La Dirección General de Ciberseguridad (DGC) de la Agencia de Transformación Digital y Telecomunicaciones (ATDT) invitó a ISACA (una organización mundial sin fines de lucro que certifica y competencias TI) para que diseñe un programa de capacitación en ciberseguridad que habrán de tomar todos los Responsables Institucionales de Ciberseguridad (RICs) de la Administración Pública Federal (AFP). Aquí verás detalles de esta iniciativa.
Por Redacción Política Digital
Junio 2026
Este programa es una evidencia más de que la ciberseguridad en el sector público dejó de ser un tema de nicho para convertirse en una prioridad institucional con impacto en la seguridad nacional.
El objetivo general será fortalecer las capacidades institucionales en conformidad con la Política de Ciberseguridad de la APF, mediante un programa formativo estructurado y progresivo que abarca fundamentos, niveles intermedios y medición de madurez. En concreto, se busca que los RICs puedan diseñar estrategias y marcos de gestión de ciberseguridad; formular políticas, estándares y controles homologados; º la identificación y mitigación de riesgos; evaluar el nivel de madurez de sus instituciones, y llevar a cabo evaluaciones.
Los contenidos contemplan tres cursos de fundamentos y cuatro intermedios, con una duración de entre 18 y 24 horas cada uno, cubriendo áreas críticas como gestión de riesgos, gobernanza de ciberseguridad, respuesta a incidentes y evaluación de madurez institucional. Un aspecto relevante del diseño es su neutralidad técnica: el programa se basa en marcos internacionales —CISM, CRISC, CISA, CCOA, COBIT 2019, NIST CSF, ISO/IEC 27001 y CIS Controls— sin estar vinculado a soluciones o productos comerciales específicos. Esto garantiza un enfoque objetivo y orientado al interés público, un requisito indispensable cuando se trata de formar a quienes toman decisiones de seguridad para el Estado.
Una alianza pública-privada
El pasado lunes 25 de mayo, en las instalaciones de Mastercard en la CDMX, y ante la presencia virtual de 380 personas servidoras públicas -los RICs y muchos de sus adjuntos- se realizó el lanzamiento oficial de la plataforma digital de e-learning, y se dieron a conocer los contenidos de los primeros cursos.
El evento contó con la presencia de Heidy Rocha y Mario Cortés -Titular y Titular adjunto de la DGC- integrantes de la mesa directiva de ISACA capítulo CDMX, y ejecutivos de las empresas Mastercard, NTT Data, Seguridata, Clouflare, Interware, Fortinet, y otras organizaciones que han comprometido su apoyo.
Mario Cortés subrayó la necesidad de desarrollar el capital humano para fortalecer la institucionalidad de la APF: Se trata de alinear a los RICs en torno a una visión / misión compartida que pasa por la homologación de conocimientos que apuntan hacia objetivos comunes.
La creación de una alianza público / privada ha sido el factor clave para habilitar esta iniciativa, ya que el cuerpo docente y la plataforma digital de e-learning se pudo constituir gracias a la colaboración del sector privado. Este modelo resulta significativo porque demuestra que la capacitación en ciberseguridad del sector público no tiene que depender exclusivamente de presupuesto gubernamental. Cuando el diseño es neutral, los estándares son internacionales y la gobernanza es institucional, la participación del sector privado se convierte en un habilitador legítimo y escalable.
Mastercard: México es prioridad en el contexto global
Durante el lanzamiento, Mastercard, dio a conocer la visión global de la compañía, que consiste en articular la construcción de ecosistemas que habiliten la confianza digital. La compañía posicionó a México como país prioritario dentro de su agenda mundial de seguridad, confianza y resiliencia, por lo que su compromiso de largo plazo con el gobierno federal le resulta muy consistente.
Debido a que la seguridad del ecosistema digital no es responsabilidad exclusiva de un solo actor, las amenazas cibernéticas que enfrenta el sector público requieren respuestas colectivas que integren capacidades técnicas, inteligencia de amenazas y experiencia operativa que aporta el sector privado. Esta articulación coincide plenamente con las prioridades que se ha planteado la ATDT.
Un punto de inflexión
Durante años, la brecha entre la sofisticación de las amenazas y las capacidades institucionales necesarias para enfrentarlas, no ha dejado de crecer… eso se acabó.
Ahora, con este nuevo programa masivo de capacitación, la ciberseguridad pasará a ser una prioridad institucional para la APF.
Al concluir este programa, los RICs contarán con herramientas conceptuales y operativas para diseñar estrategias, gestionar riesgos, coordinar respuestas a incidentes y evaluar el nivel de madurez de sus instituciones, gracias a una ruta de formación estandarizada, progresiva y alineada a marcos internacionales.
Se trata sin ninguna duda, de un punto de inflexión.
El mensaje de fondo es claro, “la ciberseguridad del Estado mexicano se construye mejor cuando el sector público y el privado trabajan juntos, con reglas claras, estándares compartidos y un objetivo común”.
La primera generación de funcionarios iniciará su formación este mes de junio. El reto ahora es sostener el ritmo, ampliar la cobertura de esta capacitación hacia estados y municipios, y demostrar que el bienestar de las personas depende de la inversión que se haga en capacidades humanas y tecnología.
