F12 - 12.0 INTRODUCCIÓN: POR QUÉ ESTA FASE CIERRA EL PROYECTO

DIMENSIÓN

FASES 1-11 (PRESENTE)

FASE 12 (HORIZONTE 2030)

RIESGO DE NO ACTUAR HOY

Criptografía

RSA, ECC, TLS — estándares actuales funcionales

PQC: ML-KEM, ML-DSA, SLH-DSA — NIST finalizados agosto 2024

Harvest Now, Decrypt Later: adversarios capturan tráfico hoy para desencriptar cuando existan computadoras cuánticas. Los datos capturados hoy tienen vida útil de 5-10 años.

Agentes de IA

Copilot Studio, Security Copilot, Automatic Attack Disruption — primeros SOCs agénticos

IA agéntica autónoma en 67% de organizaciones para 2027 (IBM IBV). Redes de agentes multi-modelo, ecosistemas cross-empresa.

Organizaciones que no gobiernan agentes hoy construyen deuda de gobernanza exponencial. Las arquitecturas agénticas mal diseñadas son más difíciles de securizar una vez en producción.

Rol del CISO

CISO como responsable de ciberseguridad tradicional + gobernanza de IA empresarial

Chief AI Trust Officer: responsable de confianza, seguridad cuántica, gobernanza agéntica y reputación de IA

CISOs que no evolucionan el rol son desplazados por nuevas figuras C-suite (Chief Trust Officer, Chief AI Officer). Pérdida de influencia estratégica.

Regulación

EU AI Act agosto 2026, Reforma Ley 25.326, LATAM emergente

ISO 42001 madurez, PQC compliance NIST 2033, regulación de agentes en evolución

Los marcos de gobernanza actuales no fueron diseñados para agentes autónomos ni para criptografía post-cuántica. El compliance reactivo de 2030 será más costoso que la preparación de 2026.

DATOS CON RIESGO HNDL

HORIZONTE DE SENSIBILIDAD

ACCIÓN PQC REQUERIDA

Secretos industriales, R&D, propiedad intelectual

10-25 años de valor comercial

URGENTE: migrar comunicaciones de datos de alto valor a TLS con ML-KEM hybrid (X25519+ML-KEM-768) hoy. Sin esperar a 2027.

Datos de clientes y credenciales financieras

5-10 años de valor para fraude y robo de identidad

ALTO: priorizar en el roadmap PQC. Autenticación con ML-DSA para firmas de alto impacto.

Comunicaciones ejecutivas y estratégicas

3-7 años de valor competitivo

ALTO: VPNs y canales de comunicación ejecutiva con PQC hybrid. Entra ID authentication en roadmap PQC de Microsoft.

Logs de auditoría y evidencia forense

2-5 años (procesos legales, regulatorio)

MEDIO: firmas digitales de logs con SLH-DSA para integridad a largo plazo.

Datos transaccionales masivos sin PII

1-2 años de valor tipicamente

BAJO: migrar cuando la infraestructura cloud lo soporte (Azure QSP 2027+).

Datos simétricos (AES-256)

El cifrado simétrico es resistente a ataques cuánticos (Grover no es suficientemente eficiente para romper AES-256)

NINGUNA: AES-256, SHA-256 y SHA-3 no requieren migración a PQC. Solo la criptografía asimétrica está en riesgo.

TIMELINE

ESTIMADO

IMPLICACIÓN PARA CISO

Hoy — 2026

CRQCs de baja escala. Demostraciones académicas (22-bit RSA, octubre 2024). Industria en fase de estandarización y migración temprana.

Actuar: inventario criptográfico, pilotos PQC en sistemas menos críticos, TLS hybrid en comunicaciones de datos de mayor sensibilidad.

2027 — 2029

Microsoft prevé early adoption PQC completo en su infraestructura para 2029. Cloudflare ya soporta ML-KEM en su CDN. ADCS con PQC: early 2026 según Microsoft.

Desplegar: infraestructura core con PQC híbrido. Entra ID con ML-DSA para autenticación de identidades críticas. Certificados internos renovados con nuevos algoritmos.

2029 — 2033

NIST deprecará RSA/ECDH de sus estándares hacia 2033. NSS (National Security Systems de EE.UU.): CNSA 2.0 mandatory por 2033. Microsoft completará la migración total de Azure, M365 y Windows para 2033.

Completar: todos los sistemas propios migrados. Sin uso de RSA/ECC en infraestructura crítica.

2033 — 2035

NIST remove quantum-vulnerable algorithms from standards (IR 8547). La ventana de compatibilidad cierra.

