ESC

Escribe para buscar entre todos los artículos

Volver al archivo
· 4 min de lectura

Tu CISO no puede ser tu CIO. Tu DPO no puede ser tu CISO

El mito del profesional 3-en-1 es el error de gobernanza más peligroso en ciberseguridad corporativa en LATAM. CIO, CISO y DPO son tres misiones que compiten entre sí.

CISODPOgobernanzacomplianceGDPRgestión de riesgos

El mito del profesional 3-en-1

Tu CISO no puede ser tu jefe de informática. Tu DPO no puede ser tu CISO. Y tu directorio sigue creyendo que es la misma persona.

Este es el mito más peligroso de la ciberseguridad corporativa en América Latina: el profesional 3-en-1.

Un solo ejecutivo gestiona la infraestructura de TI, define la estrategia de seguridad y vela por la protección de los datos personales. Todo junto. Sin conflicto. Sin problema.

¿De verdad?

Tres misiones que compiten entre sí

  • El CIO optimiza los sistemas y busca mayor eficiencia y velocidad en la entrega
  • El CISO gestiona riesgo, frena proyectos inseguros y dice que NO
  • El DPO protege los derechos de las personas, supervisa al CISO y opera con independencia jurídica

Son tres misiones que compiten entre sí. Ponerlas en una sola cabeza es como pedirle al acusado que sea su propio juez.

La evidencia lo confirma

No lo digo yo. Lo dice la evidencia:

El CISO bajo el CIO: conflicto estructural

Cuando el CISO reporta al CIO, se crea un conflicto de interés estructural: quien debe vigilar la seguridad reporta a quien prioriza la disponibilidad y el ahorro.

Cada vez que seguridad compite con un plazo de entrega o un presupuesto de proyecto, la seguridad pierde. No por mala fe — por estructura.

El DPO como CISO: autocontrol

El GDPR (Art. 38.6) prohíbe que el DPO ejerza funciones que generen un conflicto de intereses.

El CISO decide cómo se procesan los datos — el DPO audita esas decisiones. Misma persona = autocontrol. Esto fue confirmado por el Tribunal de Justicia de la UE en el caso C-453/21 (X-FAB Dresden, 2023).

Precedentes sancionatorios

En 2020, la Autoridad Belga de Protección de Datos multó con 50.000 euros a una empresa cuyo DPO también era director de Compliance. Razón: conflicto de interés.

No fue por una brecha de datos. Fue por la estructura organizacional.

Los números del mercado

Según IANS Research (2025):

  • Solo el 39% de los CISOs tiene un nivel ejecutivo
  • Apenas el 12% de los CISOs en grandes empresas reporta al CEO
  • La mayoría sigue reportando al CIO — exactamente donde no debería estar

Qué hace cada rol

RolMisiónReporta aDecide sobre
CIOEficiencia tecnológicaCEO / COOInfraestructura, proyectos TI, presupuesto tecnológico
CISOGestión de riesgo de seguridadCEO / DirectorioControles de seguridad, respuesta a incidentes, arquitectura de seguridad
DPOProtección de datos personalesIndependiente / LegalCumplimiento normativo, derechos de titulares, supervisión de tratamiento

Las tensiones inherentes

CIO vs. CISO: El CIO quiere implementar rápido. El CISO quiere implementar seguro. Cuando reportan a la misma persona (o son la misma persona), la velocidad siempre gana.

CISO vs. DPO: El CISO implementa monitoreo extensivo para detectar amenazas. El DPO cuestiona si ese monitoreo respeta la privacidad de los empleados. Necesitan ser contrapesos, no la misma voz.

CIO vs. DPO: El CIO selecciona proveedores cloud por costo y funcionalidad. El DPO evalúa transferencias internacionales de datos y bases legales. Intereses legítimamente distintos.

El mensaje para los C-Level y directorios

La ciberseguridad no es un costo de TI. Es gestión de riesgo empresarial.

  • Si tu CISO reporta al CIO, la seguridad pierde cada vez que compite con un plazo
  • Si tu DPO es tu CISO, nadie audita a nadie
  • Si las tres funciones están a cargo de la misma persona, no tienes gobernanza — tienes una ilusión

Separar no es un lujo

Separar estos roles no es un lujo para las grandes corporaciones.

Es el mínimo de madurez para cualquier organización seria.

No necesitas tres ejecutivos C-level con equipos de 20 personas cada uno. Pero sí necesitas:

  1. Líneas de reporte independientes: el CISO no reporta al CIO
  2. Independencia funcional del DPO: no puede ejercer funciones que generen conflicto
  3. Acceso directo al directorio: el CISO debe poder escalar sin filtros
  4. Presupuesto propio: seguridad no compite con proyectos de TI por el mismo bolsillo

En organizaciones más pequeñas, esto puede resolverse con:

  • Un CISO virtual o fraccionado que reporte al gerente general
  • Un DPO externo con independencia contractual garantizada
  • Comités de riesgo donde las tres voces estén representadas por separado

La gobernanza no es opcional

Los marcos de referencia lo exigen:

  • ISO 27001: requiere independencia de la función de seguridad
  • GDPR/Ley 21.719 (Chile): exige independencia funcional del DPO
  • NIST CSF 2.0: la función de gobernanza (GV) requiere roles y responsabilidades claramente definidos
  • Ley 21.663 (Chile): establece responsabilidades específicas para el delegado de ciberseguridad

No es una opinión. Es el estándar.

La pregunta para tu directorio

La próxima vez que tu directorio diga “pero si ya tenemos a alguien que ve todo eso”, la respuesta es:

Tener una persona que ve todo no es gobernanza. Es un punto único de fallo.

Y en ciberseguridad, los puntos únicos de fallo son exactamente lo que tratamos de eliminar.

SV
Autor

Sebastián Vargas

CISO & Fundador de TTPSEC SpA. Más de 15 años en ciberseguridad, governance, riesgo y compliance. Escribiendo sobre seguridad de la información desde 2018.

LinkedIn Medium

Artículos relacionados

·3 min de lectura
5 términos de IA que todo líder en ciberseguridad debe dominar en 2026
inteligencia artificialCISOLLM
·3 min de lectura
El CISO en 2026: de guardián técnico a ejecutivo estratégico
CISOcarrera profesionalcertificaciones
·3 min de lectura
Gestión de riesgos en ciberseguridad: entre el absurdo y el cumplimiento vacío
gestión de riesgosISO 27001SGSI

¿Te sirve el contenido?

Recomendarme en LinkedIn
Volver al archivo