticidad, relevancia e impacto. Mapearemos políticas a marcos regulatorios y estándares como ISO/IEC 27001 (International Organization for Standardization/International Electrotechnical Commission 27001 – Norma de Seguridad de la Información), NIST (National Institute of Standards and Technology – Instituto Nacional de Estándares y Tecnología), GDPR (General Data Protection Regulation – Reglamento General de Protección de Datos), PCI DSS (Payment Card Industry Data Security Standard – Estándar de Seguridad de Datos para Tarjeta de Pago) e HIPAA (Health Insurance Portability and Accountability Act – Ley de Portabilidad y Responsabilidad de Seguros de Salud), dejando evidencias en una SoA (Statement of Applicability – Declaración de Aplicabilidad), auditorías y métricas KPI/KRI (Key Performance/Risk Indicators – Indicadores Clave de Desempeño/Riesgo). Veremos validación de implementación (muestreos, auditoría de controles), gestión de excepciones con controles compensatorios, concienciación y acuses, y un RACI (Responsible, Accountable, Consulted, Informed – Responsable, Aprobador, Consultado, Informado) claro. Incluye un checklist Excel descargable para operar y auditar tu programa de políticas.

En esta clase se construye el vocabulario base de gestión de riesgos de tecnologías de la información (IT, Information Technology – Tecnología de la Información). Veremos qué son activo, vulnerabilidad, amenaza, actor de amenaza, análisis de amenazas, riesgo, evaluación de riesgos, probabilidad (likelihood) e impacto, y cómo ambos determinan el nivel de riesgo. Cerraremos con una matriz simple de riesgo para priorizar decisiones. Este glosario está alineado con buenas prácticas de ISO/IEC 27005 e NIST SP 800-30, y con el modelo CIA (Confidentiality, Integrity, Availability – Confidencialidad, Integridad, Disponibilidad) como objetivo de protección.

En esta lección identificamos de dónde surgen las vulnerabilidades en TI (IT, Information Technology – Tecnologías de la Información) y cómo reducir su impacto. Revisaremos errores de código y bugs, fallas de diseño en aplicaciones y SO (OS, Operating System – Sistema Operativo), software/firmware desactualizado, misconfiguraciones (valores por defecto, servicios innecesarios, contraseñas débiles, permisos incorrectos), factores humanos (phishing, manejo de datos), acceso físico, cadena de suministro (supply chain de hardware y software de terceros), y vulnerabilidades Zero-Day (día cero). Cerraremos con un enfoque multicapa de mitigación: gestión de parches (patch management), endurecimiento (hardening), cifrado (encryption), controles de acceso (MFA, Multi-Factor Authentication – Autenticación de Múltiples Factores), principio de mínimo privilegio (PoLP, Principle of Least Privilege – Principio de Menor Privilegio), segmentación de red, copias de seguridad, escaneo y gestión de vulnerabilidades (VM, Vulnerability Management – Gestión de Vulnerabilidades), auditorías, concientización y evaluaciones de riesgo (Risk Assessment – Evaluación de Riesgos). También tocaremos consideraciones de nube (cloud), IoT (Internet of Things – Internet de las Cosas) y BYOD (Bring Your Own Device – Trae tu propio dispositivo) para que puedas aplicarlo a entornos modernos.

Esta lección recorre, de forma práctica y ordenada, el proceso de gestión de riesgos en TI (IT, Information Technology – Tecnologías de la Información) y se enfoca en la identificación de riesgos y su documentación en el registro de riesgos (Risk Register – Registro de Riesgos). Veremos los pasos típicos: identificación de riesgos, evaluación/análisis, respuesta y mitigación, monitoreo de riesgos y controles, y reporte. Profundizaremos en cómo levantar inventarios de activos, recolectar inteligencia de amenazas (Threat Intelligence – Inteligencia de Amenazas), revisar procesos de negocio, verificar controles existentes, detectar vulnerabilidades con herramientas automatizadas, y colaborar entre ciberseguridad, TI, el negocio y gestión de riesgos. Cerraremos con la estructura mínima de un registro de riesgos (descripción, categoría, causas, consecuencias, controles existentes, propietario del riesgo (Risk Owner – Dueño del Riesgo), probabilidad y impacto, tratamiento y estado) y buenas prácticas de comunicación a stakeholders mediante tableros y presentaciones con KPI (Key Performance Indicator – Indicador Clave de Desempeño) y KRI (Key Risk Indicator – Indicador Clave de Riesgo).