Fin de compatibilidad: los sistemas sin migrar quedan fuera de los estándares internacionales. Riesgo de incompatibilidad con partners y reguladores.

2035 en adelante

CRQC estimado posible. Aunque la fecha exacta es incierta, las organizaciones sin migración completa quedarán expuestas cuando llegue.

Si no hubo acción antes: el CRQC hace retroactivamente vulnerables todos los datos capturados desde hoy. Las consecuencias del HNDL se vuelven operativas.

ESTÁNDAR

ALGORITMO BASE

FUNCIÓN

REEMPLAZA

CONSIDERACIONES DE DESPLIEGUE

FIPS 203 (GA agosto 2024)

ML-KEM (Module-Lattice Key Encapsulation Mechanism)Derivado de CRYSTALS-KYBER

Key Encapsulation: establece secretos compartidos entre dos partes sobre canal público

ECDH (Diffie-Hellman en curvas elípticas), ECDHE en TLS, RSA key transport

Caso de uso principal: TLS key exchange. Microsoft habilitó TLS hybrid X25519+ML-KEM en SymCrypt-OpenSSL. Cloudflare lo despliega en producción. Tamaños de clave mayores que ECDH pero manejables en la práctica. Drop-in upgrade en la mayoría de los casos.

FIPS 204 (GA agosto 2024)

ML-DSA (Module-Lattice Digital Signature Algorithm)Derivado de CRYSTALS-Dilithium

Firmas digitales: autenticación de identidad, integridad de mensajes, firma de código

ECDSA, RSA signatures — usados en certificados TLS/PKI, code signing, autenticación

Caso de uso principal: certificados digitales (PKI), firmas de código, autenticación. ADCS con ML-DSA: GA previsto en Microsoft early 2026. Firmas más grandes que ECDSA — impacto en sistemas con restricciones de bandwidth (IoT). Microsoft CNG APIs ya disponibles en Windows Server 2025 y Windows 11.

FIPS 205 (GA agosto 2024)

SLH-DSA (Stateless Hash-Based Digital Signature)Derivado de SPHINCS+

Firmas digitales hash-based — no depende de lattices, backup algorítmico

ECDSA, RSA signatures (uso como alternativa conservadora a ML-DSA)

Más conservador criptográficamente que ML-DSA: no depende de problemas de retículas (lattices). Útil como backup si hay descubrimientos criptanalíticos contra lattices. Firmas más grandes y lentas que ML-DSA — uso primario en aplicaciones donde la velocidad es secundaria (firmware signing, archivos de largo plazo).

FIPS 206 (en desarrollo)

FN-DSA (Fast N-DSA)Derivado de FALCON

Firmas digitales compactas — firma y verificación rápida

ECDSA en aplicaciones con restricciones de tamaño (TLS, IoT)

Publicación como FIPS 206: pendiente (late 2025/2026). Firmas más pequeñas y rápidas que ML-DSA pero implementación más compleja. Relevante para escenarios de TLS con alta performance y dispositivos con restricciones de recursos.

HQC (seleccionado marzo 2025)

Hamming Quasi-Cyclic

Key Encapsulation — backup alternativo a ML-KEM

Complemento/backup de ML-KEM si hay avances criptanalíticos en lattices

Cuarta ronda NIST: seleccionado en marzo 2025. No basado en lattices — diversificación algorítmica. Estándar final: 2026-2027. Para el CISO: ML-KEM es la opción principal hoy; HQC será el backup cuando esté disponible.

FASE QSP

TIMELINE

COMPONENTES EN ALCANCE

STATUS ACTUAL (FEB 2026)

Fase 1Foundational Security Components

2023-2026 (en curso)

SymCrypt (librería criptográfica core de Windows, Azure y M365). ML-KEM y ML-DSA disponibles vía CNG APIs. TLS hybrid key exchange (X25519+ML-KEM-768). Active Directory Certificate Services (ADCS) con PQC: GA previsto early 2026.

DISPONIBLE AHORA: ML-KEM y ML-DSA en Windows Server 2025 y Windows 11 (24H2, 25H2) y .NET 10. Desarrolladores pueden comenzar a usar las APIs. TLS hybrid en SymCrypt-OpenSSL disponible. ADCS PQC: en preview.

Fase 2Core Infrastructure Services

2026-2029 (próxima)

Identidad y autenticación: Microsoft Entra (Entra ID, Workload Identities, Conditional Access). Gestión de claves y secretos: Azure Key Vault, HSMs. Servicios de firma: Azure Code Signing, certificados. Servicios de red: Azure networking, VPNs.

