Historial de Versiones (Changelog)

Todos los cambios notables en este proyecto serán documentadas en este archivo. El formato está basado en Keep a Changelog y este proyecto adhiere a la numeración de versiones semántica.

Este documento registra todas las modificaciones estructurales, técnicas y conceptuales realizadas en el libro "Ciberseguridad Orientada a Resultados: Arquitectura de Resiliencia y Gobernanza para la Tríada Estratégica".

---

[1.3.0] - 2026-01-15

Consolidación Normativa y Doctrina de Supervivencia

Esta versión actualiza la obra para alinearla estrictamente con la entrada en vigencia de la Ley Marco de Ciberseguridad (Ley 21.663) y las nuevas exigencias de la ANCI. Se incorporan protocolos de decisión extrema y controles de higiene digital obligatorios.

Nuevas Capacidades (Anexos Agregados)

• Anexo O (Nuevo): La Brújula Operativa de la Ley 21.663.
  • Traducción táctica de la ley para la Gerencia: Diferenciación entre Servicios Esenciales (SE) y Operadores de Importancia Vital (OIV).
  • Mapa de multas (hasta 40.000 UTM) y facultades de la nueva Agencia Nacional de Ciberseguridad (ANCI).
• Anexo N (Nuevo): La Línea Base de Higiene Digital.
  • Definición de controles de debida diligencia pública (Security.txt, DMARC, HSTS) e interna (MFA, Backups Inmutables).

Refinamiento Doctrinal y Legal

• Anexo G (Estructura CSIRT): Inclusión del Protocolo de Decisión Extrema (Ransomware).
  • Doctrina de "No Pago" como estándar, con excepciones reguladas bajo "Estado de Necesidad".
  • Matriz de Supervivencia (Vidas Humanas vs. Quiebra Financiera).
• Anexo L (Cumplimiento Normativo): Blindaje de roles.
  • Distinción mandatoria entre CISO (Implementador) y DPO (Auditor) para evitar conflictos de interés.
  • Inclusión del deber de "Reporte Preventivo de Vulnerabilidades".
• Anexo M (Entrenamiento): Elevación de los simulacros.
  • Los Tabletop Exercises con el Directorio pasan de ser "buenas prácticas" a "evidencia de cumplimiento legal".

Ajustes Operativos

• Capítulo 9 (Comunicación): Inserción de la tabla "Cronómetro Legal", ajustando los tiempos de notificación de incidentes (3 horas para Alerta Temprana) al estándar más estricto de la ANCI.
• Índice General: Reestructuración de la sección de Anexos para incluir las nuevas referencias (N y O) bajo la categoría "Cultura y Legal".

---

[1.2.0] - 2026-01-11

Refinamiento Doctrinal y Nueva Identidad

Esta versión consolida la identidad final de la obra, pasando de un enfoque "técnico-consultivo" a una postura "doctrinal y ejecutiva". Se endurece el tono normativo y se definen los límites éticos del modelo.

Cambios de Identidad

• Rebranding: Cambio del subtítulo oficial a "Arquitectura, Riesgo y Supervivencia Institucional" para alinear la promesa de valor con la Tríada Estratégica (Ingeniero, CISO, Directorio).
• Filtro de Entrada: Inclusión de "Contraindicaciones" en la Nota al Lector. Se define explícitamente cuándo NO aplicar este libro (entornos de riesgo retórico o búsqueda de culpables).

Doctrina y Conceptos (Nuevos)

• Capítulo 12 (Antifragilidad): Incorporación formal de la Tríada de Taleb (Frágil / Resiliente / Antifrágil) y definición de IA Agéntica bajo el concepto de "Autoridad Delegada" y "Soberanía del Criterio".
• Epílogo (El Borde del Mapa): Nueva sección de cierre que reconoce los límites de la escritura técnica frente a la decisión ética humana ("El resto no es escribible"). Redefinición de los roles bajo el concepto de "Cadena de Responsabilidad".

