Saltar a contenido

Bibliografía Fundamental

(Lecturas Clave para el Arquitecto de Resiliencia)

Introducción: Las Fuentes del Criterio

Este anexo no es una lista exhaustiva, sino un conjunto curado de fuentes primarias. Su objetivo es proporcionar al Vigilante Estratégico la base teórica, técnica y legal sobre la cual se construye el criterio de esta obra.

Prólogo: Pensamiento y Estrategia

  • Kahneman, D. (2011). "Thinking, Fast and Slow". Farrar, Straus and Giroux. [Ver Libro]
    • Por qué leerlo: Explica la dicotomía entre el Sistema 1 (reacción) y el Sistema 2 (análisis), fundamental para entender por qué la intuición falla en la gestión de crisis.
  • Gibson, W. (1984). "Neuromancer". Ace Books. [Ver Libro]
    • Por qué leerlo: La referencia cultural que dio origen al concepto de "Ciberespacio" y a la visión de la red como un territorio soberano en disputa.
  • Stoll, C. (1989). "The Cuckoo's Egg: Tracking a Spy Through the Maze of Computer Espionage". Doubleday. [Ver Libro]
    • Por qué leerlo: La historia real fundacional de la forense digital. Ilustra la tenacidad necesaria para el "Hunting" descrito en el Anexo G.

Bloque 1: Fundamentos y Gestión del Riesgo (Capítulos 1-3)

  • Hubbard, D. W., & Seiersen, R. (2023). "How to Measure Anything in Cybersecurity Risk". Wiley. [Ver Libro]
    • Por qué leerlo: Texto base del Capítulo 02. Enseña a cuantificar el riesgo en términos de probabilidad e impacto financiero (ALE), eliminando las matrices cualitativas.
  • ISO/IEC. (2022). "Information security, cybersecurity and privacy protection — Information security management systems — Requirements (ISO/IEC 27001:2022)". [Sitio Oficial ISO]
    • Por qué leerlo: La norma rectora global para el Sistema de Gestión (SGSI). Esta versión 2022 integra explícitamente la Ciberseguridad y la Privacidad, alineándose directamente con los requisitos de la Ley 21.663.
  • Kahneman, D., Sibony, O., & Sunstein, C. R. (2021). "Noise: A Flaw in Human Judgment". Little, Brown and Company. [Ver Libro]
    • Por qué leerlo: Crucial para entender el concepto de Ruido de Juicio citado en los capítulos 2, 9 y 11. Explica cómo reducir la variabilidad en la toma de decisiones estratégicas.
  • Gobierno de Chile. (2024). "Ley N° 21.663 Ley Marco de Ciberseguridad". [Biblioteca del Congreso Nacional]
    • Por qué leerlo: Marco legal vigente que establece las obligaciones de debida diligencia y las facultades de la ANCI en Chile.
  • Bernstein, P. L. (1996). "Against the Gods: The Remarkable Story of Risk". Wiley. [Ver Libro]
    • Por qué leerlo: Provee el contexto histórico sobre cómo la humanidad pasó de la superstición a la gestión del riesgo mediante la probabilidad.
  • NIST. (2024). "Cybersecurity Framework (CSF) 2.0". [NIST Resource Center]
    • Por qué leerlo: El estándar global que introduce la función GOVERN, elevando la ciberseguridad al nivel del Directorio.
  • Akerlof, G. A. (1970). "The Market for 'Lemons': Quality Uncertainty and the Market Mechanism". The Quarterly Journal of Economics. [Paper en JSTOR]
    • Por qué leerlo:] La base académica de la Asimetría de Información mencionada en el Capítulo 01. Explica matemáticamente por qué el Directorio devalúa la seguridad cuando no puede distinguir la calidad de la gestión.
  • FIRST. (2023). "Exploit Prediction Scoring System (EPSS) User Guide". [Sitio Oficial FIRST]
    • Por qué leerlo: Referencia técnica para el Capítulo 02. Documenta el modelo estadístico que permite predecir la probabilidad de explotación futura, superando el enfoque estático del CVSS.