EN TRANSICIÓN: Microsoft QSP acelera el core en 2026. Target para Entra ID: 2027-2028 según roadmap. Azure Key Vault PQC: planificado dentro de este rango. Signing services: en roadmap confirmado.

Fase 3Plataformas y Productos Completos

2027-2033 (horizonte)

Windows (cliente y servidor): todos los protocolos. Azure (todos los servicios). Microsoft 365 (Exchange, Teams, SharePoint, OneDrive). Plataformas de IA: Azure AI Foundry, Security Copilot. Servicios de red: Defender, Sentinel.

PLANEADO: QSP integration en Windows, Azure, M365, AI services y networking a partir de 2027. Early adoption completo: target 2029. Full compliance con NIST y estándares de gobierno: target 2033.

COMPONENTE

ACCIÓN DISPONIBLE HOY

IMPACTO

Windows Server 2025 + Windows 11 (24H2)

ML-KEM y ML-DSA disponibles como APIs a través de CNG (Cryptography API: Next Generation). Developers y security architects pueden comenzar a testear y desarrollar aplicaciones PQC-ready.

Ambiente de prueba y desarrollo PQC sin costo adicional. Base para preparar el cambio cuando llegue a core infrastructure.

.NET 10

Soporte nativo de ML-KEM y ML-DSA para aplicaciones .NET. Aplicaciones internas que usan .NET pueden comenzar a implementar operaciones criptográficas con los nuevos estándares.

Las aplicaciones internas desarrolladas hoy con crypto-agility en mente estarán listas para PQC cuando la infraestructura lo soporte.

TLS Hybrid (SymCrypt-OpenSSL)

X25519+ML-KEM-768: protección HNDL para comunicaciones TLS. El modo híbrido combina el algoritmo clásico (X25519) con ML-KEM, garantizando que el tráfico sea seguro tanto hoy (sin quantum) como mañana (con quantum).

Protección inmediata contra Harvest Now Decrypt Later para comunicaciones de alta sensibilidad. Implementable en servidores Linux via SymCrypt-OpenSSL.

ADCS (Active Directory Certificate Services)

GA de PQC en ADCS planificado para early 2026. Esto habilita la emisión y gestión de certificados PKI internos con algoritmos PQC (ML-DSA).

La PKI interna (certificados de dispositivos, usuarios, servidores) podrá comenzar a transicionar. Es la base para la migración ordenada de todo el ecosistema de autenticación.

Azure Key Vault + HSMs

Monitorear el roadmap del QSP para integración. Cuando esté disponible: las claves más críticas serán las primeras en migrar a material de clave PQC.

La gestión de claves maestras es el componente de más alto valor: una vez comprometida una clave maestra por un CRQC, todo lo derivado queda expuesto.

Inventario criptográfico

No requiere ningún producto Microsoft específico aún. La acción inmediata es ejecutar un cryptographic asset inventory: identificar TODOS los lugares donde se usa RSA, ECDH, ECDSA en la infraestructura propia.

Sin inventario, no hay roadmap posible. Este es el prerequisito para toda la migración. Microsoft recomienda comenzar exactamente aquí — es la primera acción del QSP propio de Microsoft.

ACCIÓN

HERRAMIENTA / RECURSO

CRITERIO DE ÉXITO

1

Ejecutar el Cryptographic Asset Inventory: identificar todos los certificados digitales, protocolos TLS, VPNs, firmas de código, y sistemas de autenticación que usan RSA o ECC. Incluir software propio, proveedores SaaS, infraestructura cloud y on-premises.

Herramientas de discovery PKI (Venafi, Keyfactor, CertCentral). Scripts PowerShell para Windows. Azure Policy para inventario de certificados en Azure.

Registro completo con: algoritmo usado, vencimiento del certificado, sistema que lo usa, nivel de criticidad. Sin este inventario, el resto del plan es imposible.

2

Capacitar al equipo de infraestructura y PKI en PQC: qué son ML-KEM, ML-DSA, SLH-DSA, por qué importan, cómo se diferencian de RSA/ECC. No hace falta expertise matemático — hace falta comprensión operacional.

Microsoft Learn PQC documentation. NIST NCCoE Migration Guide. Cursos de Cloudflare/IETF sobre TLS hybrid.

El equipo puede explicar el HNDL, los tres nuevos estándares y el roadmap de Microsoft. Base para tomar decisiones de arquitectura informadas.

