Francisco Escalante

Profesional con 20 años de experiencia en Gestión de Riesgo Cibernético, GRC y Continuidad de Negocio en entornos corporativos complejos: grupos financieros (SOFOM), empresas multi-negocio y operaciones a escala nacional. He construido programas de gobierno de riesgo desde cero, liderado auditorías de ciberseguridad para hasta 8 empresas simultáneas, implementado BCP/DRP con RTO/RPO validados y presentado el estado de riesgo a comités directivos. Trabajo con ISO 27001, NIST CSF, COBIT 2019, ISO 31000 y COSO como marcos de referencia cotidianos, no como conocimiento teórico.

Gerente de Ciberseguridad, GRC & Auditoría - Symphony Consulting - Grupo Cinnte Consultores

(2026-01)

Gerente de Ciberseguridad, GRC & Auditoría - Grupo Cinnte Consultores

(2024-03 - 2025-11)

• Dirijo la estrategia de riesgo cibernético para infraestructura crítica bajo ISO 27001, NIST CSF y modelo Zero Trust, operando como segunda línea de defensa entre TI y dirección.
• Implementé el programa de Gestión de Vulnerabilidades con Nessus y OpenVAS: escaneos quincenales, priorización por CVSSv3, SLAs de remediación por criticidad (crítico 72 h · alto 15 días · medio 30 días) y reporte mensual de madurez al CISO.
• Diseñé playbooks de Respuesta a Incidentes para ransomware, phishing y acceso no autorizado, con niveles de severidad P1–P4, rutas de escalamiento a dirección y protocolo de comunicación a reguladores; coordiné los primeros simulacros de respuesta.
• Establecí el proceso de TPRM para proveedores críticos: inventario de terceros por nivel de acceso, cuestionarios basados en ISO 27001 Anexo A, tiering de riesgo (Crítico / Alto / Medio / Bajo) y monitoreo continuo desde onboarding hasta offboarding.
• Ejecuté BIA para 12 procesos críticos de negocio — dependencias tecnológicas, impacto por hora de interrupción y RTO/RPO por área — y coordino 2 simulacros anuales de recuperación con resultados documentados.
• Construí dashboard de riesgo cibernético en Power BI (MTTD, MTTR, cobertura de VM, heat map por área) presentado mensualmente a dirección; definí el Cyber Risk Appetite Statement aprobado por la dirección general.
• Reviso la postura de seguridad de arquitecturas cloud (Azure/GCP) y on-premise: controles de IAM, segmentación de red y superficies de ataque — desde perspectiva de gobierno, no de implementación técnica.
• Reducción del 80% en exposición de riesgos cibernéticos mediante controles preventivos y monitoreo activo.
• Optimización de 90 procesos tecnológicos con reducción de costos y tiempos de ejecución documentados.
• Automatización de auditorías de TI, reduciendo tiempos de análisis en 40%.

Coordinador de Auditoría de Ciberseguridad, TI & GRC - Grupo FINCAMEX (SOFOM · Financiera · Construcción)

(2022-11 - 2024-02)

• Diseñé y ejecuté el programa anual de auditorías de ciberseguridad para 7 empresas del grupo aplicando COBIT 2019, ISO 27001, NIST CSF e ISO 19011; cada ciclo cerró con informe ejecutivo de riesgo residual y plan de remediación priorizado presentado al comité directivo.
• Sublíder de implementación de ISO 27001, 27002 en las 3 empresas.
• Evaluación de infraestructura, redes, bases de datos, Site, BI, proyectos, Scrum.
• Implementé el proceso de TPRM para proveedores del grupo financiero: clasificación por nivel de acceso a datos (PII / financieros), due diligence contractual, planes de remediación y monitoreo trimestral — cubriendo requisitos regulatorios del sector SOFOM.
• Gestioné incidentes de seguridad de ciclo completo: detección, contención, forense, erradicación, recuperación y postmortem con lecciones aprendidas, incluyendo notificación formal a reguladores.
• Coordiné evaluaciones de vulnerabilidades, hacking ético y pentesting en infraestructura del grupo; identifiqué riesgos tecnológicos críticos con impacto directo al negocio financiero.
• Implementé BCP/DRP para las 7 empresas: BIA por empresa, RTO/RPO definidos por proceso crítico, planes de recuperación validados en auditoría interna.
• A partir de hallazgos de auditoría generé dos proyectos aprobados por dirección: creación del área SOC corporativa e implementación de ISO 27001 en todo el grupo.
• 85% de mejora en gobierno de TI medido por madurez de controles COBIT 2019.
• 90% de reducción de vulnerabilidades críticas en los primeros 6 meses de gestión.

