Compliance y ciberseguridad: Guía para la empresa (prevención y resiliencia)

EL AUTOR. UN ARQUITECTO DE RESILIENCIA EN LA ERA DE LA IA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
TRANSPARENCIA METODOLÓGICA Y AUTORÍA. SISTEMA DE ICONOGRAFÍA HMC 31
PRÓLOGO. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
PREFACIO DEL AUTOR. GOBERNAR LA TECNOLOGÍA CUANDO LA RESPONSABILIDAD NO ES DELEGABLE. . . . . 35
PARTE I
FUNDAMENTOS NORMATIVOS DEL NUEVO
PARADIGMA
CAPÍTULO 1
INTRODUCCIÓN Y GOBERNANZA ESTRATÉGICA DE LA CIBERSEGURIDAD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Políticas generales de seguridad y procedimientos . . . . . . . 42
La Directiva NIS2 como obligación estructural de gobernanza del riesgo digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
El Reglamento de Inteligencia Artificial (AI Act) y la tensión regulatoria de los sistemas autónomos . . . . . . . . . . . . 47
El Data Act. Soberanía, interoperabilidad y acceso de terceros. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Zero Trust como respuesta arquitectónica a la insuficiencia regulatoria y técnica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
El marco estratégico del CISO moderno. Más allá de los controles técnicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
El CISO como directivo. Responsabilidad, imputación y límites en la gobernanza del riesgo digital. . . . . . . . . . . . . . . . 58
La síntesis del escudo. Hacia una arquitectura de gobernanza integrada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Contexto operativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
La genealogía del consenso y los principios de confiabilidad. Hacia una ontología de la IA pública . . . . . . . . . . . . . 65
Traducción operativa. La transmutación de la norma en arquitectura de control . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
El CISO como traductor institucional y garante de la soberanía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
La transición hacia el rigor metodológico. El diseño como respuesta a la incertidumbre. . . . . . . . . . . . . . . . . . . . . . . . 70
Marco metodológico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Enfoque epistemológico. realismo jurídico-tecnológico . . . . 72
Frameworks de gobernanza y arquitecturas IAM . . . . . . . . 73
Estrategia de investigación. El ciclo de validación de la soberanía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Key takeaways de la Parte I. . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Glosario síntesis interseccional . . . . . . . . . . . . . . . . . . . . . . . . 77
Transición a Parte II. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
PARTE II
LA EVOLUCIÓN DEL ROL DEL CISO Y LA EMERGENCIA DE LAS IDENTIDADES ARTIFICIALES
CAPÍTULO 2
LA EVOLUCIÓN DEL ROL DEL CISO . . . . . . . . . . . . . . . . . . . . . . 87
Ciclo de vida técnico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
El nexo de la responsabilidad . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Emergencia de las identidades artificiales . . . . . . . . . . . . . . 89
Gobernanza de identidades artificiales. Imputación jurídica y responsabilidad del CISO . . . . . . . . . . . . . . . . . . . . . . . . . 92
Imputación jurídica y responsabilidad administrativa en entornos con identidades artificiales . . . . . . . . . . . . . . . . . . . 94
Identidad consciente de la privacidad (Privacy-Aware Identity). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Riesgos democráticos y organizativos de las identidades artificiales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
De la identidad como acceso a la identidad como poder. . . 103
CAPÍTULO 3
IDENTIDAD DIGITAL, AGENTES DE IA Y NUEVOS MODELOS DE RESPONSABILIDAD . . . . . . . . . . . . . . . . . . . . . . . 105
De la identidad digital clásica a la identidad operativa . . . 105
Identidad, acción y poder en entornos digitales. . . . . . . . . . 106
El desbordamiento del modelo IAM tradicional . . . . . . . . . 106
Identidades técnicas y responsabilidad difusa. . . . . . . . . . . 107
Hacia una concepción ampliada de la identidad . . . . . . . . 107
El nacimiento de los agentes de IA como sujetos operativos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