3

Implementar TLS hybrid (X25519+ML-KEM-768) en los servidores de mayor sensibilidad: APIs financieras, autenticación, comunicaciones ejecutivas. Esto protege contra HNDL para los datos más críticos.

SymCrypt-OpenSSL en servidores Linux. IIS/Windows Server 2025 con ML-KEM vía CNG. Nginx/Apache con librerías PQC.

Los servidores de mayor sensibilidad sirven tráfico TLS hybrid verificable con herramientas como ssl-labs o cloudflare PQC tester. Protección HNDL activa.

4

Monitorear y preparar el ambiente para ADCS PQC cuando salga el GA de Microsoft (early 2026): documentar el plan de renovación de certificados internos. Definir qué CAs internas emitirán certificados con ML-DSA y en qué orden.

Active Directory Certificate Services (ADCS) preview documentation. Microsoft PKI team guidance.

Plan de migración de PKI interna documentado y aprobado. Lista de CAs y subordinadas con secuencia de migración y plazos.

5

Evaluar el impacto PQC en sistemas legacy y third-party: identificar sistemas que no soportarán PQC sin actualización mayor (dispositivos IoT, sistemas OT, aplicaciones legacy con criptografía hardcodeada).

Inventario criptográfico del paso 1. Scanners de dependencias. Assessment de proveedores.

Mapa de deuda criptográfica: sistemas que requerirán reemplazo vs. actualización vs. workaround (aislamiento de red). Base para el presupuesto de migración.

ACCIÓN

MICROSOFT MILESTONE

CRITERIO DE ÉXITO

6

Migrar la PKI interna a certificados ML-DSA: renovar CAs raíces, intermedias y de entidades finales (dispositivos, usuarios, servidores). Coordinar con el deploy de ADCS PQC.

ADCS PQC GA (previsto early 2026). Renovación en ciclo natural de vencimiento de certificados.

Todos los certificados internos nuevos emitidos con ML-DSA. El parque de certificados legacy se reduce con cada renovación. Target: 0% certificados RSA/ECDSA internos al final del horizonte.

7

Actualizar VPNs y conectividad de acceso remoto a PQC: reemplazar ECDH por ML-KEM en los tunnels VPN. Priorizar accesos con datos clasificados: M&A, RRHH, finanzas.

Windows VPN stack: actualización en roadmap QSP 2027+. Productos de terceros: monitorear compatibility con ML-KEM (Palo Alto, Cisco, Fortinet, etc.)

Todo el tráfico VPN de acceso remoto protegido contra HNDL. Negociación de clave quantum-safe verificable.

8

Migrar autenticación de identidades críticas en Entra ID a algoritmos PQC cuando el roadmap lo habilite: primero admin roles y cuentas privilegiadas, luego población general.

Entra ID PQC: en roadmap QSP Fase 2 (2027-2028). Monitorear Microsoft Entra roadmap para anuncios específicos.

Las cuentas más críticas (Global Admin, Security Admin, Azure Owner) autenticándose con ML-DSA. Reducción de la superficie de ataque post-cuántico para la identidad más privilegiada.

9

Auditar y actualizar todas las firmas de código de software propio: aplicaciones internas, scripts de PowerShell en producción, pipelines de CI/CD.

Signing services PQC: en roadmap QSP Fase 2. Azure Code Signing con ML-DSA: planificado.

El software propio en producción firmado con ML-DSA. Los pipeline de CI/CD actualizados para generar firmas PQC. Verificación automatizada en deployment.

10

Resolver los sistemas con deuda criptográfica identificados en el horizonte 1: reemplazar los dispositivos que no pueden actualizarse, aislar los que no pueden reemplazarse, actualizar aplicaciones legacy.

Inversión de modernización de infraestructura. Posible reemplazo de dispositivos IoT, OT, o aplicaciones core.

El mapa de deuda criptográfica muestra reducción medible. Los sistemas de mayor criticidad resueltos. Los sistemas residuales aislados con controles compensatorios documentados.

OBJETIVO

INDICADORES DE COMPLETACIÓN

11

Zero RSA/ECC en infraestructura de alta sensibilidad: todos los certificados, VPNs, autenticación de identidades críticas y firmas de código usando exclusivamente PQC o TLS hybrid.

Inventario criptográfico muestra 0 algoritmos clásicos asimétricos en sistemas de alta sensibilidad. Auditores externos pueden verificar el estado.

12

Crypto-agility como estándar de arquitectura: todas las aplicaciones nuevas desarrolladas con crypto-agility by design. Los sistemas legacy que no pueden ser migrados están documentados, compensados y en roadmap de reemplazo.

