vCISO · GRC · Cumplimiento LATAM

Riesgo cibernético, traducido a decisiones de negocio.

Soy Mariano Orquin, vCISO y asesor independiente. Llevo la ciberseguridad a un lenguaje que el directorio entiende y el negocio sostiene: gobierno, ISO 27001, PCI DSS y cumplimiento regulatorio para empresas que operan en LATAM.

Agendá una conversación Ver servicios

Marcos, normas y regulaciones de práctica

ISO/IEC 27001:2022 NIST CSF CIS Controls v8 ISO/IEC 42001 PCI DSS v4 NIS2 DORA SEC Cyber Rules

Ver todos los marcos y leyes de datos →

Sectores: Retail · Financiero / Bancario · Medios de pago · Industrias reguladas (OT/Industrial)

Plataformas y comunidades: Microsoft Azure · ISACA

El problema

Lo que mantiene despierto a un directorio

Tres preguntas que el board hace y que pocas organizaciones pueden responder con datos.

No sé mi exposición real

Tenés controles dispersos, pero ninguna foto objetiva de qué riesgo corre el negocio hoy.

La regulación cambia y no sé si cumplo

Nuevas leyes de ciberseguridad y datos en cada país, plazos que corren y nadie con la foto completa.

No puedo justificar la inversión ante el board

Necesitás defender el presupuesto de seguridad con argumentos de negocio, no con jerga técnica.

Cómo ayudo

Servicios concretos, no consultoría difusa

Cada engagement tiene un problema definido, un alcance claro y un entregable concreto.

Ver todos los servicios

vCISO · CISO as a Service

Gobierno de seguridad continuo sin el costo de un CISO full-time.

Conocer más

Implementación y acompañamiento en certificación ISO/IEC 27001:2022

Del gap analysis a la auditoría de certificación, sin sorpresas.

Conocer más

Assessment & Gap Analysis de ciberseguridad

Diagnóstico de madurez con roadmap priorizado por riesgo y presupuesto.

Conocer más

Cumplimiento regulatorio LATAM

Mapeo multi-país de obligaciones de ciberseguridad y datos personales.

Conocer más

Por qué un independiente

La independencia es la ventaja, no la limitación

Sin sesgo de fabricante

No vendo licencias ni cajas. Recomiendo lo que le conviene al negocio, no a un proveedor.

Accedés al principal, no a un junior

El que diagnostica y firma es el que ejecuta. Sin capas intermedias.

Experiencia regional real

20+ años operando en múltiples países de LATAM. Práctica, no teoría.

Negocio + profundidad técnica

Hablo con el CISO y con el board en su idioma, sin perder rigor.

Desarrollo propio

Apex GRC: tu programa de seguridad en una sola plataforma

Desarrollé mi propia plataforma de GRC para potenciar cada engagement: consolida riesgo, cumplimiento, exposición técnica, terceros y accesos privilegiados, y lo traduce a métricas y reportes listos para el directorio. 100% local y privado.

Dashboard ejecutivo de postura
Conectores read-only de datos en vivo
Cumplimiento ↔ hallazgos por framework
MFA offline y bitácora de auditoría

Conocer Apex GRC

Apex GRC · Dashboard ejecutivo

Postura

78%

Riesgos

Cumplim.

71%

Riesgo por categoría

Identidad y accesos82%

Exposición externa64%

Cumplimiento71%

Terceros55%

Vista ilustrativa · datos de ejemplo

Insights

Análisis recientes

Lectura para el directorio sobre el riesgo que viene. Cada nota cierra con una pregunta incómoda.

Ver todos los insights

Incidentes & lecciones 5 min

Filtraron el pasaporte de Messi y del plantel entero. No fue ransomware: fue una planilla sin tachar.

No hubo un grupo seis meses adentro de la red. Hubo un Excel enviado a la prensa sin tapar los datos, cuando los pasaportes de Islandia, en la misma hoja, sí estaban tapados. Se podía. Nadie lo hizo.

12 de jun de 2026 Leer

Regulación LATAM 5 min

Argentina ya exige probar que tu recuperación ante desastres funciona. Si le vendés al Estado, también te alcanza.

El 13 de mayo de 2026, el Centro Nacional de Ciberseguridad publicó la Disposición 1/2026: el primer reglamento técnico obligatorio de continuidad y recuperación ante desastres para el Sector Público Nacional. Ya está vigente, con 180 días para cumplir. Y baja por la cadena de proveedores.

11 de jun de 2026 Leer

GRC & ISO 27001 5 min

Tu awareness mide cuántos hicieron el curso. Eso es conformidad, no seguridad.

Un video de 10 minutos una vez al año y un multiple choice tildan una casilla de auditoría; no cambian un solo hábito. El problema no es la capacitación: es qué estás midiendo.

9 de jun de 2026 Leer

¿Querés saber cuál es tu exposición real?

Agendemos una conversación. En 30 minutos salís con una lectura clara de por dónde empezar.

Agendá una conversación