De la automatización clásica a la agencia algorítmica . . . . 109
Opacidad decisional e indefensión ante el cumplimiento . . 110
Comportamientos emergentes y el radio de explosión . . . . . 111
La ilusión de control y la abdicación de la supervisión. . . . 111
De la herramienta al actor regulado . . . . . . . . . . . . . . . . . . 112
Identidades artificiales. Definición, tipología y riesgos . . . 112
La identidad como vector de escalada de privilegios autónoma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
El secuestro de la identidad artificial y la manipulación del propósito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Volatilidad y pérdida de la trazabilidad de responsabilidad 114
Riesgos y trazabilidad. El colapso de la confianza implícita 114
El vacío de cumplimiento. NIS2, AI Act y la crisis de la evidencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
La insuficiencia del log tradicional ante la NIS2 . . . . . . . . 115
El mito de la supervisión humana en el AI Act. . . . . . . . . . 116
La crisis de la evidencia y la carga de la prueba . . . . . . . . . 116
Gobernanza de identidades en el sector público europeo . 116
El ENS y la identidad como arquitectura de legalidad . . . . 117
NIS2 y eIDAS2. La soberanía frente al riesgo sistémico. . . 117
Zero Trust como modelo de integridad institucional. . . . . . 117
Gobernar identidades es gobernar legitimidad . . . . . . . . . . 118
Identidad consciente de la privacidad (Privacy-Aware Identity). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
El poder informacional y la protección desde el diseño . . . . 118
Minimización, transparencia y separación de contextos. . . 118
Trazabilidad proporcionada y calidad institucional . . . . . . 119
La transparencia y la trazabilidad como activos estratégicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Identidad, poder y legitimidad en la administración digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
La delegación de autoridad y el control del riesgo . . . . . . . . 120
Contra la despersonalización. Rendición de cuentas y soberanía corporativa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Identidad, confianza y rendición de cuentas. . . . . . . . . . . . 121
La responsabilidad como eje de la soberanía . . . . . . . . . . . 121
Identidad consciente de la privacidad . . . . . . . . . . . . . . . . . . 125
Fundamento conceptual y ruptura paradigmática . . . . . . . 125
Arquitectura técnico-normativa de componentes. . . . . . . . . 126
Validación mediante caso de uso técnico. . . . . . . . . . . . . . . 139
Proyección de impacto y transferibilidad. . . . . . . . . . . . . . . 148
Conclusiones y agenda futura . . . . . . . . . . . . . . . . . . . . . . . 151
Key takeaways de la Parte II . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Glosario síntesis interseccional . . . . . . . . . . . . . . . . . . . . . . . . 155
Transición a Parte III . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
PARTE III
ARQUITECTURAS OPERATIVAS, BLINDAJE JURÍDICO-INSTITUCIONAL Y SOBERANÍA DIGITAL
CAPÍTULO 4
CÓMO BLINDAR AL CONSEJO (Y A TI MISMO) ANTE NIS2 Y DORA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
Filosofía Zero Trust como doctrina jurídico-técnica . . . . . . 173
La integración de la firma electrónica cualificada en el flujo Zero Trust . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
El conflicto entre interoperabilidad y desconfianza . . . . . . . 182
Análisis forense en entornos de confianza cero . . . . . . . . . . 186
Zero Trust como doctrina . . . . . . . . . . . . . . . . . . . . . . . . . . 189
Obligaciones NIS2 para administraciones públicas . . . . . . . 192
Análisis de riesgos y seguridad de sistemas de información 193
Gestión de incidentes de ciberseguridad . . . . . . . . . . . . . . . 198
Continuidad operativa y gestión de crisis . . . . . . . . . . . . . . 203
Seguridad de la cadena de suministro de tecnologías de la información y comunicación. . . . . . . . . . . . . . . . . . . . . . . . 206
Controles técnicos fundamentales de ciberseguridad. . . . . . 211
Gobernanza, supervisión directiva y formación en ciberseguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
DORA. Resiliencia operativa digital en sector financiero y extensibilidad a administraciones públicas . . . . . . . . . . . . 229