El proceso de Architecture Review Board incluye una verificación de crypto-agility para cada nuevo sistema. El backlog de deuda criptográfica tiene fecha de cierre.

13

Compliance formal con NIST IR 8547 y, si aplica, CNSA 2.0: documentación del estado de la migración presentable ante reguladores y auditores. Alineamiento con los timelines de los reguladores sectoriales locales.

Reporte de postura PQC presentable ante el Board, auditores y autoridades regulatorias. Sin exposición RSA/ECC en sistemas en scope regulatorio.

INDICADOR

2026 (ACTUAL)

2027-2030 (PROYECTADO)

% organizaciones con agentes IA tomando decisiones autónomas (IBM IBV, 800 C-suite)

24% de ejecutivos reportan agentes con acción independiente

67% de ejecutivos esperan este nivel para 2027 — casi 3x en un año.

% aplicaciones enterprise con agentes task-specific (Gartner)

<5% en 2025

40% para finales de 2026. Para 2028: ecosistemas de agentes colaborativos cross-aplicación.

% operaciones de riesgo y compliance automatizadas por agentes (IBM IBV)

Dígitos bajos

29% automatizadas por agentes para 2027 — incluyendo compliance de IA, monitoreo regulatorio y reporting.

% procesos de innovación automatizados por agentes (IBM IBV)

19% hoy

48% de ejecutivos esperan automatización de procesos de innovación para 2027.

Inversión global enterprise en IA (Gartner)

~$1.7 trillion en 2025

$2.5 trillion en 2026 (+44% YoY). Aunque 25% del gasto planeado puede diferirse a 2027 (Forrester).

% código AI-generated o asistido (Sonar survey, 1000+ devs)

42% en 2025

55% en 2026. 65% en 2027. Los sistemas que el CISO debe asegurar serán mayoritariamente escritos con asistencia de IA.

% organizaciones que requerirán skills assessments sin IA (Gartner)

<10% hoy

50% de organizaciones para 2026 — para verificar que los humanos retienen habilidades críticas de razonamiento independientemente de la IA.

ESCENARIO

DESCRIPCIÓN 2027-2030

IMPLICACIONES DE GOBERNANZA PARA EL CISO

Ecosistemas de agentes cross-empresa

Para 2028, Gartner proyecta redes de agentes especializados que colaboran dinámicamente entre múltiples aplicaciones y funciones de negocio. Un agente de procurement puede interactuar con un agente de risk management, un agente de finanzas y un agente del proveedor externo — sin intervención humana en cada paso.

NUEVO PERÍMETRO: el perímetro de seguridad deja de ser la red corporativa y se convierte en la identidad del agente y su scope de autorización. El CISO necesita frameworks para: (1) verificar la identidad de agentes externos, (2) validar que los datos compartidos con agentes externos cumplan las políticas DLP, (3) auditar las cadenas de decisiones entre agentes de diferentes organizaciones.

Código mayoritariamente AI-generated

Con 65% de código AI-generated para 2027, los vectores de ataque evolucionan: el supply chain de herramientas de AI coding (GitHub Copilot, Cursor, etc.) se convierte en el nuevo supply chain de software. Un modelo comprometido puede introducir vulnerabilidades sistemáticas en todo el código que genera.

SHIFT EN DEVSECOPS: el CISO debe asegurar los modelos de AI coding, no solo el código que producen. Controles: (1) GitHub Advanced Security con AI para escaneo de código generado, (2) SBOM/AIBOM para rastrear qué modelo generó qué código, (3) políticas de cuáles modelos de AI coding están aprobados en el SDLC.

Automatización de compliance e IA

Para 2027, IBM proyecta 29% de operaciones de riesgo y compliance automatizadas por agentes. Esto incluye monitoreo regulatorio, reporting de incidentes, generación de evidencia para auditorías.

GOBERNANZA DE GOBERNANZA: si los agentes monitorean el compliance de otros agentes, ¿quién monitorea a los agentes de compliance? El CISO necesita una capa de meta-gobernanza: (1) auditorías humanas periódicas de los agentes de compliance, (2) test de adversarial scenarios (¿puede un agente externo manipular al agente de compliance?), (3) trail inmutable de decisiones de compliance que los auditores externos puedan verificar sin acceso al agente.

Fuerza de trabajo híbrida agente-humana

McKinsey proyecta hasta 30% de horas trabajadas actuales automatizadas para 2030. Organizaciones operarán con estructuras de equipo donde los agentes son miembros funcionales: tienen identidades, accesos, métricas de desempeño.