Bloque 2: Arquitectura y Prevención (Capítulos 4-6)

  • Gilman, E., & Barth, D. (2017). "Zero Trust Networks". O'Reilly Media. [O'Reilly]
    • Por qué leerlo: Define la arquitectura de "Confianza Cero" y la estrategia de Asumir la Brecha analizada en el Capítulo 04 y Anexo C.
  • Kim, G., Behr, K., & Spafford, G. (2013). "The Phoenix Project". IT Revolution Press. [IT Revolution]
    • Por qué leerlo: Clave para el Capítulo 01 y Anexo K. Ilustra cómo integrar la seguridad en el flujo de valor del negocio mediante la agilidad y la visibilidad operativa.
  • Gobierno de Chile. (1999). "Ley N° 19.628 sobre protección de la vida privada". [Biblioteca del Congreso Nacional]
    • Por qué leerlo: Referencia obligatoria para la gestión de datos sensibles y las políticas de DLP discutidas en el Capítulo 06.
  • Shirow, M. (1989). "The Ghost in the Shell". Kodansha. [Kodansha US]
    • Por qué leerlo: Referencia para el Capítulo 05 sobre Identidad. Plantea la visión de la identidad digital como el único ancla de soberanía en sistemas distribuidos.
  • NIST. (2022). "Cybersecurity Supply Chain Risk Management Practices (SP 800-161r1)". [PDF Oficial NIST]
    • Por qué leerlo: La base normativa para el Anexo L. Define cómo gestionar el riesgo de proveedores y terceros de forma estructurada.

Bloque 3: Gestión de Incidentes y Crisis (Capítulos 7-10)

  • CISA. (2024). "Incident Response Playbook". Cybersecurity & Infrastructure Security Agency. [PDF Oficial CISA]
    • Por qué leerlo: Fuente técnica para el diseño del IRP y la orquestación de respuesta ante intrusiones activas (Anexo H).
  • NIST. (2012). "Computer Security Incident Handling Guide (SP 800-61 Rev. 2)". [PDF Oficial NIST]
    • Por qué leerlo: Estándar global para el ciclo de vida del incidente (Preparación, Detección, Contención, Post-Incidente) usado como base en el Capítulo 07.
  • MITRE Corporation. (2024). "MITRE ATT&CK® Framework". [Sitio Oficial MITRE]
    • Por qué leerlo: Base de conocimiento esencial para entender las tácticas del adversario y el movimiento lateral discutido en los Capítulos 07 y Anexo E.
  • Boyd, J. R. (1987). "A Discourse on Winning and Losing". Air University Press. [Air University PDF]
    • Por qué leerlo: La obra maestra del Coronel John Boyd. Fuente original del ciclo OODA explicado en el Capítulo 08 como base de la automatización defensiva.

Bloque 4: Resiliencia y Futuro (Capítulos 11-13)

  • Taleb, N. N. (2012). "Antifragile: Things That Gain from Disorder". Random House. [Ver Libro]
    • Por qué leerlo: Pilar conceptual del Capítulo 12. Define la diferencia entre ser robusto (resistir) y ser antifrágil (mejorar con el estrés), el objetivo final de la cultura post-incidente.
  • ISO/IEC. (2019). "Security and resilience – Business continuity management systems (ISO 22301:2019)". [Sitio Oficial ISO]
    • Por qué leerlo: El estándar internacional que define los requisitos para un BCP y el análisis de impacto (BIA) descritos en el Anexo J.
  • Bostrom, N. (2014). "Superintelligence: Paths, Dangers, Strategies". Oxford University Press. [Oxford UP]
    • Por qué leerlo: Contexto filosófico para el Capítulo 13 sobre los riesgos existenciales de la IA y la necesidad de alineación en sistemas de defensa agéntica.
  • FIRST. (2023). "Common Vulnerability Scoring System (CVSS) v4.0 Specification". [Sitio Oficial FIRST]
    • Por qué leerlo: Estándar matemático utilizado en el Anexo F para puntuar la severidad técnica de una vulnerabilidad de manera objetiva.
  • Ridley, M. (1993). "The Red Queen: Sex and the Evolution of Human Nature". Harper Perennial. [Ver Libro]
    • Por qué leerlo: Origen de la hipótesis de la "Reina Roja" aplicada en el Capítulo 13. Ayuda a entender la ciberseguridad no como un problema estático a resolver, sino como una carrera evolutiva co-dependiente contra el adversario.
  • Syed, M. (2015). "Black Box Thinking: The Surprising Truth About Success". Portfolio. [Ver Libro]
    • Por qué leerlo: Profundiza en la comparación entre la cultura de seguridad aérea y la medicina/negocios citada en el Capítulo 12. Es el manual definitivo para crear una cultura libre de culpa (Blame-Free).