El contenido de los cursos
BLOQUE 1 – CURSOS DE FUNDAMENTOS DE SEGURIDAD
Base: Cybersecurity Fundamentals + CISA + CISM + CRISC + CCOA
Duración: 24 horas
Módulo 1. Introducción a la Ciberseguridad
- Qué es ciberseguridad y por qué es crítica
- Tipos de seguridad: información, TI, OT, física
- Diferencia entre TI tradicional y sistemas especializados
- Roles comunes en ciberseguridad: CISO, analista, auditor, gestor
- Relación ciberseguridad – negocio – continuidad
Módulo 2. Panorama de Amenazas
- Agentes de amenaza
- Tipos de ataques
- Malware, ransomware, phishing
- Ciclo del ciberataque
- Introducción a modelos de ataque: kill chain, MITRE, solo conceptual
Módulo 3. Controles de Seguridad – Visión General
- Tipos de controles: administrativos, técnicos y físicos
- Controles preventivos, detectivos y correctivos
- Controles de acceso lógico
- Seguridad en capas y defensa en profundidad
- Introducción a Zero Trust
Módulo 4. Arquitectura y Operaciones Básicas
- Concepto de arquitectura de seguridad
- Perímetro y segmentación
- Fundamentos de redes seguras
- Seguridad de endpoints
- Registro, monitoreo y detección, visión general
Módulo 5. Continuidad e Incidentes – Fundamentos
- Diferencia evento vs incidente
- Introducción a respuesta a incidentes
- BCP y DRP
- Análisis de impacto al negocio, conceptual
BLOQUE 1 – FUNDAMENTOS DE RIESGO
Base: CISA + CISM + CRISC + CCOA
Duración: 18 horas
Módulo 1. Fundamentos de Riesgo
- Definición de riesgo TI
- Relación riesgo – objetivos de negocio
- Apetito y tolerancia al riesgo, conceptual
- Riesgo empresarial vs riesgo de TI
Módulo 2. Gobierno del Riesgo
- Gestión de riesgo empresarial, ERM
- Roles y responsabilidades
- Líneas de defensa
- Cultura y ética relacionada con riesgo
Módulo 3. Identificación de Riesgos
- Eventos de riesgo
- Amenazas y vulnerabilidades
- Modelado básico de amenazas
- Riesgos tecnológicos comunes
- Riesgos de terceros y cadena de suministro, intro
Módulo 4. Evaluación de Riesgos – Nivel Básico
- Conceptos de evaluación
- Análisis cualitativo
- Análisis de impacto, BIA básico
- Registro de riesgos
Módulo 5. Respuesta al Riesgo – Introducción
- Evitar, mitigar, transferir, aceptar
- Propiedad del riesgo
- Relación riesgo-control, sin diseño profundo
BLOQUE 1 – FUNDAMENTOS DE MEDICIÓN DE MADUREZ
Base: CMMI v3.0 + COBIT 2019 + NIST
Duración: 24 horas
Módulo 1. Introducción a la Madurez
- Qué es madurez y para qué sirve
- Madurez vs cumplimiento
- Madurez vs capacidad
Módulo 2. COBIT 2019 – Medición
- Sistema de gobierno de COBIT
- Objetivos de gobierno y gestión
- Concepto de capacidad
- Gestión del desempeño
- Perspectiva de madurez en COBIT
Módulo 3. Introducción al NIST CSF
- Origen y propósito del marco
- Enfoque basado en riesgo
- Diferencia entre cumplimiento y perfil de madurez
- Relación con la Política de Ciberseguridad APF
Módulo 4. Estructura del NIST CSF
- Funciones: Identify, Protect, Detect, Respond, Recover
- Categorías y subcategorías
- Informative references
- Relación con controles y prácticas
Módulo 5. CMMI – Fundamentos
- Qué es CMMI v3.0
- Arquitectura del modelo
- Prácticas, áreas y dominios
- Niveles de madurez, 1 a 5
Módulo 6. Medición y Mejora
- Evaluación básica de procesos
- Identificación de brechas
- Uso de métricas iniciales
- Relación con mejora continua
BLOQUE 2 – CURSOS INTERMEDIOS
Gestión de Seguridad de la Información
Base: CISM
Prerrequisitos: fundamentos de ciberseguridad y riesgos de TI
Duración: 18 horas
- Gobierno de la seguridad de la información
- Estrategia de seguridad alineada al negocio
- Gestión del programa de seguridad
- Desarrollo y mantenimiento de políticas
- Gestión de recursos y capacidades
- Métricas y KPIs de seguridad
- Integración con continuidad e incidentes
Gestión de Riesgos de TI
Base: CRISC
Prerrequisitos: fundamentos de ciberseguridad y riesgos de TI
Duración: 18 horas
- Diseño formal del marco de riesgo
- Desarrollo de escenarios de riesgo
- Análisis avanzado
- Diseño y selección de controles
- Pruebas de controles
- Métricas de riesgo
- Reporte ejecutivo de riesgos
BLOQUE 2 – CURSOS INTERMEDIOS, continuación
Analista de Operaciones de Ciberseguridad
Base: CCOA
Prerrequisitos: fundamentos de ciberseguridad y riesgos de TI
Duración: 18 horas
- Operación de SOC
- Monitoreo y correlación
- Gestión de vulnerabilidades
- Threat intelligence
- Respuesta a incidentes operativa
- Forense digital básica
- Integración con riesgo y cumplimiento
Auditor de TI / Ciberseguridad – Intermedio
Base: CISA
Prerrequisitos: fundamentos de ciberseguridad y riesgos de TI
Duración: 24 horas
- Proceso de auditoría de TI
- Planeación basada en riesgo
- Evaluación de controles
- Evidencia y pruebas
- Auditoría de seguridad
- Auditoría de continuidad e incidentes
- Reporte y seguimiento de hallazgos