IDENTIDADES NO-HUMANAS A ESCALA: el CISO debe extender el framework de IAM (Identity and Access Management) para manejar una población de identidades no-humanas potencialmente mayor que la humana (ya hoy 82:1 según Palo Alto Networks, Fase 10). Principios: (1) Least Privilege para cada agente, (2) rotación automática de credenciales, (3) Conditional Access para NHIs (Non-Human Identities), (4) kill switch por agente documentado y probado — todos cubiertos en la Fase 10 pero a escala mucho mayor.

DIMENSIÓN

CISO TRADICIONAL (2020-2024)

CISO EVOLUCIONADO / CHIEF AI TRUST OFFICER (2025-2030)

Foco principal del riesgo

Vulnerabilidades técnicas, ransomware, phishing, IAM, compliance con frameworks conocidos (NIST CSF, ISO 27001, SOC 2).

Todos los anteriores + superficie de ataque agéntica, data poisoning, prompt injection, HNDL, gobernanza de NHIs, sesgo algorítmico con consecuencias legales, compliance de IA (EU AI Act, LATAM emergente).

Relación con el Board

Reportes trimestrales de métricas de seguridad. Presupuesto defensivo. Rol reactivo ante incidentes.

Co-responsable de la estrategia de IA empresarial junto al CEO/CIO/CDO. Voz en cada decisión de adopción de IA. El Board espera del CISO que el 'uso de IA' y el 'riesgo de IA' sean articulados juntos — no por separado.

Mandato de gobernanza

Gobernar la seguridad de sistemas diseñados por humanos para ser usados por humanos.

Gobernar ecosistemas donde los agentes de IA toman decisiones autónomas, interactúan con sistemas externos, procesan datos sensibles, generan código y representan a la organización. El CISO define los límites de la agencia autónoma.

Relación con el talento

Contratar analistas, ingenieros y arquitectos con skills de ciberseguridad clásicos. El equipo humano como recurso principal.

Diseñar la arquitectura de supervisión del equipo híbrido (humano + agente). Nuevos roles: AI Validation Analyst, AI Behavior Auditor, Automation Policy Lead, AI Systems Engineer (ver Fase 10). El CISO como Architecture de la fuerza de trabajo augmentada.

Conocimiento técnico requerido

Redes, endpoints, IAM, SIEM/SOAR, cloud security, criptografía operacional (PKI, TLS).

Todo lo anterior + matemáticas de lattices (para entender PQC), architecture de agentes (LLM, RAG, MCP, tool invocation), OWASP Agentic Top 10, regulación de IA (EU AI Act, ISO 42001), técnicas de adversarial ML.

Posición ante la regulación

Compliance officer de facto para ciberseguridad: GDPR, HIPAA, PCI-DSS, normativas locales.

Compliance officer de IA: EU AI Act, NIST AI RMF, ISO 42001, regulaciones LATAM emergentes, PQC compliance (NIST IR 8547, CNSA 2.0). Representa a la organización ante autoridades regulatorias en temas de IA.

Métrica de éxito principal

MTTR (Mean Time to Respond/Recover), cobertura de parches, auditorías sin hallazgos críticos.

Todos los anteriores + porcentaje de decisiones autónomas auditadas, cobertura PQC por categoría de sensibilidad de datos, postura de gobernanza de IA (scorecard de Fase 7.8), ROI del SOC agéntico.

COMPETENCIA

QUÉ IMPLICA

CÓMO DESARROLLARLA

Criptografía post-cuántica aplicada

Entender los principios de ML-KEM, ML-DSA, SLH-DSA al nivel suficiente para tomar decisiones de priorización, hablar con equipos de PKI y representar el riesgo HNDL ante el Board. No hace falta saber la matemática de retículas módulo — sí hace falta entender el modelo de amenaza.

NIST PQC FAQ (csrc.nist.gov). Microsoft QSP documentation. Cloudflare blog post-quantum 2025. CyberArk: machine identity and PQC. Tiempo estimado: 8-16 horas de estudio estructurado.

Gobernanza de IA agéntica

Diseñar frameworks de gobernanza para agentes autónomos: cómo limitar su scope, cómo auditar sus decisiones, cómo evaluar si sus comportamientos son los esperados. Incluye OWASP Agentic Top 10, Secure-by-Design para agentes (Fase 10.5).

OWASP Agentic Security Initiative. Microsoft Security Blog sobre runtime protection de agentes. IBM Future of Work research. Práctica: governar los agentes de Copilot Studio de la propia organización.

