Históricamente, la seguridad de la información ha emergido como una respuesta evolutiva dentro de los departamentos tecnológicos, respondiendo a las crecientes exigencias del entorno digital. A raíz de este desarrollo, las posiciones relacionadas con la ciberseguridad han adquirido una relevancia estratégica en las organizaciones, especialmente en el contexto de la transformaci6n digital global.
Adoptando una visión centrada en el cliente, «client centric», las empresas han enfocado sus esfuerzos en proporcionar capacidades avanzadas tanto a sus clientes internos como externos, permitiéndoles acceder a información crucial en la gestión de sus procesos, como las compras y las consultas, entre otros. Este avance ha sido posible gracias a la incorporación de tecnologías avanzadas.
Por otro lado, el acceso expandido a la información ha implicado, de manera directa, la oferta de más servicios, lo que ha incrementado la exposición de los datos sensibles. Este fenómeno convierte la protección de la información en una obligación fundamental para las organizaciones, superando la categoría de simple necesidad.
Ciberseguridad y tecnología TI
En el entorno empresarial contemporáneo, la ciberseguridad y la tecnología de la información (TI) se configuran como componentes esenciales que requieren una gestión especializada para salvaguardar y optimizar las operaciones organizacionales. No obstante, es fundamental reconocer que, aunque interrelacionadas, estas dos áreas persiguen objetivos y adoptan enfoques distintos, lo cual justifica la necesidad de mantenerlas como departamentos separados.
La separación de funciones entre ciberseguridad y TI no solo refuerza la postura de seguridad de una organización, sino que también permite una mayor especialización y un enfoque más preciso en cada dominio. Un fenómeno similar se observa actualmente con la inteligencia artificial, donde algunas empresas comienzan a identificar la necesidad de establecer departamentos especializados, aunque estrechamente interconectados con otras áreas de la organización.
Por ello, la ciberseguridad debe enfocarse, entre otras tareas, en la protección de los sistemas, redes y datos de la organización contra amenazas y ataques maliciosos. Esto incluye la implementación de medidas de seguridad robustas, la monitorización continua de actividades sospechosas y la respuesta efectiva ante incidentes de seguridad.
Por otro lado, el departamento de TI se encarga del desarrollo, mantenimiento y optimización de la infraestructura tecnológica que soporta las operaciones diarias de la empresa. Esta dualidad de enfoques puede generar conflictos de interés si ambas funciones se gestionan bajo una misma estructura. La necesidad de innovación y eficiencia en TI podría, en ocasiones, comprometer las mejores prácticas de seguridad, mientras que la ciberseguridad requiere un enfoque independiente, centrado exclusivamente en la protección.
Separación de departamentos
Separar estos departamentos permite una mayor especialización y profesionalización en cada área. Los profesionales de ciberseguridad pueden dedicarse plenamente a la identificación y mitigación de riesgos, sin las distracciones derivadas de las responsabilidades operativas de TI.
De igual modo, los equipos de TI pueden concentrarse en la implementación de soluciones tecnológicas innovadoras y en el mantenimiento de la infraestructura sin la constante preocupación por las amenazas de seguridad. Además, esta división facilita una formación más específica y un desarrollo profesional adecuado en cada campo, promoviendo un alto nivel de competencia y eficacia.
Adicionalmente, la separación de funciones establece una estructura de control y equilibra dentro de la organización. De hecho, con departamentos distintos, las políticas y procedimientos de seguridad pueden ser evaluados y auditados de manera independiente, lo que incrementa la transparencia y la rendición de cuentas. Este enfoque independiente asegura que las medidas de seguridad no sean desatendidas o comprometidas en favor de la conveniencia operativa.
En última instancia, esto fortalece la resiliencia de la organización frente a los ciberataques y mejora su capacidad de respuesta ante incidentes, protegiendo de manera más efectiva los activos críticos y la reputación empresarial.
Algunas organizaciones ya han reconocido la importancia de esta separación, elevando la seguridad de la información a un nivel estratégico que incluye aspectos de cumplimiento normativo, gobierno, gestión de riesgos, interacción con terceros e integración en procesos de seguridad física y de negocio. En este contexto, es recomendable que el máximo responsable de la seguridad de la información reporte directamente al consejo de dirección, facilitando así la definición del apetito de riesgo y las principales líneas de acción.
Desde otra perspectiva, subordinar la seguridad de la información a otras áreas, como el departamento legal, TI o seguridad física, podría mermar su capacidad operativa o conducir a un uso inadecuado de las herramientas, comprometiendo así la eficacia de la protección de la información.