Journal Online
La Gerencia de la Seguridad de la
Jeimy J. Cano, Ph.D.,
CFE. Miembro investigador
del Grupo de Estudios en
Comercio Electrónico,
Telecomunicaciones e
Informática (GECTI) de la
Facultad de Derecho y
Profesor Distinguido de la
misma Facultad, Universidad
de los Andes, Colombia.
Miembro del Subcomité de
Publicaciones de ISACA.
Contacto: jjcano@yahoo.com
Do you have
something
to say about
this article?
Visit the Journal pages
of the ISACA web site
(www.isaca.org/journal),
find the article, and
choose the Comments
tab to share your
thoughts.
Información: Evolución y Retos Emergentes
Asegurar una efectiva estrategia de seguridad de
la información, no es sólo cuestión de instalar y
mantener artefactos tecnológicos especializados,
sino comprender de manera sistémica las
relaciones propias entre la estrategia corporativa,
los procesos y los individuos. En este sentido
y considerando los cambios dinámicos y la
constante exigencia de la alta gerencia de tener
la información para la toma de decisiones, el rol
del chief information security officer (CISO) se
vuelve altamente sensible y crítico, razón por
la cual en este documento se presentan algunas
reflexiones que nos permitan conocer su rol, los
tipos de relacionamiento requerido, y el proceso
de transformación que debe seguir frente a una
realidad altamente interconectada, móvil y con
sobrecarga de información.
Históricamente los temas de seguridad de la
información han sido calificados como técnicos
y sofisticados, como referentes eminentemente
tecnológicos que requieren un nivel de
especialidad propio que generalmente actúa
como parte independiente de las funciones de
negocio. Una seguridad concebida de esta forma
manifiesta un desbalance entre lo que realmente
necesita la organización y la forma como se
articulan los artefactos tecnológicos requeridos
para que se haga realidad la sensación de
protección requerida.
Mientras la función de protección de
la información, se mantenga asociada con
una distinción eminentemente técnica y de
dispositivos tecnológicos, poco será el margen de
maniobra que se pueda realizar para apalancar
una vista más estratégica y funcional para ser
parte de la agenda de los altos ejecutivos de la
empresa. De otra parte y considerando que,
de acuerdo con Thomas H. Davenport y Jim
Hagemann Snabe, los altos ejecutivos de las
compañías prefieren mayor velocidad en el acceso
a la información, que exactitud en la misma, se
nos plantea un nuevo reto para transformar el
colectivo ejecutivo de las organizaciones, para
mostrarle que la mejor forma de ir más a prisa,
es contar con buenos controles, esos que me
permiten avanzar de manera consistente, sin
comprometer la generación de valor.1
En este sentido, se requiere comprender las
nuevas habilidades y esquemas de relacionamiento
que un ejecutivo de seguridad de la información
debe desarrollar para mimetizarse en las relaciones
del negocio para crear una distinción de protección
que sea entendida e incorporada por los gerentes
y grupos de interés, renovando la visión técnica
de la seguridad, y haciendo de la disciplina del
aseguramiento de la información una rutina propia
de la agenda estratégica de la empresa, entendida
como un seguro corporativo, para lograr los
objetivos y metas de la organización.
Para ello, este documento plantea una revisión
de los conceptos de seguridad informática y
seguridad de la información como fundamento
de las reflexiones sobre la protección de la
información, para luego revisar los objetivos
primarios de la formulación de la estrategia de
seguridad de la información y los roles asociados
que debe asumir los ejecutivos de la seguridad
de la información, terminando con los elementos
de relacionamiento claves de estos ejecutivos
y la transformación requerida para asumir los
desafíos emergentes en la próxima década.