Evaluación de sesgos y fairness en IA

Entender cómo los sesgos en datos de entrenamiento producen decisiones discriminatorias, y cómo evaluar y mitigar estos sesgos — especialmente relevante para sistemas de RRHH, crédito y seguridad que afectan personas.

NIST AI RMF (función Measure). EU AI Act Art. 10 sobre data governance. Microsoft Responsible AI principles. Herramientas: Azure Responsible AI Dashboard, Fairlearn.

COMPETENCIA

QUÉ IMPLICA

CÓMO DESARROLLARLA

Arquitectura de confianza en IA

Articular públicamente, al Board y a los clientes, por qué los sistemas de IA de la organización son confiables: qué controles existen, qué se audita, qué transparencia ofrecen. La confianza en IA se comunica, no se asume.

Leer los AI transparency reports de los proveedores (Fase 3 del informe). Desarrollar el propio AI Transparency Report interno. Participar en foros de trust como la Partnership on AI.

Diseño de la fuerza de trabajo híbrida

Tomar decisiones sobre qué roles del equipo de seguridad se augmentan con agentes, cuáles se transforman, cuáles se consolidan. Diseñar los procesos de supervisión que preservan accountability cuando los agentes ejecutan acciones autónomas.

IBM IBV Agentic AI Operating Model. McKinsey CEO strategies for agentic AI. Intezer Future of Agentic SOC. Práctica: los SOPs del SOC agéntico de la Fase 10.3 del informe.

Navegación regulatoria multi-jurisdiccional

Mantenerse al día con regulaciones de IA en múltiples jurisdicciones simultáneamente (UE, Argentina, Brasil, Chile) y traducirlas en decisiones operacionales concretas para el equipo.

IAPP (International Association of Privacy Professionals) AI governance tracks. White & Case AI regulation monitor. Implementar el plan de 12 meses de la Fase 11 del informe.

COMPETENCIA

QUÉ IMPLICA

CÓMO DESARROLLARLA

Gestión de identidades no-humanas a escala

Diseñar y operar el IAM para una población de NHIs (agentes, workload identities, service principals) que crece más rápido que la humana. Aplicar Least Privilege, rotation, monitoring y kill switches a escala de miles de identidades.

Microsoft Entra Workload Identities documentation. OWASP Top 10 NHI Risks. CyberArk research on machine identity. Práctica: el inventario de NHIs de la organización como punto de partida.

Measurement y ROI de la gobernanza de IA

Cuantificar el valor de las inversiones en gobernanza de IA: reducción de MTTR, reducción de falsos positivos, valor regulatorio de ISO 42001, reducción de prima de seguro. El Board no financia lo que no se puede medir.

Framework ROI de la Fase 9 del informe. Métricas del SOC agéntico de la Fase 10. Scorecard de madurez de gobernanza de la Fase 7.

FASE

TÍTULO

CONTRIBUCIÓN AL MARCO INTEGRADO

F1

Filosofías Éticas (16 proveedores)

El mapa de valores de los proveedores. Permite saber qué priorizan Anthropic, OpenAI, Google, Microsoft, Meta, Amazon, etc. cuando hay trade-offs. La base de cualquier decisión de selección informada.

F2

Metodología Comparativa

El framework de análisis que hace comparables los 16 proveedores. Sin metodología, las comparaciones son inconsistentes. Establece los 8 ejes de evaluación y las 5 dimensiones de madurez ética.

F3

Transparencia y Accountability

Cómo comunicar (o no) las capacidades y limitaciones de los sistemas de IA. Fundamental para el CISO que debe decidir en qué sistemas confiar para operaciones críticas.

F4

Dilemas Éticos en Contexto

Los casos donde los principios éticos entran en tensión: privacidad vs. seguridad, transparencia vs. seguridad operacional, autonomía vs. supervisión. El CISO necesita estos frameworks para decisiones que no tienen respuesta correcta única.

F5

Due Diligence Sectorial

Cómo adaptar la evaluación de proveedores al contexto específico: servicios financieros, salud, sector público. El CISO de Microsoft Argentina opera en el sector más regulado — esta fase define los requisitos específicos.

F6

Contratos y Cláusulas Críticas

Las 12 cláusulas que protegen a la organización: ZDR, DPA, IP, SLA de incidentes, auditoría, limitación de liability. Sin estas cláusulas, el framework ético del proveedor no tiene consecuencias contractuales.