Ajustes Operativos y Legales

• Capítulo 9 (Comunicación): Inserción de la tabla "Cronómetro Legal", definiendo tiempos máximos de silencio (ventanas de notificación) bajo la Ley 21.663.
• Anexo D (Reporting): Integración obligatoria de la métrica ALE (Annual Loss Expectancy) en los Flash Reports ejecutivos.
• Anexo G (Protocolo de Decisión Extrema): Incorporación del marco doctrinal para la gestión de Ransomware.
  • Matriz de Supervivencia: Herramienta de decisión binaria para evaluar el pago de rescates basada estrictamente en Vidas Humanas, Viabilidad Financiera (Quiebra inminente) y Legalidad.
  • Doctrina de Pago: Redefinición del pago de rescate como una "Excepción Soberana bajo Estado de Necesidad", eliminando la ambigüedad moral y separando explícitamente la "Voz Técnica" (CISO) del "Voto Soberano" (Directorio).

---

[1.1.0] - 2026-01-04

Consolidación Legal, Cultural y Metodológica

Esta actualización cierra el ciclo de gobernanza integrando los pilares de Cultura (Anti-patrones) y Cumplimiento Legal (Riesgo de Terceros), además de refinar los estándares de referencia.

Añadido (Nuevas Herramientas GRC)

• Anexo K (Cultura): "Patrones de Fracaso". Guía de anti-patrones y autoevaluación de fragilidad organizacional para detectar "malas prácticas" institucionalizadas.
• Anexo L (Legal): "Cumplimiento Normativo y Riesgo de Terceros". Hoja de ruta para la Ley 21.663 y gestión de proveedores (TPRM), incluyendo cláusulas contractuales obligatorias.
• Anexo M (Entrenamiento): "Protocolo de Entrenamiento y Simulación". Estrategias de ingeniería del factor humano para transformar al usuario en un "Human Firewall", integrando simulaciones de ingeniería social y métricas de comportamiento.

Metodología

• Revisión Adversarial: Se formalizó el uso de ChatGPT actuando como "Sparring Partner" (Revisor Crítico) para desafiar la lógica, detectar sesgos y validar la solidez doctrinal de los textos elaborados.

Actualizado

• Bibliografía: Se incorporó explícitamente la norma ISO/IEC 27001:2022 como marco rector del SGSI y NIST SP 800-161 para la gestión de cadena de suministro.
• Glosario Unificado: Expansión de términos clave de resiliencia y legalidad como Air-Gap, Clean Room, MTPD y Responsabilidad Solidaria.
• Estrategia DRP (Anexo I): Actualización del estándar de respaldo a la Regla 3-2-1-1-0 (Inmutabilidad y verificación de cero errores).

---

[1.0.0] - 2026-01-03

Lanzamiento Oficial: "Ciberseguridad Orientada a Resultados"

Esta versión marca la culminación del desarrollo inicial del manual y la liberación del ecosistema completo de herramientas para el Vigilante Estratégico.

Añadido (Contenido Estratégico)

• Cuerpo Principal: Liberación de los 13 capítulos que cubren desde la matemática del riesgo financiero (ALE/ROI) hasta la ciberseguridad agéntica e IA adversaria.
• Bloque de Introducción: Inclusión de Prólogo Ejecutivo, Nota al Lector, Nota Metodológica e Ideas Centrales.
• Cierre: Inclusión del Epílogo enfocado en la dimensión humana y ética del CISO moderno.

Añadido (Biblioteca de Anexos)

• Gestión de Crisis: Publicación de planes operativos de respuesta y recuperación (IRP, DRP, BCP) y estructura del equipo CSIRT.
• Inteligencia y Control: Liberación de guías de reporting ejecutivo, gestión de vulnerabilidades (CVE/KEV) y checklist de madurez Zero Trust.
• Gobernanza: Inclusión de la Matriz RACI para la asignación de responsabilidades entre el Directorio y la Ingeniería.

Añadido (Estructura Técnica)

• MkDocs: Configuración completa del archivo mkdocs.yml utilizando el tema Material, optimizado para lectura en dispositivos móviles y modo oscuro.
• Glosario: Unificación de términos técnicos y de negocio para facilitar la comunicación entre áreas.

---

Nota: Este es un documento vivo. Las actualizaciones futuras se centrarán en la integración de nuevas normativas de la ANCI y la evolución de los Playbooks de IA agéntica.