Por Gabriela Pareja Mena, Gerente de Seguridad de la Información de Banco Solidario.
La integración entre IT y Seguridad de la Información se ha convertido en un pilar fundamental de la agenda digital. Cuando CIO y CISO trabajan como un solo frente, se optimizan recursos, se evitan duplicidades y se reducen vulnerabilidades desde el diseño de las soluciones. Esta sinergia no solo permite escalar iniciativas, sino también fortalecer la mitigación preventiva, automatizar respuestas frente a amenazas y garantizar la continuidad de las operaciones, garantizando que la innovación avance siempre acompañada de la protección de los activos críticos.
La coordinación entre CIO y CISO puede traducirse en estrategias efectivas para proyectos de adopción digital. Un caso cercano que permite ver esta interacción desde mi experiencia fue la migración de una plataforma de telecomunicaciones, en la que se incorporó la microsegmentación de red con arquitectura Spine & Leaf. Con este diseño, el tráfico del datacenter circula únicamente hacia destinos confiables, reduciendo la superficie de ataque y aumentando la disponibilidad.
El trabajo conjunto comenzó incluso antes del diseño, con auditorías de seguridad que identificaron oportunidades de mejora. Así se establecieron esquemas de comunicación basados en buenas prácticas, asegurando un modelo robusto y alineado a los requerimientos de las operaciones bancarias. Este tipo de colaboración interdisciplinaria optimiza recursos y puede replicarse en otras iniciativas digitales.
No obstante, lograr un acompañamiento real y una visión compartida entre CIO y CISO implica superar ciertos retos. Existe una diferencia natural de perspectivas: mientras el CIO se centra en la agilidad, la entrega de servicios y la disponibilidad, el CISO prioriza la gestión de riesgos y el cumplimiento normativo. Sin embargo, cuando ambas visiones se integran, se construyen estrategias más equilibradas y sostenibles. Esta coordinación refuerza la confianza de la alta dirección en sus líderes tecnológicos, optimiza recursos y logra un balance entre innovación y protección/privacidad.
Para alcanzar este objetivo, resultan indispensables la comunicación abierta, la planificación conjunta y la flexibilidad. En entornos cambiantes, donde las prioridades pueden variar con rapidez, estos elementos permiten que CIO y CISO avancen con una visión estratégica común, alineada a los objetivos del negocio.
Además, la participación conjunta en comités de tecnología y seguridad, así como en talleres de planificación estratégica permite alinear prioridades. En la gestión diaria, la coordinación en procesos de gestión de configuración, cambios y en la definición de arquitecturas permite generar sinergias prácticas que fortalecen la operación.
Integrar marcos de referencia como ITIL, ISO 27001 y NIST, junto con indicadores compartidos de disponibilidad, integridad y confidencialidad, permite además hablar un mismo lenguaje frente a la alta dirección, reforzando la confianza en las decisiones estratégicas y la capacidad de garantizar continuidad y seguridad.
Seguridad como habilitador
Cuando los objetivos de seguridad parecen entrar en conflicto con las metas de innovación o velocidad de entrega resulta necesario establecer un baseline de seguridad que evite vulnerabilidades no gestionadas y reforzarlo en fases posteriores. De esta manera, la protección deja de verse como un freno y se convierte en un habilitador del negocio.
Prácticas como DevSecOps, la capacitación continua y la escalada de riesgos a comités estratégicos han permitido alinear equipos en un mismo propósito. En un futuro cercano, la automatización y robotización de operaciones tecnológicas y de seguridad serán decisivas para equilibrar resguardo y velocidad, optimizando el uso de recursos.
Involucrar al negocio también es esencial, traducir la seguridad al lenguaje de sus objetivos, demostrar cómo los controles como revisiones de código seguro o pruebas de penetración fortalecen la confiabilidad de las aplicaciones y mostrar de forma práctica cómo un incidente impacta en metas comerciales, por ejemplo, en proyectos con biometría o firmas digitales, la participación temprana de seguridad ha permitido cumplir la normativa y ganar confianza de clientes y usuarios.
Hacia una alianza sostenible
Mantener informados a los distintos niveles de la organización sobre los incidentes materializados y su impacto refuerza la cultura de ciberseguridad. La sostenibilidad de esta alianza se basa en fomentar confianza y promover una cultura transparente que fomenta el aprendizaje en lugar de la culpa. Documentar procesos y compartir conocimiento sobre incidentes fortalece la madurez organizacional.
Asimismo, apoyarse en procesos basados en ITIL —como la gestión de cambios, configuración, incidentes y el ciclo de vida de las tecnologías— asegura continuidad. Finalmente, la capacitación cruzada, entrenar a equipos de IT en ciberseguridad y a los de seguridad en gestión de proyectos eleva la resiliencia y prepara a la organización frente a nuevas amenazas y retos.
Preparar al talento humano de IT y Seguridad de la Información para trabajar de manera integrada en entornos de alta exigencia tecnológica exige más que entrenamientos técnicos. Es fundamental dotar a los equipos de herramientas de automatización y robotización, como XSoar o Ansible, que les permitan dedicar su tiempo —un recurso cada vez más limitado— a iniciativas de mayor valor estratégico.
Del mismo modo, resulta vital desarrollar competencias blandas como la colaboración, la priorización y el pensamiento crítico. Las simulaciones prácticas, entre ellas: pruebas de contingencia, ejercicios de Blue/Red Team o Ethical Hacking, mantienen a los equipos entrenados para responder con eficacia en escenarios exigentes.
La integración cultural se alcanza cuando ambos equipos comparten objetivos e indicadores, lo que refuerza la alineación hacia metas comunes. En el presente, la capacitación en inteligencia artificial y privacidad se ha vuelto indispensable para sostener la competitividad y enfrentar los nuevos retos del ecosistema digital.
Actualmente, ya enfrentamos retos que exigen una coordinación estrecha. La adopción de servicios en la nube y de aplicaciones provistas por terceros requiere esfuerzos conjuntos para proteger tanto la operación como la reputación. La Inteligencia Artificial demanda plataformas siempre disponibles y un marco de gobernanza para gestionar ciber riesgos cuya magnitud resulta, muchas veces, impredecible.
El cumplimiento normativo en materia de privacidad y seguridad impacta a toda la organización, lo que obliga a CIO y CISO a trabajar de la mano, asumiendo además la corresponsabilidad de rendir cuentas frente a la alta dirección y los entes reguladores.