Seguridad Informática o Seguridad de la
Información: Ese Es el Dilema
En la literatura inglesa se distingue mejor los
conceptos de seguridad informática y seguridad
de la información. IT security es la distinción
táctica y operacional de la seguridad. Es la forma
como se detallan las implementaciones técnicas
de la protección de la información, el despliegue
de las tecnologías antivirus, firewalls, detección
de intrusos, detección de anomalías, correlación
de eventos, atención de incidentes, entre otros
elementos, que—articulados con prácticas de
gobierno de tecnología de información—establecen
la forma de actuar y asegurar las situaciones de
fallas parciales o totales, cuando la información es
el activo que se encuentra en riesgo.
ISACA JOURNAL VOLUME 5, 2011 1
 De otra parte, tenemos en la literatura information
security, dos palabras que nos hablan de la esencia misma
de la disciplina en el arte y ciencia de la protección, de
los riesgos, de las amenazas, de los análisis de escenarios,
de las buenas prácticas y esquemas normativos, que nos
exigen niveles de aseguramiento de procesos y tecnologías
para elevar el nivel de confianza en la creación, uso,
almacenamiento, transmisión, recuperación y disposición
final de la información. Hablar de information security es
hablar de la fuente misma de la práctica de control y cuidado
de la información en cualquier medio y condición, que
busca ofrecer una vista holística de su relación con procesos,
personas y tecnologías.
Así las cosas, no será lo mismo contar con un director
de seguridad informática que con un director o gerente de
seguridad de la información. Si bien ambos, deben mantener
una relación interdependiente, para alinear las dos vistas
de la seguridad: lo técnico y lo estratégico. Ambos deben
articular un discurso socio-estratégico que permitan integrar
rápidamente en el ADN de la compañía, el entendimiento de
la seguridad como un ejercicio natural para hacer negocios en
un mundo móvil, interconectado y de flujos de información.
Revisando los Objetivos Primarios de la Estrategia de
Seguridad de la Información
Considerando lo revisado por Tim Kayworth y Dwayne
Whitten, una adecuada estrategia de seguridad de la
información deberá articular tres elementos claves:2
• Balance de necesidades: protección de la información y
desarrollo de negocios
• Aseguramiento del cumplimiento normativo
• Desarrollo y afianzamiento de la cultura corporativa
Considerando el tipo de negocios que se desarrolle en
una organización se establece el balance de la ecuación entre
seguridad y negocio. Si somos una empresa de corte financiero,
el balance entre negocios y seguridad estará dirigido por los
niveles de riesgo propio de los procesos y la manera como ésta
enfrenta su más cercano enemigo: el fraude. En consecuencia,
la seguridad de la información será un referente natural de los
procedimientos de acción, que se materializan en prácticas de
las personas en los procesos mismos.
De otra parte, si nos encontramos en una industria de
oportunidad como lo puede ser una empresa minera o de
productos de consumo masivo, la velocidad para llegar
al mercado y dar el primer golpe será el movilizador más
2 ISACA JOURNAL VOLUME 5, 2011
importante para los ejecutivos de dichas empresas. En este
contexto, la seguridad de la información deberá ser los frenos
livianos y efectivos, que permitan contar con el mínimo de
cuidados y con las prácticas de aseguramiento, que le faciliten
moverse con mayor tranquilidad en su mercado, cuidando de
su más temible adversario: la fuga de la información. Nadie es
tan osado (bueno, algunos temerarios lo pueden hacer) para
moverse con alta velocidad, sabiendo que sus mecanismos
para detenerse ante las eventualidades no son los mejores.
Si llega a una industria de tiempos y movimientos, de
precisión en el manejo de la información como transportes,
logística o telecomunicaciones, cada proceso deberá asegurar
que el flujo de datos y su procesamiento mantengan la
integridad y disponibilidad de la misma, dado que cualquier
error allí podrá comprometer su operación y de pasada su
credibilidad frente a las famosas entregas perfectas que debe
ver y comprobar cada uno sus clientes. La seguridad de la
información en estas industrias se encuentra relacionada
con controles para disminuir la incertidumbre del dato y
asegurar la calidad y la oportunidad de la información, pues
sólo, mientras más confianza haya en la información, mayor
será la capacidad de innovación y diferenciación que podrá
desarrollar esta industria.
