- Por Alexis Campos, CEO y fundador de Grupotech. www.grupotech.cl
Hay un cargo que casi todas las empresas medianas en Chile deberían tener y casi ninguna tiene: el Chief Information Security Officer, o CISO.
No es un gerente de TI. No es el encargado de soporte. Es el profesional que traduce el riesgo tecnológico en decisiones estratégicas, que habla el lenguaje del directorio y el lenguaje técnico al mismo tiempo, que sabe qué controles implementar hoy para evitar un incidente que podría ocurrir en seis meses.
El problema es que ese perfil, en el mercado chileno actual, cuesta millones de pesos mensuales si se contrata de forma permanente, asumiendo que se encuentra, porque la escasez de talento especializado en ciberseguridad es uno de los desafíos más concretos del sector. Según datos de la industria, el déficit global de profesionales en ciberseguridad supera por mucho, distintas posiciones sin cubrir. En Chile, esa brecha se siente con particular intensidad.
El resultado práctico es que la función del CISO, en la mayoría de las organizaciones que no son grandes corporaciones, simplemente no existe. Hay alguien que gestiona la infraestructura, alguien que responde cuando algo falla, y en el mejor de los casos, alguien que contrata un antivirus y dice que la empresa está protegida.
Lo que hace un CISO que nadie más hace
Un CISO no instala software. Define la estrategia de seguridad de la organización en función de su modelo de negocio, su nivel de exposición y su apetito al riesgo. Establece qué activos son críticos y qué controles se necesitan para protegerlos. Diseña los protocolos de respuesta ante incidentes antes de que ocurran, no durante. Habla con el directorio en términos de impacto financiero y reputacional, no en términos de puertos y protocolos.
Esa función también implica acompañar el cumplimiento regulatorio. Con la Ley 21.663, las organizaciones en Chile tienen obligaciones concretas en materia de ciberseguridad. Cumplirlas requiere alguien que entienda tanto la norma como la realidad técnica y operativa de la empresa. Sin ese puente, el cumplimiento se convierte en un checklist sin sustancia.
El modelo que hace viable lo que antes era inalcanzable
El servicio de Virtual CISO nació precisamente para resolver esta ecuación. En lugar de contratar un perfil senior a tiempo completo, la organización accede a la experiencia y la función estratégica de un CISO a través de un modelo de suscripción, con dedicación adaptada a su tamaño y necesidades.
No es una consultoría puntual. Es una relación continua: el Virtual CISO conoce la organización, participa en reuniones de dirección cuando es necesario, define la hoja de ruta de seguridad, revisa y actualiza las políticas, y está disponible cuando ocurre algo que requiere criterio y experiencia, no solo respuesta técnica.
Con Defense365, servicio de Cut Security by Grupotech, este acompañamiento estratégico se integra con los componentes operativos, el monitoreo, las pruebas de penetración, la capacitación, la gestión de incidentes, para que la organización tenga tanto la visión como la ejecución cubiertas.
La pregunta que vale hacerse hoy
Si en su organización ocurriera un incidente de seguridad relevante mañana, ¿quién tomaría las decisiones estratégicas? ¿Quién comunicaría a los clientes, a los socios, eventualmente a la ANCI? ¿Quién definiría si pagar o no pagar, si cerrar sistemas o mantenerlos activos, cuándo retomar operaciones?
Esas preguntas no tienen respuesta técnica. Tienen respuesta estratégica. Y esa respuesta requiere alguien con criterio, experiencia y autoridad dentro de la organización.
El Virtual CISO no es un sustituto de una cultura organizacional de seguridad. Es el punto de partida para construirla.