DORA como laboratorio regulatorio de supervisión intensiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Los cinco pilares arquitectónicos de resiliencia operativa bajo DORA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
Extensibilidad de principios DORA a administraciones públicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
Aplicabilidad específica a entidades financieras públicas. . 235
Síntesis arquitectónica de blindaje institucional . . . . . . . . . 236
Del cumplimiento fragmentado a la arquitectura integrada 236
Mapeo de convergencias normativas. . . . . . . . . . . . . . . . . . 237
Arquitectura técnica de referencia para blindaje institucional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
Roadmap de implementación gradual. . . . . . . . . . . . . . . . . 245
Arquitectura de blindaje institucional bajo NIS2/ DORA/ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
CAPÍTULO 5
LA GRADUACIÓN DE LA AUTONOMÍA . . . . . . . . . . . . . . . . . . . . 257
La automatización como desafío a la imputabilidad clásica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
Taxonomía operativa de niveles de autonomía algorítmica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
Nivel 0. Sin automatización . . . . . . . . . . . . . . . . . . . . . . . . 261
Nivel 1. Asistencia informacional. . . . . . . . . . . . . . . . . . . . 262
Nivel 2. Recomendación automatizada . . . . . . . . . . . . . . . . 265
Nivel 3. Automatización supervisada . . . . . . . . . . . . . . . . . 271
Nivel 4. Automatización autónoma con aprendizaje continuo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
Nivel 5. Autonomía general (AGI): prohibido. . . . . . . . . . . 287
Tabla comparativa de los cinco niveles . . . . . . . . . . . . . . . . 290
Árbol de decisión para clasificación de sistemas. . . . . . . . . 291
Casos frontera y resolución . . . . . . . . . . . . . . . . . . . . . . . . . 291
Conclusión de Sección 5.2. . . . . . . . . . . . . . . . . . . . . . . . . . 292
Régimen de responsabilidad administrativa por nivel de autonomía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292
Responsabilidad en Nivel 1. Asistencia informacional. . . . 293
Responsabilidad en Nivel 2. Recomendación automatizada 295
Responsabilidad en Nivel 3. Automatización supervisada . 298
Responsabilidad en Nivel 4. Automatización autónoma con aprendizaje . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
Tabla de responsabilidad por nivel . . . . . . . . . . . . . . . . . . . 303
Principios transversales de responsabilidad . . . . . . . . . . . . 304
Conclusión de Sección 5.3. . . . . . . . . . . . . . . . . . . . . . . . . . 306
Validación de la taxonomía mediante casos ilustrativos . . 306
Caso 1: Sistema VioGén - Nivel 2 (Recomendación automatizada) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
Caso 2: Sistema de asignación de plazas escolares - Nivel 3
(Automatización supervisada) . . . . . . . . . . . . . . . . . . . . . . 316
Conclusión de Sección 5.4. . . . . . . . . . . . . . . . . . . . . . . . . . 325
Automatización algorítmica y principios constitucionales de buena administración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
Tensión 1: Eficacia administrativa versus supervisión humana exhaustiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
Tensión 2: Imparcialidad y objetividad versus sesgos algorítmicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
Tensión 3: Seguridad jurídica versus aprendizaje continuo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
Tensión 4: Tutela judicial efectiva versus opacidad algorítmica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
Conclusión de sección 5.5.. . . . . . . . . . . . . . . . . . . . . . . . . . 339
Hacia una ley de transparencia algorítmica. La iconografía HMC como estándar de evidencia en el sector público español. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340
Insuficiencia del marco actual. El vacío de comunicación al ciudadano . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341
El sistema de iconografía HMC. Del estándar Dubai al derecho español . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