En cualquiera de los tres casos, estamos asistiendo a una
renovación del entendimiento de la seguridad que, dirigida
por las necesidades de gobierno, riesgo y cumplimiento, es
posible movilizarla frente a los intereses ejecutivos y hacerlos
parte de la distinción extendida y sistémica de la seguridad—
no como “algo que debemos tener,” sino como un elemento
que nos permite asegurar la permanencia del negocio.
Revisando los Roles del Gerente de Seguridad
de la Información (CISO)
Si bien la seguridad informática y la seguridad de la
información deben estar interconectadas para lograr
un balance efectivo de la sensación de seguridad en las
organizaciones, según su nivel de exposición a los riesgos
de fuga o pérdida de la información, es claro que su
evolución frente a la función del chief information officer
(CIO) de la empresa se debe hacer evidente, dado que, en la
transformación del área de seguridad de la información, esta
figura es un referente natural en su proceso evolutivo.
De acuerdo con el estudio de Joe Peppard, Chris Edwards y
Rob Lambert, el CIO debe declarar qué tipo de rol debe jugar
en la compañía, para tener claridad frente al momento de la
empresa cuáles serán sus focos y estrategias para continuar
apalancando el modelo de generación de valor de la misma.3 En
esta misma forma, el CISO debe comprender y leer muy bien
el modelo de negocios de la empresa, analizar la dinámica del
sector donde se mueve la firma, y conocer con detalle el papel
que desarrolla o ajusta el CIO de la organización.
Siguiendo lo establecido con el estudio mencionado, un
CIO puede ser un director de tecnología de información, un
evangelizador, un innovador, un facilitador o un director ágil de
tecnología de información. Cada uno de ellos muestra un nivel
de habilidades, aspectos críticos, retos y relacionamiento que
debe ser analizado y revisado por el CISO para ajustar su agenda
o, mejor, modificarla para mantenerse cerca de las decisiones
estratégicas y alineado con las condiciones y expectativas que la
función de tecnología de información desarrolla.
Es claro que el CISO no podrá abstraerse totalmente del
fenómeno tecnológico de la compañía, pero si podrá visualizarlo
desde la perspectiva de la arquitectura empresarial, que recoge
los movilizadores de la estrategia de la empresa, las capacidades
que debe desarrollar para desarrollarla y la infraestructura
requerida para hacerla realidad. Por tanto, reconociendo que
el CISO en esencia es un “socio confiable,” tiene como reto
implícito motivar y asegurar que el concepto de propiedad o
propietario de la información se arraigue en los procesos de
negocio, para lo cual el entrenamiento requerido debe permitir
el desarrollo de capacidades y prácticas de protección que se
materialicen en su hacer y así, animar a cada área de negocio
a explotar las ventajas competitivas propias de una adecuada
gestión de la información.
Se preguntarán en este punto que no hemos revisado nada
sobre los elementos técnicos de la seguridad, propios de la
confidencialidad, integridad y disponibilidad. Pues estos en
el ejercicio de una función de seguridad madura y eficiente
hacen parte de la gestión de tecnología de información de una
empresa que, para efectos prácticos, deben estar integrados
en los procesos, procedimientos y objetivos de control de una
operación de la infraestructura, que como en las empresas de
logística, deben asegurar una “entrega perfecta” del servicio,
lo cual incluye necesariamente las tecnologías de seguridad de
la información.
El Relacionamiento del CISO: Iniciativas
Tácticas o Movimientos Estratégicos
Teniendo claro que el CISO deberá conocer el rol que quiere
desempeñar en la organización y ser consciente de los retos
corporativos frente a la dinámica del sector de negocio a la
que pertenece, será necesario que el ejecutivo responsable de
la seguridad de la información sea sensible a la forma como
debe relacionarse con su cliente primario, la alta gerencia, para
hacerse parte de las reflexiones estratégicas de la compañía
y hacer de este escenario su mejor aliado para desplegar su
programa de protección y aseguramiento de la información.
