Saltar a contenido

Nota Metodológica

El contenido de esta obra no es una recopilación de buenas prácticas, sino un Sistema de Soporte a la Decisión (DSS) estructurado bajo un enfoque de Ingeniería de Resiliencia y Gobernanza de Riesgos (GRC). El objetivo primordial es reducir la ambigüedad en la toma de decisiones estratégicas y asegurar la supervivencia institucional mediante los siguientes pilares:

1. Marco de Gobernanza Centralizado (NIST CSF 2.0)

El desarrollo de este manual se articula en torno a la función GOVERN (Gobernar) del NIST Cybersecurity Framework 2.0. No utilizamos los marcos de referencia como simples listas de verificación, sino como el motor de generación de evidencia de control y rendición de cuentas, alineado con los estándares operativos ISO/IEC 27001:2022.

2. Filosofía de Verificación Continua (Zero Trust)

Adoptamos el principio de "Asumir la Brecha" (Assume Breach) no como una derrota técnica, sino como un axioma de diseño. La arquitectura propuesta elimina la "Confianza Implícita" en favor de la verificación continua de identidad y contexto, priorizando la microsegmentación como herramienta de control del radio de pérdida, reduciendo la exposición financiera ante un compromiso.

3. Alineación Normativa y Licencia para Operar (Ley 21.663)

La metodología integra los deberes de dirección y notificación exigidos por la Ley Marco de Ciberseguridad de Chile. El enfoque busca que la organización sea auditable y defendible ante el escrutinio adversarial de la ANCI sobre la suficiencia del sistema de gobierno, transformando el cumplimiento normativo en un activo de protección patrimonial para la alta dirección.

4. Cuantificación y Reducción del Ruido (FAIR / Kahneman)

Para reducir el Ruido de Juicio inherente a las valoraciones cualitativas, utilizamos una adaptación de la metodología FAIR (Factor Analysis of Information Risk). Traducimos las amenazas técnicas en Exposición Financiera Anualizada (ALE), forzando al Sistema 2 (pensamiento analítico) a tomar decisiones basadas en datos económicos y no en intuiciones o sesgos cognitivos.

5. Ejecutables de Gobernanza Operativa

Los anexos (IRP, DRP, BCP) han sido diseñados como ejecutables de gobernanza. La recuperación tecnológica está supeditada a las prioridades críticas del negocio definidas mediante el Análisis de Impacto al Negocio (BIA), asegurando que el esfuerzo técnico sea un servidor de la continuidad institucional y sus obligaciones legales.

Este manual es un sistema de gestión vivo. Cada incidente detectado y cada fallo en los ejercicios de respuesta se integra como un insumo crítico para la recalibración del modelo, operando bajo un ciclo de mejora continua que fortalece la postura de resiliencia institucional.