Propuesta de reforma legislativa. Nuevo artículo 41bis de la Ley 39/2015. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
Techos de automatización por tipo de trámite. . . . . . . . . . . 355
Implementación y verificación. El rol de AESIA. . . . . . . . . 361
Sinergia iconografía HMC y arquitectura X-FAIT . . . . . . 367
CAPÍTULO 6
SOBERANÍA DIGITAL Y GOBERNANZA DE DATOS. EL PATRIMONIO DE LA ADMINISTRACIÓN EN LA ERA DE LA IA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
La Reconceptualización de la Soberanía en el Espacio de Datos Europeo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
Arquitecturas de Datos Soberanas. Del Cloud Centralizado al Edge Administrativo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
Tipología de entornos de datos en la Administración . . . . . 378
La nube pública global: eficiencia a costa de soberanía condicional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
El cloud soberano europeo como compromiso estructural . . 380
El edge administrativo como garantía última de proximidad y control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
Matriz comparativa: on-prem, nube global, cloud soberano y edge administrativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
Gobernanza de datos explotables por IA. Calidad, integridad y propiedad intelectual. . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
Calidad de los datos: métricas operativas para IA pública . 383
Integridad de datos: linaje y controles de transformación. . 384
Propiedad intelectual: el conocimiento institucional como activo crítico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
El anclaje de supervivencia. Resiliencia de datos ante ataques de envenenamiento (Adversarial AI). . . . . . . . . . . . 385
Taxonomía operativa de ataques adversariales a datos . . . 386
Arquitectura del anclaje de supervivencia. . . . . . . . . . . . . . 386
Ética de los datos y el derecho a la explicabilidad. . . . . . . . 387
Explicabilidad técnica vs. explicabilidad jurídica . . . . . . . . 388
Protocolos de explicabilidad por diseño . . . . . . . . . . . . . . . . 388
Key takeaways de la Parte III . . . . . . . . . . . . . . . . . . . . . . . . . 391
Glosario síntesis interseccional . . . . . . . . . . . . . . . . . . . . . . . . 392
Transición a Parte IV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
PARTE IV
GESTIÓN DE CIBERCRISIS, RESILIENCIA INSTITUCIONAL Y APRENDIZAJE POSFALLO
CAPÍTULO 7
GESTIÓN DE CIBERCRISIS Y GOBERNANZA EN ESCENARIOS DE ALTA PRESIÓN . . . . . . . . . . . . . . . . . . . . . . . . . 407
PARTE A
ARQUITECTURA DE LA RESPUESTA INSTITUCIONAL . . . . 408
Crisis y Cibercrisis. Delimitación conceptual y consecuencias jurídicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
Modelos de Gestión Escalonada. Bronze, Silver y Gold . . . 410
Nivel Bronze. Táctica de integridad y verdad forense. . . . . 410
Nivel Silver. Coordinación de Riesgos de Compliance . . . . 411
Nivel Gold. Soberanía decisional y responsabilidad política 412
La dimensión humana. sesgos cognitivos y el control efectivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
Velocidad, automatización y el límite humano . . . . . . . . . . . 414
PARTE B
GOBERNANZA EN EL MOMENTO DE LA VERDAD. . . . . . . . . 415
Cuando la seguridad falla. La auditoría de la soberanía . . . 415
Supervisores, autoridades y el nuevo ecosistema de control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
Comunicación en crisis. Entre la transparencia y el pánico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
Errores fatales y crisis de legitimidad . . . . . . . . . . . . . . . . . . 419
Aprendizaje Institucional y Memoria del Error. La Inmunidad del Sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421
Key takeaways de la Parte IV . . . . . . . . . . . . . . . . . . . . . . . . . 423
Glosario síntesis interseccional . . . . . . . . . . . . . . . . . . . . . . . . 424
PARTE V
GOBERNANZA EN INCERTIDUMBRE PERMANENTE Y SOBERANÍA DEL MANDO ALGORÍTMICO
CAPÍTULO 8
GOBERNAR LA CIBERSEGURIDAD EN 2026. LIDERAZGO, RIESGO Y ACCIÓN RESPONSABLE . . . . . . . . . . . . . . . . . . . . . . . 439
Del control perimetral a la arquitectura del privilegio. . . . 439
Del gestor técnico al garante institucional. . . . . . . . . . . . . . 439