Siguiendo las consideraciones de Harvey G. Enns, Dean
B. McFarlin y Sid L. Huff para el relacionamiento de un CIO,
el CISO deberá seguir el mismo patrón, con el fin de ser muy
cuidadoso en sus intervenciones para entregar el mensaje
adecuado en el momento adecuado y con las personas
indicadas.4 Para ello, los autores mencionados establecen
dos vistas de la interacción: tipo de iniciativa a presentar
(estratégica o táctica) y tipo de CIO que, para nuestro
caso, será tipo de CISO: socio confiable o soporte y
apoyo (figura 1).
Figura 1—Relacionamiento del CISO
Socio Soporte y
Tipo de CISO confiable apoyo
Drivers de
Estratégica Cumplimiento
Tipo de negocio
Iniciativa Riegos y
Táctica Beneficios
Controles
Adaptado de: Enns, Harvey G.; Dean B. McFarlin; Sid L. Huff; “How CIOs Can
Effectively Use Influence Behaviors”, MIS Quarterly Executive, vol. 6, no. 1,
March 2007, pág. 35
Como podemos observar, cuando las iniciativas que
se plantean por parte del CISO son de orden estratégico
(actividades con impacto en múltiples áreas y propósitos
competitivos), los drivers de negocio y las consideraciones
cumplimiento serán las que deben primar en las
presentaciones y argumentaciones de los ejecutivos de
seguridad, dado que allí la alta gerencia encontrará eco en
su agenda y la forma como puede aumentar sus capacidades
distintivas y hacer la diferencia frente a sus competidores,
o, mejor aún, crear un nuevo momentum de crecimiento
y desarrollo empresarial que desestabilice el mercado a su
favor. Si el CISO es capaz de articular sus explicaciones y
resultados en este mismo sentido, podrá fortalecer su posición
como socio confiable y cuerpo consultivo de la junta directiva,
sabiendo que esta nueva responsabilidad exige un mejor y
mayor conocimiento del negocio y sus riesgos.
ISACA JOURNAL VOLUME 5, 2011 3
 De otro lado, cuando las iniciativas son de orden
táctico (impacto limitado a pocas áreas y mejoramiento de
capacidades existentes), las consideraciones de riesgos y
controles, así como de los beneficios concretos que tiene
para empresa, serán los motivadores más marcados en los
cuales el discurso del CISO deberá insistir. En esta medida,
cuanto mayor sea el detalle del nivel de mejoramiento o
aseguramiento se va a tener con la iniciativa mejor podrá
entender la alta gerencia los beneficios propios de la misma.
En esta vista, el CISO deberá hablar claramente y comprender
con detalle las expectativas de las áreas impactadas, para
establecer los alcances y logros que se van a tener al
desarrollar los proyectos planteados.
Reconocer el tipo de CISO que se tiene en la empresa,
nos permite conocer el nivel de relacionamiento y el tipo
de lenguaje que los ejecutivos manejan frente al gobierno
corporativo. Por tanto, se hace necesario establecer y
evaluar en el perfil de los ejecutivos de la seguridad de la
información, su capacidad para comprender las complejidades
propias del negocio, su destreza y habilidad para analizar la
dinámica asimétrica del flujo de información en los procesos
de negocio, y su interacción con el entorno, así como la
capacidad para descubrir y descifrar los elementos culturales
que aseguran la identidad de la organización, frente a su perfil
de riesgos y controles para avanzar en el logro de sus metas
grandes y ambiciosas.
