El CISO como arquitecto de la confianza

Liderazgo, gobernanza y resiliencia digital en entornos NAVI latinoamericanos

  • Andrés R. Almanza J.
Palabras clave: CISO, confianza digital, gobernanza, liderazgo adaptativo, resiliencia organizacional, riesgo sistémico, ciberseguridad estratégica, América Latina

Resumen

La evolución del riesgo digital ha transformado profundamente el rol del Chief Information Security Officer (CISO). En contextos caracterizados por aceleración tecnológica, interdependencia sistémica, volatilidad regulatoria y expansión de amenazas híbridas, la seguridad dejó de ser una función estrictamente técnica para convertirse en un componente estruc tural de la gobernanza organizacional. Este artículo examina el papel del CISO como articulador de confianza digital en organizaciones que operan en entornos NAVI—No lineales, Acelerados, Volátiles e Interconectados— con especial énfasis en América Latina. A partir de literatura acadé mica, marcos de gobernanza y reportes especializados, se analiza cómo la confianza digital emerge de la interacción entre capacidades técnicas, liderazgo estratégico, comunicación organizacional y legitimidad institu cional. El artículo propone el concepto de “arquitectura de confianza” como marco integrador para comprender la función contemporánea del CISO, entendida como la articulación de capacidades técnicas, organiza cionales, comunicacionales y éticas que permiten sostener confianza digi tal en escenarios complejos. Asimismo, se reconocen los límites, tensio nes y riesgos de sobredimensionar dicho rol. Se concluye que la confianza no puede entenderse únicamente como consecuencia de controles tecnológicos eficaces, sino como resultado de dinámicas organizaciona les sostenidas que integran transparencia, resiliencia y capacidad adaptativa.

Citas

Bada, M., & Sasse, A. (2014). Cyber security awareness campaigns: Why do they fail to change behaviour? Proceedings of the International Conference on Cyber Security for Sustainable Society. https://discovery.ucl.ac.uk/id/eprint/1468954/

Bass, B. M. (1985). Leadership and performance beyond expectations. Free Press.

Bax, H. J., & Jaggi, G. (2025). What if disruption isn't the challenge, but the chance? EY. https://www.ey.com/en_gl/megatrends/what-if-disruption-is-not-the-challenge-but-the-chance

Bennett, N., & Lemoine, G. J. (2014). What a difference a word makes: Understanding threats to performance in a VUCA world. Business Horizons, 57(3), 311–317. https://www.sciencedirect.com/science/article/abs/pii/S0007681314000020

Banco Interamericano de Desarrollo (BID), & Organización de los Estados Americanos (OEA). (2020). Reporte Ciberseguridad 2020: Riesgos, avances y el camino a seguir en América Latina y el Caribe. https://publications.iadb.org/es/publications/spanish/viewer/Reporte-Ciberseguridad-2020-riesgos-avances-y-el-camino-a-seguir-en-America-Latina-y-el-Caribe.pdf

Banco Interamericano de Desarrollo (BID). (2022). Confianza: la clave de la cohesión social y el crecimiento en América Latina y el Caribe (Resumen ejecutivo). https://publications.iadb.org/es/publications/spanish/viewer/Confianza-la-clave-de-la-cohesion-social-y-el-crecimiento-en-America-Latina-y-el-Caribe-Resumen-ejecutivo.pdf

Banco Mundial. (2022). El escaso acceso digital frena a América Latina y el Caribe: cómo solucionarlo. https://blogs.worldbank.org/es/latinamerica/el-escaso-acceso-digital-frena-america-latina-y-el-caribe-como-solucionar-este

Bloomberg Línea. (2021). Multan a Rappi en Colombia por violaciones al régimen de protección de datos. https://www.bloomberglinea.com/2021/10/29/multan-a-rappi-en-colombia-por-violaciones-al-regimen-de-proteccion-de-datos/

Bodin, L., Gordon, L., & Loeb, M. (2008). Information security and risk management. Communications of the ACM, 51(4), 64–68. https://doi.org/10.1145/1330311.1330325

Burns, J. M. (1978). Leadership. Harper & Row.

Comisión Económica para América Latina y el Caribe (CEPAL). (2024). América Latina y el Caribe en la segunda mitad de la década digital. https://repositorio.cepal.org/server/api/core/bitstreams/e4ca636c-2b8a-4138-8c62-b685540d9b99/content

Crossler, R. E., Johnston, A. C., Lowry, P. B., Hu, Q., Warkentin, M., & Baskerville, R. (2013). Future directions for behavioral information security research. Computers & Security, 32, 90–101. https://doi.org/10.1016/j.cose.2012.09.010

Cybersecurity and Infrastructure Security Agency. (2021). Advanced persistent threat compromise of government agencies, critical infrastructure, and private sector organizations. CISA Advisory AR21-112A.

