Qué hace un CIO, CISO y CTO en una empresa y cómo pueden trabajar juntos

Hoy en día, las empresas incorporan diversos cargos enfocados en ciberseguridad y tecnología para proteger sus datos y garantizar el funcionamiento eficiente de sus operaciones. En este escenario surgen roles como el CIO, el CISO y el CTO, cuya diferenciación puede resultar poco clara.

Para empezar, el CIO (Chief Information Officer) se encarga de gestionar la infraestructura tecnológica y garantizar que los sistemas de información respalden los objetivos estratégicos de la organización.

El CISO (Chief Information Security Officer) está a cargo de diseñar y ejecutar las políticas de seguridad para proteger los activos digitales y minimizar riesgos relacionados con ciberamenazas.

Por su parte, el CTO (Chief Technology Officer) lidera la innovación tecnológica, impulsando el desarrollo, la mejora y la implementación de nuevas soluciones que permitan a la empresa crecer y mantenerse competitiva en su sector.

José Cabello Ferrer, CEO de Netdata, advierte que, aunque estos equipos son fundamentales, en el noventa por ciento de las organizaciones en Colombia existe una alta fricción entre ellos.

“Son departamentos que no congenian. El equipo de seguridad de la información suele convertirse en un stopper, bloqueando o dificultando muchas de las iniciativas propuestas por el área de tecnología. Esto genera una dinámica de conflicto que se repite en la mayoría de los casos”, explicó Cabello.

Cómo pueden trabajar estos equipos efectivamente

Para que los equipos de tecnología y seguridad trabajen de manera efectiva y colaborativa, es fundamental integrar a ambos desde el inicio de cualquier proyecto.

José Cabello Ferrer, CEO de Netdata, señala que la clave está en aplicar el enfoque conocido como shift left:

“Lo primero que tienes que garantizar es que desde el primer momento, cuando se comienza a desarrollar un producto de tecnología, una aplicación o un sistema administrativo, tecnología involucra seguridad de la información. Así, se pueden identificar los roles y los riesgos que tendrá la plataforma y, desde el principio, empezar a implementar los controles necesarios”, explicó Cabello Ferrer.

Este enfoque permite que los equipos anticipen riesgos, definan responsabilidades y apliquen medidas de protección desde la fase inicial, en lugar de esperar hasta las etapas finales del proyecto.

Según Cabello Ferrer, si la seguridad participa solo al final, después de muchos meses de desarrollo, surgen retrasos significativos.

“En ese momento le presentas el proyecto a seguridad de la información y comienzan a indicarte todos los controles que debes aplicar. Así, el proyecto puede extenderse doce meses más y enfrentarse a mayores desafíos”, advirtió.

Cómo está el panorama de ciberseguridad de las empresas en Latinoamérica

El panorama de ciberseguridad en las empresas de Latinoamérica presenta desafíos cada vez más complejos, resaltados por dos cifras clave. De acuerdo con Cabello, los tiempos promedio para detectar amenazas dentro de las organizaciones pueden llegar a seis meses.

Esto significa que un atacante podría infiltrarse, moverse lateralmente y estudiar los activos críticos—como controladores de dominio o sistemas ERP—sin ser detectado durante medio año. Cuando finalmente se materializa el ataque, el impacto puede traducirse en interrupciones de hasta veintiún días en las operaciones de la empresa.

Las pérdidas económicas asociadas a estos incidentes alcanzan en promedio USD 4,5 millones en empresas con más de mil empleados, considerando la paralización operativa, la afectación a los colaboradores y el daño reputacional.

El ejecutivo relata que en Colombia, en 2024, una compañía del sector salud experimentó una caída de sus sistemas durante tres meses, lo que afectó notablemente a la población.

Además, los atacantes suelen ejecutar maniobras de distracción, comprometiendo primero los equipos del CFO o CIO para desviar la atención y facilitar ataques más profundos.

Entre las mejores prácticas destacan implementar la política de zero trust, donde ninguna conexión—especialmente de proveedores—se da por segura, y contar con un equipo de respuesta a incidentes capaz de reducir los tiempos de recuperación de meses a horas, transformando el control de daños en una ventaja competitiva.