Transformación del CISO: Un Reto Emergente
Es claro que conforme avanzamos en esta nueva década,
nuevos retos empresariales se proponen, nuevas tecnologías
aparecen y renovados desafíos aparecen para cuestionar
nuestros modelos mentales. En este contexto, el CISO debe
estar atento a descubrir rápidamente estas tendencias y
reinventarse para mantenerse activo y alerta, frente a una
inseguridad de la información que cambia, que exhibe
patrones conocidos de acción y movimientos novedosos, que
aún no se conocen.
En esta medida, el CIO Executive Board en su documento
sobre descripciones de cargo emergentes para CISO, establece
una ruta de evolución de habilidades de los ejecutivos de la
seguridad de la información, para hacerle frente a las presiones
de los negocios móviles, sobrecarga de la información y
exigencia de servicios novedosos e instantáneos. 5 Para este
instituto, el CISO debe sufrir una transformación acelerada
que le permita pasar de ser un analista de infraestructuras
técnicas a ser un arquitecto empresarial de seguridad que,
estudiando los riesgos propios del negocio, establezca
las recomendaciones más adecuadas que permitan a la
empresa moverse más rápido y de manera confiable. Esto
4 ISACA JOURNAL VOLUME 5, 2011
es, comprender y actuar frente a los riesgos inherentes de las
iniciativas estratégicas de la empresa para proteger el modelo
de generación de valor de la compañía.
Luego, los autores de CIO Executive Board debe pasar
de ser un evangelizador en la formulación de estándares,
prácticas y procedimientos que aseguren la información
en los procesos de negocio a ser un socio innovador que
sea parte de la estrategia corporativa, que encuentre en los
retos empresariales formas diferentes de aseguramiento de
la información y acciones claras que enriquezcan el modelo
de generación de valor del negocio.6 Esto es, el CISO debe
ser un estudioso y reconocido facilitador de la generación de
confianza de la junta directiva que asegure el compromiso
de sus miembros para apalancar iniciativas que preparen a
los negocios para anticiparse a los riesgos de un ambiente
interconectado y de peligros inminentes frente al intercambio
de información.
Finalmente, los analistas del documento establecen un
reto significativo para el CISO como parte del ejercicio
de alineación y reconocimiento del rol del CIO, que es
evolucionar de ser el custodio de la estrategia de seguridad
de la información a compartir la responsabilidad de la
formulación y articulación de la estrategia de gestión de la
información, en donde la calidad y la seguridad hacen parte
inherente de la misma distinción.
Es decir, encontrar en la información la fuente para que la
organización genere diferencias significativas en sus márgenes
de operación, nuevas posibilidades de negocio y sobremanera,
una forma de mantenerse fuera de la zona de confort, retando
constantemente sus objetivos estratégicos para transformar su
entorno y marcar un liderazgo reconocido y sostenible.
En síntesis, el CISO enfrenta una seria mutación genética
en su perfil, pues deberá utilizar sus conocimientos técnicos
de riesgo y aseguramiento de cumplimiento para evolucionar
en su relacionamiento con las áreas de negocio y, así,
descubrir y proponer un nuevo lenguaje de la seguridad de
la información que fluya desde los procesos, hacia el área de
seguridad, que sea complementario a las prácticas, estándares
y procedimientos que se generan en ésta.
Reflexiones Finales
Resolver la exigencia actual entre la flexibilidad y la rapidez
frente a la demanda de información de los ejecutivos de las
empresas es equivalente al reto permanente que se presenta
entre seguridad y funcionalidad. Mientras en la primera
realidad, los gerentes aseguran que “para algunos tipos de
información, un cierto grado de imprecisión no significa
que ésta no pueda ser útil”;7 en la segunda, una falla en el
aseguramiento de la información, bien por pérdida o fuga de
la misma, es un evento que no puede pasar desapercibido.
