Saltar a contenido

Bibliografía Fundamental

(El Arsenal de la Ingeniería de la Evidencia)

Introducción: Las Fuentes de la Defensa

Este anexo no busca la erudición académica, sino la supervivencia operativa. Hemos seleccionado los textos que fundamentan la tesis de la Fiscalía Digital y la Auditoría Continua. Estas obras proveen la base técnica, arquitectónica y forense para destruir la "confianza implícita" y transformar el cumplimiento normativo en restricciones físicas ineludibles.

Bloque 1: El Colapso de la Fe Administrativa

  • Gilman, E., & Barth, D. (2017). "Zero Trust Networks: Building Secure Systems in Untrusted Networks". O'Reilly Media. [Ver Libro]
    • Por qué leerlo: La base técnica para eliminar la confianza implícita (Capítulo 01). Explica por qué el perímetro tradicional basado en red falló estrepitosamente y por qué la auditabilidad y el escepticismo deben diseñarse desde cero (Capítulo 02).
  • Institute of Internal Auditors (IIA). (2020). "El Modelo de las Tres Líneas del IIA". [Ver Documento]
    • Por qué leerlo: El marco doctrinal oficial global. Lectura obligatoria para entender el diseño del antagonismo necesario y la urgencia de la independencia vertical de la tercera línea frente a la gestión operativa (Capítulo 03).

Bloque 2: La Ficción y el Poder (Identidad y Privilegios)

  • Schneier, B. (2012). "Liars and Outliers: Enabling the Trust that Society Needs to Thrive". John Wiley & Sons. [Ver Libro]
    • Por qué leerlo: Fundamental para desmantelar la cultura de la simulación y el teatro de seguridad (Capítulo 04). Explica la mecánica de cómo los sistemas de confianza corporativos son manipulados y capturados por actores internos.
  • NIST Special Publication 800-63-4. "Digital Identity Guidelines". National Institute of Standards and Technology. [Ver Documento]
    • Por qué leerlo: El estándar absoluto para el control de accesos. Define las reglas matemáticas de la autenticación fuerte (MFA) y prueba que la identidad es el nuevo perímetro forense, sin el cual el "No Repudio" es imposible (Capítulo 05).

Bloque 3: La Ingeniería del Rastro (Evidencia y Configuración)

  • Morris, K. (2020). "Infrastructure as Code: Dynamic Systems for the Cloud Age". O'Reilly Media. [Ver Libro]
    • Por qué leerlo: El manual técnico para auditar configuraciones. Demuestra cómo el código se convierte en la única ley del sistema, transformando la infraestructura en un artefacto auditable y previniendo el Configuration Drift (Capítulo 09).
  • Beyer, B., et al. (2016). "Site Reliability Engineering (SRE)". O'Reilly Media. [Ver Libro]
    • Por qué leerlo: La doctrina operativa de Google. Provee el fundamento ingenieril para exigir telemetría centralizada, registros WORM y la preservación inmutable de la evidencia (Capítulo 08).

Bloque 4: Verificación y Consecuencia (Red Teaming y Comportamiento)

  • Zenko, M. (2015). "Red Team: How to Succeed By Thinking Like the Enemy". Basic Books. [Ver Libro]
    • Por qué leerlo: La justificación estratégica de la prueba hostil. Establece que un control que no ha sido atacado es solo una hipótesis; la agresión simulada transforma esa intención administrativa en resistencia material comprobada (Capítulo 11).
  • Bejtlich, R. (2013). "The Practice of Network Security Monitoring". No Starch Press. [Ver Libro]
    • Por qué leerlo: Vital para auditar el comportamiento. Enseña a definir la normalidad, buscar la desviación del baseline y encontrar la verdad operativa irrefutable oculta en los registros del sistema (Capítulo 10).

Bloque 5: La Ingeniería de la Certeza (Auditoría Continua y CaC)

  • AICPA. "Audit Analytics and Continuous Audit: Looking Toward the Future". American Institute of Certified Public Accountants. [Ver Documento]
    • Por qué leerlo: Este compendio aporta la base doctrinal definitiva para decretar la muerte del muestreo estadístico (Capítulo 14). Al integrar la analítica moderna y documentar casos empíricos, demuestra que la auditoría continua ha dejado de ser una aspiración teórica para convertirse en un estándar técnico maduro: la validación automatizada sobre el 100% de la población es hoy una exigencia operativa ineludible.
  • ISACA. (2010). "IT Audit and Assurance Guideline G42: Continuous Assurance". Information Systems Audit and Control Association. [Ver Guía]
    • Por qué leerlo: El estándar técnico que formaliza cómo la auditoría de sistemas debe abandonar las revisiones periódicas retrospectivas en favor de evaluaciones automatizadas. Delimita de manera forense la diferencia entre el monitoreo continuo (responsabilidad de la 1ª y 2ª línea) y la auditoría continua independiente (responsabilidad de la 3ª línea).
  • Forsgren, N., Humble, J., & Kim, G. (2018). "Accelerate: The Science of Lean Software and DevOps". IT Revolution Press. [Ver Libro]
    • Por qué leerlo: La ciencia dura detrás de la automatización. Esencial para entender cómo inyectar Compliance como Código directamente en los pipeline de despliegue (CI/CD), transformando la política en un bloqueo de compilación (Capítulo 15).