Edelman. (2023). Edelman trust barometer 2023: Global report. Edelman Trust Barometer 2023.

Giddens, A. (1990). The consequences of modernity. Stanford University Press.

Gordon, L. A., & Loeb, M. P. (2002). The economics of information security investment. ACM Transactions on Information and System Security, 5(4), 438–457. https://doi.org/10.1145/581271.581274

Heidrick & Struggles. (2023). Global CISO survey 2023: The evolving role of the chief information security officer. https://www.heidrick.com/en/insights/cybersecurity/2023-global-chief-information-security-officer-survey

Heifetz, R., & Linsky, M. (2002). Leadership on the line: Staying alive through the dangers of leading. Harvard Business Review Press.

Ireland, R. D., & Hitt, M. A. (1999). Achieving and maintaining strategic competitiveness in the 21st century: The role of strategic leadership. Academy of Management Perspectives, 13(1), 43–57. https://doi.org/10.5465/ame.1999.1567311

ISACA. (2023). State of cybersecurity 2023: Global update on workforce efforts, resources and cyberoperations. https://www.isaca.org/resources/reports/state-of-cybersecurity-2023

International Organization for Standardization. (2021). ISO 37000:2021 — Governance of organizations: Guidance. ISO.

ISO. (2019). Security and resilience — Business continuity management systems — Requirements. ISO. https://www.iso.org/standard/75106.html

Luhmann, N. (1979). Trust and power. John Wiley & Sons.

Mayer, R. C., Davis, J. H., & Schoorman, F. D. (1995). An integrative model of organizational trust. Academy of Management Review, 20(3), 709–734. https://doi.org/10.5465/amr.1995.9508080335

Mandiant. (2021). M-Trends 2021 Special Report. https://services.google.com/fh/files/misc/rpt-mtrends-2021-en.pdf

Mandiant. (2023). M-Trends 2023 Special Report. https://www.mandiant.com/resources/reports/m-trends-2023-special-report?auHash=iTAkoIVQOJBJJ8XvjFW34_KB6WJNeNAZ1HV2I3AEXdE&ref=guptadeepak.com

National Association of Corporate Directors. (2023). Director's handbook on cyber-risk oversight (4th ed.). https://isalliance.org/wp-content/uploads/2023/03/Cyber-Risk-Oversight-Handbook_WEB.pdf

NIST. (2024). The NIST cybersecurity framework (CSF) 2.0. The NIST Cybersecurity Framework (CSF) 2.0, 2.0(29). https://doi.org/10.6028/nist.cswp.29

Organisation for Economic Co-operation and Development (OECD). (2023). Digital government review of Latin America and the Caribbean. https://www.oecd.org/content/dam/oecd/es/publications/reports/2023/09/digital-government-review-of-latin-america-and-the-caribbean_75a4be05/7a127615-es.pdf

Programa de las Naciones Unidas para el Desarrollo (PNUD). (2023). La digitalización: motor de inclusión y crecimiento en América Latina. https://www.undp.org/es/peru/noticias/la-digitalizacion-motor-de-inclusion-y-crecimiento-en-america-latina

Porrúa, M., Moncayo, G., Paz, S., Nowersztern, A., Bejarano, J. F., Baudino, M. F., Bordese, M. P., Barret, K., Baena, C. E., Jaramillo, M., Garces, O., & Isidro, A. (2025). 2025 Cybersecurity Report: Vulnerability and Maturity Challenges to Bridging the Gaps in Latin America and the Caribbean. https://doi.org/10.18235/0013872

Quinchía, A. Z. (2021). Superindustria multa a Rappi por violación a protección de datos. El Colombiano. https://www.elcolombiano.com/negocios/multan-a-rappi-por-violacion-al-regimen-de-proteccion-de-datos-personales-JI15954739

Ribot, S. (2025). The CISO Dilemma. Kornferry.com. https://www.kornferry.com/institute/the-ciso-dilemma

Rousseau, D. M., Sitkin, S. B., Burt, R. S., & Camerer, C. (1998). Not so different after all: A cross-discipline view of trust. Academy of Management Review, 23(3), 393–404. https://doi.org/10.5465/amr.1998.926617

WEF. (2021). Principles for Board Governance of Cyber Risk. World Economic Forum. https://www.weforum.org/publications/principles-for-board-governance-of-cyber-risk/

WEF. (2022). Earning Digital Trust: Decision-Making for Trustworthy Technologies. World Economic Forum. https://www.weforum.org/publications/earning-digital-trust-decision-making-for-trustworthy-technologies/

WEF. (2022b). Principles for board governance of cyber risk. https://www.weforum.org/publications/principles-for-board-governance-of-cyber-risk/

World Economic Forum. (2024). Global risks report 2024. https://www.weforum.org/publications/global-risks-report-2024/

Publicado
2026-07-01