En muchas organizaciones, TI y Ciberseguridad operan como una sola área. A veces por falta de presupuesto, otras por desconocimiento. Pero esta decisión, aparentemente eficiente, es una bomba de tiempo para la seguridad de la empresa.
Dos enfoques, dos propósitos distintos
La Tecnología de la Información (TI) y la Ciberseguridad no tienen el mismo objetivo, y eso lo cambia todo:
| Área | Propósito | Enfoque Operativo | Indicadores Clave |
|---|---|---|---|
| TI | Garantizar que los sistemas y servicios funcionen correctamente. | Estabilidad, disponibilidad, soporte, operación eficiente. | Uptime, velocidad, rendimiento, tickets resueltos. |
| Ciberseguridad | Proteger los sistemas, los datos y los usuarios frente a amenazas y riesgos. | Prevención, monitoreo, control, análisis de riesgo. | Reducción de incidentes, cumplimiento, tiempo de respuesta, madurez de seguridad. |
TI busca fluidez. Ciberseguridad, límites. TI quiere que todo funcione. Ciber quiere que lo que funcione no ponga en riesgo a la organización.
Mezclarlas es un conflicto de interés
Cuando TI y Ciberseguridad están bajo la misma dirección, se genera un conflicto estructural: el mismo equipo que implementa, es el que se audita. ¿El resultado? Controles debilitados, riesgos ignorados y respuestas tardías ante incidentes.
Una analogía simple: sería como pedirle al contador de una empresa que se audite a sí mismo. No es malicia, es falta de separación de funciones, y va en contra de cualquier marco de control serio.
¿De quién debería depender cada área?
La solución no es solo técnica, es organizacional:
- TI debe depender del Director de Tecnología (CTO) o del Gerente de Operaciones.
- Ciberseguridad debe tener una línea clara hacia el CEO, el CISO o al menos al CIO, pero con autonomía respecto a TI.
De hecho, muchas buenas prácticas recomiendan que el CISO (Chief Information Security Officer) tenga una línea directa al comité ejecutivo o junta directiva, para poder reportar riesgos sin interferencia operativa.
¿Y cómo se estructura todo esto?
Una estructura mínima recomendada podría ser:
- CTO → Área de TI: operación, soporte, infraestructura, proyectos tecnológicos.
- CISO → Área de Ciberseguridad: gestión de riesgos, cumplimiento, monitoreo, respuesta a incidentes, auditoría técnica.
- Ambas áreas coordinadas a nivel táctico, pero con independencia estratégica.
Conclusión: Juntas pero no revueltas
TI y Ciberseguridad deben colaborar estrechamente, pero no deben responder al mismo jefe, ni tener las mismas prioridades. Sus misiones son complementarias, no idénticas.
En un mundo donde un error de configuración puede exponer miles de datos, y donde un solo ataque puede frenar toda la operación, la independencia de la Ciberseguridad no es un lujo, es una necesidad estratégica.
Separar las áreas es una decisión de madurez organizacional. Es entender que quien construye, no puede ser quien audita; y quien protege, necesita voz propia.
¿En tu empresa, la ciberseguridad es parte de TI… o parte del futuro?
No hay comentarios:
Publicar un comentario