Programa Manager / Jefe de Gobierno GRC, Auditorías & Cumplimiento - Grupo AltaVista

(2021-08 - 2023-10)

• Diseñé el programa GRC corporativo alineado a ISO 27001, NIST, COBIT 2019, ISO 9001, ISO 20000 e ISO 22301; operé como responsable de segunda línea de defensa ante la dirección general.
• Administré el Risk Register corporativo bajo ISO 31000: identificación, análisis, evaluación, tratamiento y monitoreo de riesgos tecnológicos con reporte periódico al comité directivo.
• Coordiné auditorías de seguridad, evaluaciones de riesgo e investigaciones forenses en todas las áreas de TI; gestioné incidentes de ciclo completo y supervisé controles (firewalls, IDS, DLP).
• Lideré la implementación y seguimiento de certificaciones: CMMI-DEV N5, ISO 27001, ISO 9001, ISO 37000, ISO 20000 e ISO 22301, incluyendo BIA, planes de recuperación y auditorías de cumplimiento.
• Definí niveles de servicio TI bajo ISO 20000 con métricas de monitoreo continuo; gestioné procesos de incidentes, problemas y cambios alineados a ITIL.
• Dirigir un proyecto B2B web y aplicaciones del mercado agrícola, con fortalecimiento de seguridad de aplicaciones.
• 50% de incremento en el índice de gobierno de TI y 35% en capacidades operativas en 14 meses.

Program Manager de Software - Grupo AltaVista

(2020-01 - 2021-07)

• Gestioné plataforma digital B2B y proyectos de inteligencia de negocios coordinando 5 equipos distribuidos en distintos países, alcanzando certificación CMMI Nivel 5 para la empresa.
• Implementé revisiones de seguridad de aplicaciones (OWASP), gestión de backlog y metodología híbrida Scrum/PMI; desplegué SharePoint y Azure DevOps para seguimiento de proyectos.

Coordinador de Operaciones y Seguridad TI - Clariti / SAPI de CV

(2018-10 - 2020-02)

• Implementé marcos de cumplimiento (ITIL 4, ISO 27001, NIST) y supervisé controles de seguridad en infraestructura propia y de clientes del sector financiero.
• Gestioné incidentes de seguridad e investigaciones forenses; desarrollé políticas y procedimientos de seguridad de la información y coordiné evaluaciones de terceros proveedores de TI.
• 30% de reducción en incidentes de seguridad y 40% de mejora en cumplimiento normativo auditado externamente.

Gerente de Sistemas & Seguridad - Bamboo

(2017-01 - 2018-12)

• Administré la infraestructura tecnológica de 26 sucursales en 5 estados; implementé ERP, controles de seguridad informática (firewall, segmentación de red, ISO 27001 básico) y seguimiento a niveles de servicio.
• 40% de reducción en costos de TI y 40% de incremento en eficiencia operativa.

Líder de proyecto - Coppel

(2013-01 - 2017-12)

• Administré proyectos de software con medidas de seguridad devsecops.

Gerente de proyectos - Invision

(2012-01 - 2013-12)

• Administré proyectos de un cliente infraestructura, mesa de servicio, desarrollo de software.

Gerente de Sistemas & Seguridad - Agrícola René Produce SA de CV

(2004-12 - 2011-08)

• Establecí el plan anual de seguridad cibernética y de la información; coordiné auditorías externas e implementé controles (firewalls, IDS, DLP) en infraestructura multi-sede: Culiacán, Monterrey, Guadalajara, Nogales y Costa Rica.
• Implementé ERP agrícola integral (todos los módulos de negocio) y plataforma de e-commerce con integración a Walmart USA; desplegué infraestructura de redes y replicación de datos SQL Server en todas las sedes.
• Apliqué metodologías ITIL, ISO 27000, agile y CMMI nivel 2; elaboré manuales de políticas y procedimientos de infraestructura, tecnología e información.