En esta lección dominamos la evaluación de riesgos (Risk Assessment – Evaluación de Riesgos) dentro de TI/IT (Information Technology – Tecnologías de la Información). Veremos cómo identificar, analizar y priorizar riesgos a partir de amenazas, vulnerabilidades e impacto; las tres preguntas clave: ¿qué puede salir mal?, ¿con qué probabilidad (Likelihood – Probabilidad) ocurrirá? y ¿cuál sería el impacto (Impact – Impacto)?. Exploraremos métodos de identificación: revisión de incidentes históricos, auditorías internas/externas, medios y reportes públicos, tormenta de ideas (brainstorming) con stakeholders, análisis SWOT (Strengths, Weaknesses, Opportunities, Threats – Fortalezas, Debilidades, Oportunidades, Amenazas), uso de herramientas (escáneres de vulnerabilidades, analítica de datos y marcos/metodologías de evaluación), y bibliotecas o registros de riesgo (Risk Register – Registro de Riesgos). Cerraremos con factores previos a valorar: criticidad del sistema/proceso, dependencias, controles existentes, procedimientos y gestión operativa, y competencia de los usuarios. Todo orientado a tomar decisiones de tratamiento del riesgo y priorización.

En esta clase aprenderás a realizar una evaluación cualitativa del riesgo basada en escenarios y consenso con stakeholders (partes interesadas). Veremos cómo formular escenarios realistas, facilitar sesiones para eliminar supuestos poco probables, y calificar Probabilidad (Likelihood – Probabilidad) e Impacto (Impact – Impacto) con escalas descriptivas: desde Raro (Rare – Raro) hasta Frecuente (Frequent – Frecuente) y desde Insignificante (Insignificant – Insignificante) hasta Catastrófico (Catastrophic – Catastrófico). Usaremos rangos cualitativos (p. ej., Bajo/Medio/Alto – Low/Medium/High), o escalas 1–5 para capturar frecuencia e impacto, y combinaremos ambos en una matriz cualitativa de riesgo para priorizar. Además, te doy un guion de facilitación, criterios para calibrar las escalas, técnicas para reducir sesgos y un ejemplo completo para tu registro de riesgos (Risk Register – Registro de Riesgos).

En esta lección aprenderás a visualizar y priorizar riesgos usando una Matriz de Riesgo (Risk Matrix – Matriz de Riesgo). Veremos cómo cruzar Probabilidad (Likelihood – Probabilidad) e Impacto (Impact – Impacto) para asignar niveles de riesgo (Bajo/Medio/Alto) con codificación por color (verde/amarillo/rojo). Construiremos una escala cualitativa 1–5 para Probabilidad (Raro, Posible, Probable, A menudo, Frecuente) e Impacto (Insignificante, Menor, Moderado, Mayor, Catastrófico), y definiremos reglas de decisión coherentes. También compararemos dos enfoques de calificación: (A) Mapeo cualitativo predefinido y (B) Cálculo numérico (L×I) con umbrales documentados. Cierra con buenas prácticas para adaptar la matriz al contexto del negocio, evitar subjetividad excesiva y mantener trazabilidad en el Registro de Riesgos (Risk Register – Registro de Riesgos).

En esta lección aprenderás a aplicar la evaluación cuantitativa del riesgo (Quantitative Risk Assessment – Evaluación Cuantitativa del Riesgo) usando datos numéricos y valores monetarios para estimar pérdidas esperadas. Veremos las variables clave y sus siglas con sus significados completos: AV (Asset Value – Valor del Activo), EF (Exposure Factor – Factor de Exposición), SLE (Single Loss Expectancy – Pérdida por Evento Único), ARO (Annualized Rate of Occurrence – Tasa Anualizada de Ocurrencia) y ALE (Annualized Loss Expectancy – Pérdida Anual Esperada). Practicaremos métodos para valorar activos (costo original, valor depreciado, costo de reemplazo), y ejecutaremos un ejemplo paso a paso (inundación en un centro de datos) con multiplicaciones y divisiones simples. También daremos pautas para elegir los números (la parte realmente difícil), usar fuentes de datos (mapas de riesgo, históricos, auditorías, seguros) y documentar supuestos en el Registro de Riesgos (Risk Register – Registro de Riesgos).

En esta lección aprenderás cuándo conviene aplicar una evaluación cualitativa del riesgo (Qualitative Risk Assessment – Evaluación Cualitativa del Riesgo) y cuándo una evaluación cuantitativa del riesgo (Quantitative Risk Assessment – Evaluación Cuantitativa del Riesgo). Veremos cómo la evaluación cualitativa apoya las etapas iniciales del proyecto, cuando faltan datos o se requiere priorizar rápidamente usando matrices de riesgo y escenarios; y cómo la evaluación cuantitativa aporta números, probabilidades e impactos monetarios para comparar opciones, ejecutar ACB/CBA (Cost-Benefit Analysis – Análisis Costo-Beneficio), calcular ROI (Return on Investment – Retorno de la Inversión) y justificar decisiones. Integraremos ambas en un enfoque híbrido, típico en organizaciones maduras: comenzar con cualitativa para filtrar y luego profundizar con cuantitativa en riesgos prioritarios con datos disponibles. Incluye pautas de comunicación con stakeholders (partes interesadas), selección de método por contexto, y un minidiagrama de decisión.

