Saltar a contenido

Bibliografía Fundamental

(El Arsenal de la Ingeniería de la Evidencia)

Introducción: Las Fuentes de la Defensa

Este anexo no busca la erudición académica, sino la supervivencia operativa. Hemos seleccionado los textos que fundamentan la tesis de la Fiscalía Digital y la Auditoría Continua. Estas obras proveen la base técnica, arquitectónica y forense para destruir la "confianza implícita" y transformar el cumplimiento normativo en restricciones físicas ineludibles.

Bloque 1: El Colapso de la Fe Administrativa

  • Gilman, E., & Barth, D. (2017). "Zero Trust Networks: Building Secure Systems in Untrusted Networks". O'Reilly Media. [Ver Libro]
    • Por qué leerlo: La base técnica para eliminar la confianza implícita (Capítulo 01). Explica por qué el perímetro tradicional basado en red falló estrepitosamente y por qué la auditabilidad y el escepticismo deben diseñarse desde cero (Capítulo 02).
  • Institute of Internal Auditors (IIA). (2020). "El Modelo de las Tres Líneas del IIA". [Ver Documento]
    • Por qué leerlo: El marco doctrinal oficial global. Lectura obligatoria para entender el diseño del antagonismo necesario y la urgencia de la independencia vertical de la tercera línea frente a la gestión operativa (Capítulo 03).

Bloque 2: La Ficción y el Poder (Identidad y Privilegios)

  • Schneier, B. (2012). "Liars and Outliers: Enabling the Trust that Society Needs to Thrive". John Wiley & Sons. [Ver Libro]
    • Por qué leerlo: Fundamental para desmantelar la cultura de la simulación y el teatro de seguridad (Capítulo 04). Explica la mecánica de cómo los sistemas de confianza corporativos son manipulados y capturados por actores internos.
  • NIST Special Publication 800-63-3. "Digital Identity Guidelines". National Institute of Standards and Technology. [Ver Documento]
    • Por qué leerlo: El estándar absoluto para el control de accesos. Define las reglas matemáticas de la autenticación fuerte (MFA) y prueba que la identidad es el nuevo perímetro forense, sin el cual el "No Repudio" es imposible (Capítulo 05).

Bloque 3: La Ingeniería del Rastro (Evidencia y Configuración)

  • Morris, K. (2020). "Infrastructure as Code: Dynamic Systems for the Cloud Age". O'Reilly Media. [Ver Libro]
    • Por qué leerlo: El manual técnico para auditar configuraciones. Demuestra cómo el código se convierte en la única ley del sistema, transformando la infraestructura en un artefacto auditable y previniendo el Configuration Drift (Capítulo 09).
  • Beyer, B., et al. (2016). "Site Reliability Engineering (SRE)". O'Reilly Media. [Ver Libro]
    • Por qué leerlo: La doctrina operativa de Google. Provee el fundamento ingenieril para exigir telemetría centralizada, registros WORM y la preservación inmutable de la evidencia (Capítulo 08).

Bloque 4: Verificación y Consecuencia (Red Teaming y Comportamiento)

  • Zenko, M. (2015). "Red Team: How to Succeed By Thinking Like the Enemy". Basic Books. [Ver Libro]
    • Por qué leerlo: La justificación estratégica de la prueba hostil. Establece que un control que no ha sido atacado es solo una hipótesis; la agresión simulada transforma esa intención administrativa en resistencia material comprobada (Capítulo 11).
  • Bejtlich, R. (2013). "The Practice of Network Security Monitoring". No Starch Press. [Ver Libro]
    • Por qué leerlo: Vital para auditar el comportamiento. Enseña a definir la normalidad, buscar la desviación del baseline y encontrar la verdad operativa irrefutable oculta en los registros del sistema (Capítulo 10).

Bloque 5: La Ingeniería de la Certeza (Auditoría Continua y CaC)

  • ISACA / AICPA. (2010). "Continuous Auditing and Continuous Monitoring". [Ver Documento]
    • Por qué leerlo: El argumento doctrinal definitivo para declarar la muerte del muestreo estadístico en entornos de datos estructurados (Capítulo 14). Explica la ineludible transición técnica hacia la validación automatizada y exhaustiva.
  • Forsgren, N., Humble, J., & Kim, G. (2018). "Accelerate: The Science of Lean Software and DevOps". IT Revolution Press. [Ver Libro]
    • Por qué leerlo: La ciencia dura detrás de la automatización. Esencial para entender cómo inyectar Compliance como Código directamente en las tuberías de despliegue (CI/CD), transformando la política en un bloqueo de compilación (Capítulo 15).