F7

Gobernanza Post-Implementación

El AI Governance Committee, el AI Incident Response Plan, el Scorecard de Madurez. La gobernanza que hace sostenible la adopción de IA. Sin esta capa, todo lo anterior es punto de partida, no sistema.

F8

Síntesis Ejecutiva y Ranking

El ranking final de los 16 proveedores con justificación. La síntesis que el CISO puede llevar al Board como recomendación ejecutiva con respaldo de 8 fases de análisis.

F9

ROI, TCO y Caso de Negocio

Los números que convierten la gobernanza de IA en una decisión financiera: framework de 4 dimensiones de valor, anti-patrones de destrucción de valor, métricas ROI por caso de uso. El language del CFO.

F10

CISO Defensa Aumentada por IA

El playbook operacional: Security Copilot + Defender XDR, SOC agéntico, deepfake response, Defender for AI, roadmap de 90 días. La traducción de todo el análisis anterior a acciones del CISO esta semana.

F11

Paisaje Regulatorio LATAM

El contexto legal que el CISO no puede ignorar: Brasil PL 2338, Chile Ley IA, Reforma Ley 25.326 Argentina, EU AI Act extraterritorial, Gap Analysis y plan de compliance 12 meses.

F12

Horizonte 2030 (esta fase)

La perspectiva estratégica de largo plazo: PQC migration roadmap, IA agéntica 2027-2030, evolución del rol CISO. El marco que posiciona al CISO como estratega, no solo como operador.

PREGUNTA

RESPUESTA DEL MARCO (Y DÓNDE ENCONTRARLA)

¿Qué proveedor de IA debo seleccionar para mi organización?

Fases 1-5: análisis ético comparativo de 16 proveedores. Fase 8: ranking ejecutivo con justificación. Fase 5: adaptación sectorial para servicios financieros y regulados. La respuesta no es universal — depende del caso de uso, los requisitos de soberanía de datos y la exposición regulatoria.

¿Cómo negocio y firmo contratos con proveedores de IA sin quedar expuesto?

Fase 6: las 12 cláusulas críticas — ZDR, DPA, IP, SLA, audit rights, liability. Con estas cláusulas, los principios éticos del proveedor tienen consecuencias jurídicas. Sin ellas, son marketing.

¿Cómo construyo la gobernanza de IA que sobrevive al CISO individual?

Fase 7: AI Governance Committee, AI Incident Response Plan, Scorecard de Madurez. Fase 12: evolución del rol hacia Chief AI Trust Officer. La gobernanza como sistema institucional, no como responsabilidad de una persona.

¿Cómo defiendo la organización contra amenazas AI-powered y cómo uso IA como multiplicador de defensa?

Fase 10: SOC agéntico, Security Copilot + Defender XDR, Automatic Attack Disruption, deepfake playbook, Defender for AI, roadmap de 90 días. Fase 12: la evolución de esta arquitectura hacia 2030.

¿Cómo cumplo con las regulaciones de IA en Argentina y en los mercados donde opero?

Fase 11: mapa regulatorio LATAM completo (Brasil, Chile, Colombia, México, Perú), EU AI Act extraterritorial, Ley 25.326 y reforma 2025, Gap Analysis, plan de compliance 12 meses. Fase 4 y Fase 7: marcos de gobernanza que habilitan el compliance como by-product.

CONCLUSIÓN FINAL DEL PROYECTO

12 Fases · 330 Referencias · 16 Proveedores · 2 Años de Horizonte (2026-2030)

El CISO que llega al final de este proyecto tiene algo más que información actualizada: tiene un sistema para tomar decisiones de IA que son simultáneamente seguras, éticas, legalmente defensibles y estratégicamente ventajosas. En un mundo donde la IA evoluciona más rápido que cualquier manual puede capturar, ese sistema de pensamiento es el activo más durable.

El horizonte 2030 traerá computadoras cuánticas que desafiarán la criptografía que hoy protege todo, agentes de IA que tomarán decisiones de consecuencias reales sin supervisión humana en cada paso, y regulaciones que harán al CISO corresponsable de los outcomes de los sistemas de IA que su organización despliega. Nada de esto es especulación — es la dirección confirmada por NIST, Gartner, IBM, McKinsey, Microsoft y los reguladores de la UE, Brasil, Chile y Argentina.

El CISO que actúa hoy — iniciando el inventario criptográfico, gobernando los primeros agentes, anticipando la reforma de la Ley 25.326, construyendo el SOC agéntico — tendrá en 2030 un sistema de seguridad y gobernanza que sus competidores tardaron años más en construir. El momento de actuar no fue ayer. Es ahora.