En este sentido, los gerentes de la seguridad de la
información deben comprender que cada vez más su
responsabilidad va más allá de los riesgos de la información
per se para hacerse más visibles frente a los riesgos de
negocio y cómo la información fluye en los procesos que lo
soportan. En consecuencia, estos ejecutivos de la seguridad
deben reconocer y avanzar en estrategias de relacionamiento
correctas que permitan transmitir el mensaje adecuado a la
alta gerencia y comenzar a quebrar el paradigma técnico que
ha venido cargando el área de seguridad de la información
desde sus inicios.
En conclusión—y conscientes de que la formulación de una
estrategia de seguridad de la información responde a una vista
tripartita: balance de necesidades, aseguramiento normativo
y afianzamiento de la cultura de protección—se requiere que
el CISO asuma el rol más adecuado para darle cumplimiento
a su misión y enfrentar de manera decidida los retos que la
dinámica de la organización le exige y las particularidades de
su negocio le demandan.
Por tanto, teniendo claridad del sector de negocio donde se
encuentra, el CISO debe encontrar la sabiduría y la prudencia
para tomar la decisiones que corresponden para darle la
tranquilidad a la alta gerencia que, a nivel táctico y operativo,
hay prácticas aseguradas que si bien no son infalibles, si están
diseñadas e incorporadas para responder ante eventualidades
y asegurar la continuidad de las operaciones cuando la
inseguridad se materializa.
Todo esto debe motivar una renovación del liderazgo
del CISO desde su propia vista personal, para confirmar
en su propio ejercicio de reconocimiento de habilidades y
destrezas, la forma para pasar de ser “soporte y apoyo” a “socio
confiable”; para cambiar de la vista de “riesgos y controles” a
ser “gestor de la estrategia.” En pocas palabras comprender
que, como anota John Maxwell, se hace necesario “hacer las
preguntas correctas, en el momento correcto y con las personas
correctas,” como preámbulo y fuente inspiración para descubrir
el potencial del área de seguridad del información y la estatura
humana de cada uno de sus integrantes.8
Agradecimientos
El autor agradece a los revisores externos, así como a los
ingenieros y maestros Andrés Almanza y Eduardo Carozo,
por su tiempo y valiosos comentarios que permitieron afinar y
ajustar las ideas propuestas en este artículo.
Bibliografía
Goodyear, Marilu; Holly T. Goerdel; Shannon Portillo; Linda
Williams; “Cybersecurity Management in the States: The
Emerging Role of Chief Information Security Officers,” IBM
Center for The Business of Government, USA, 2010
Referencias
1
Davenport, Thomas H.; Jim Hagemann Snabe; “How Fast
and Flexible Do You Want Your Information, Really?”, MIT
Sloan Management Review, vol. 52, no.3, spring 2011
2
Kayworth, Tim; Dwayne Whitten; “Effective Information
Security Requires a Balance of Social and Technology Factors”,
MIS Quarterly Executive, vol. 9, no. 3, September 2010
3
Peppard, Joe; Chris Edwards; Rob Lambert; “Clarifying the
Ambiguous Role of the CIO”, MIS Quarterly Executive,
vol. 10, no. 1, March 2011
4
Enns, Harvey G.; Dean B. McFarlin; Sid L. Huff;
“How CIOs Can Effectively Use Influence Behaviors”,
MIS Quarterly Executive, vol. 6, no. 1, March 2007
5
CIO Executive Board, “Chief Information Security Officers,
Jobs Descriptions for Emerging Roles, Overview of Role by
2015,” USA, 2010
6
Ibid.
7
Op cit, Enns, Harvey G.; Dean B. McFarlin; Sid L. Huff
8
Maxwell, John C.; Liderazgo, Principios de Oro: Las
Lecciones que He Aprendido de una Vida de Liderazgo,
Grupo Nelson, USA, 2007

The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription
to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance
Institute® and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

© 2011 ISACA. All rights reserved.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in
writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St.,
Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date,
volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without
express permission of the association or the copyright owner is expressly prohibited.

www.isaca.org

ISACA JOURNAL VOLUME 5, 2011 5