En esta lección aprenderás a tomar decisiones de tratamiento del riesgo dentro de TI/IT (Information Technology – Tecnologías de la Información) a partir de la identificación y evaluación previas. Revisaremos las cuatro estrategias: aceptación (Risk Acceptance – Aceptación de Riesgo), mitigación (Risk Mitigation – Mitigación de Riesgo), transferencia (Risk Transfer – Transferencia de Riesgo) y evitación (Risk Avoidance – Evitación de Riesgo). Veremos cómo equilibrar presupuesto, tiempo, expectativas de clientes y recursos con el apetito de riesgo (Risk Appetite – Apetito de Riesgo) y la tolerancia al riesgo (Risk Tolerance – Tolerancia al Riesgo); cómo documentar un Plan de Tratamiento del Riesgo (RTP, Risk Treatment Plan – Plan de Tratamiento del Riesgo); la noción de riesgo residual (Residual Risk – Riesgo Residual) y el principio ALARP (As Low As Reasonably Practicable – Tan Bajo Como Razonablemente Práctico). Incluye ejemplos prácticos (controles preventivos/detectivos/correctivos), consideraciones de seguros y terceros, y pautas de monitoreo y revisión.

En esta lección aprenderás a diseñar y presentar reportes de riesgo de TI (IT, Information Technology – Tecnologías de la Información) que impulsen decisiones informadas. Veremos cómo comunicar el estado del riesgo, resultados de evaluación y mitigación, cambios de nivel, efectividad de controles, incidentes y hallazgos de cumplimiento, con soporte de métricas como KPI (Key Performance Indicator – Indicador Clave de Desempeño) y KRI (Key Risk Indicator – Indicador Clave de Riesgo). Integraremos GRC (Governance, Risk and Compliance – Gobernanza, Riesgo y Cumplimiento), tableros RAG (Red–Amber–Green – Rojo–Ámbar–Verde), mapas de calor, tendencias, OKR (Objectives and Key Results – Objetivos y Resultados Clave), y el avance del RTP (Risk Treatment Plan – Plan de Tratamiento del Riesgo). Cubriremos tipos de reporte (operativo, táctico, ejecutivo), estructura recomendada, buenas prácticas de visualización y engagement con stakeholders para asegurar alineación y mejora continua.

En esta lección aprenderás a monitorear y dar seguimiento a los riesgos en TI/IT (Information Technology – Tecnologías de la Información) para ajustar a tiempo las estrategias de gestión. Revisaremos cambios del contexto (tecnología, amenazas emergentes, regulaciones), evaluaciones periódicas de riesgo (Periodic Risk Assessment – Evaluación Periódica del Riesgo), monitoreo de incidentes y la eficacia de controles. Integraremos herramientas y prácticas como SIEM (Security Information and Event Management – Gestión de Eventos e Información de Seguridad), SOAR (Security Orchestration, Automation and Response – Orquestación, Automatización y Respuesta de Seguridad), CCM (Continuous Control Monitoring – Monitoreo Continuo de Controles), tableros con KPI (Key Performance Indicator – Indicador Clave de Desempeño) y KRI (Key Risk Indicator – Indicador Clave de Riesgo), y gobierno con GRC (Governance, Risk and Compliance – Gobernanza, Riesgo y Cumplimiento). Verás cómo detectar desviaciones, actualizar el Registro de Riesgos (Risk Register – Registro de Riesgos), activar procedimientos de respuesta a incidentes (IRP, Incident Response Plan – Plan de Respuesta a Incidentes), y demostrar cumplimiento continuo.

En esta lección abordamos la Gestión de Riesgo de Terceros, también llamada TPRM (Third-Party Risk Management – Gestión de Riesgo de Terceros), gestión de proveedores o gestión de cadena de suministro. Aprenderás a evaluar, clasificar, incorporar (onboarding), monitorear y dar de baja (offboarding) a proveedores, contratistas, outsourcers y socios que acceden a TI/IT (Information Technology – Tecnologías de la Información), procesan datos o impactan operaciones. Cubriremos categorías de riesgo: ciberseguridad, privacidad de datos, financiero, operacional, cumplimiento y reputacional. Veremos técnicas de evaluación (cuestionarios estandarizados, auditorías, informes de terceros, monitoreo continuo), conceptos clave (riesgo inherente vs. residual, apetito/tolerancia), y artefactos como SLA (Service Level Agreement – Acuerdo de Nivel de Servicio), DPA (Data Processing Agreement – Acuerdo de Tratamiento de Datos), SOC (Service Organization Control – Reporte de Control de Organización de Servicios), SIG (Standardized Information Gathering – Cuestionario Estandarizado de Información) y CAIQ (Consensus Assessments Initiative Questionnaire – Cuestionario de Iniciativa de Evaluaciones de Consenso). Cerraremos con un flujo TPRM punta a punta y ejemplos de decisiones (aceptar, mitigar, transferir o evitar trabajar con el tercero).