La traducción del riesgo técnico en valor estratégico. . . . . . 440
El CISO como facilitador de la responsabilidad directiva . 440
La legitimidad como frontera final . . . . . . . . . . . . . . . . . . . 440
Gestión del riesgo en entornos automatizados y algorítmicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
El desplazamiento hacia el riesgo algorítmico y de identidad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
El riesgo de imputación y el marco regulatorio europeo . . . 441
Del análisis estático al control continuo y gobernable. . . . . 442
Gobernanza operativa de agentes de inteligencia artificial 442
La Identidad Artificial como anclaje de control y supervisión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
Sincronía con el AI Act y el ENS. Evitar las islas de automatización. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Contra la ilusión de control. Responsabilidad y resiliencia 443
Arquitecturas de identidad resilientes y el modelo Zero Trust. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
La identidad como frontera dinámica y especializada . . . . 444
Zero Trust. Verificación continua y control de contexto . . . 444
Zero Trust como principio de desconfianza estructural . . . 445
Identidad, contexto y control continuo. . . . . . . . . . . . . . . . . 446
Resiliencia organizativa y toma de decisiones bajo presión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
La resiliencia como capacidad de decisión, no solo de recuperación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
El piloto automático institucional y la revocación del mandato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
El CISO como intérprete de la agencia algorítmica . . . . . . 447
Coherencia, legitimidad y la arquitectura de la evidencia. . 447
Hoja de ruta para organizaciones públicas europeas . . . . . 448
De la conformidad normativa a la capacidad institucional 448
Integración de la gobernanza de IA en el núcleo de la ciberseguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448
La identidad como infraestructura de fe pública. . . . . . . . . 448
Liderazgo público y gestión del cambio.. . . . . . . . . . . . . . . . 448
Una hoja de ruta evolutiva hacia la Arquitectura de la Evidencia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450
Gobernar la complejidad. Ciberseguridad, inteligencia artificial y legitimidad democrática . . . . . . . . . . . . . . . . . . . . . . 450
Epílogo. ¿Quién gobierna cuando gobiernan los sistemas? 451
CAPÍTULO 9
EL FUTURO DE LA CIBERSEGURIDAD. GOBERNAR SISTEMAS QUE YA NO CONTROLAMOS DEL TODO . . . . . . . 453
De la seguridad como función a la seguridad como sistema de gobierno. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453
Europa ante el dilema de la automatización soberana . . . . 454
El nuevo contrato institucional. Ciudadanos, algoritmos y responsabilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457
El CISO y la alta dirección como arquitectos de confianza 458
Gobernar en incertidumbre permanente. El realismo estratégico de la ciberseguridad . . . . . . . . . . . . . . . . . . . . . . . . . 460
Anclajes de supervivencia para una ciberseguridad legítima . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461
Responsabilidad indelegable en la toma de decisiones digitales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462
La trazabilidad como presupuesto de explicabilidad y rendición de cuentas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462
El control humano significativo en los puntos de no retorno. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
La identidad gobernada como base de imputación jurídica 464
Transparencia operativa compatible con la seguridad . . . . 465
Capacidad institucional de aprendizaje tras el fallo . . . . . . 466
Key takeaways de la Parte V . . . . . . . . . . . . . . . . . . . . . . . . . . 467
Glosario síntesis interseccional . . . . . . . . . . . . . . . . . . . . . . . . 469
PARTE VI
ANEXOS
Doctrina. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483
Glosario completo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483
Referencias bibliográficas . . . . . . . . . . . . . . . . . . . . . . . . . . 507
TABLA DE ABREVIATURAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513