El CISO como arquitecto de la confianza
Liderazgo, gobernanza y resiliencia digital en entornos NAVI latinoamericanos
Resumen
La evolución del riesgo digital ha transformado profundamente el rol del Chief Information Security Officer (CISO). En contextos caracterizados por aceleración tecnológica, interdependencia sistémica, volatilidad regulatoria y expansión de amenazas híbridas, la seguridad dejó de ser una función estrictamente técnica para convertirse en un componente estruc tural de la gobernanza organizacional. Este artículo examina el papel del CISO como articulador de confianza digital en organizaciones que operan en entornos NAVI—No lineales, Acelerados, Volátiles e Interconectados— con especial énfasis en América Latina. A partir de literatura acadé mica, marcos de gobernanza y reportes especializados, se analiza cómo la confianza digital emerge de la interacción entre capacidades técnicas, liderazgo estratégico, comunicación organizacional y legitimidad institu cional. El artículo propone el concepto de “arquitectura de confianza” como marco integrador para comprender la función contemporánea del CISO, entendida como la articulación de capacidades técnicas, organiza cionales, comunicacionales y éticas que permiten sostener confianza digi tal en escenarios complejos. Asimismo, se reconocen los límites, tensio nes y riesgos de sobredimensionar dicho rol. Se concluye que la confianza no puede entenderse únicamente como consecuencia de controles tecnológicos eficaces, sino como resultado de dinámicas organizaciona les sostenidas que integran transparencia, resiliencia y capacidad adaptativa.
Citas
Bada, M., & Sasse, A. (2014). Cyber security awareness campaigns: Why do they fail to change behaviour? Proceedings of the International Conference on Cyber Security for Sustainable Society. https://discovery.ucl.ac.uk/id/eprint/1468954/
Bass, B. M. (1985). Leadership and performance beyond expectations. Free Press.
Bax, H. J., & Jaggi, G. (2025). What if disruption isn't the challenge, but the chance? EY. https://www.ey.com/en_gl/megatrends/what-if-disruption-is-not-the-challenge-but-the-chance
Bennett, N., & Lemoine, G. J. (2014). What a difference a word makes: Understanding threats to performance in a VUCA world. Business Horizons, 57(3), 311–317. https://www.sciencedirect.com/science/article/abs/pii/S0007681314000020
Banco Interamericano de Desarrollo (BID), & Organización de los Estados Americanos (OEA). (2020). Reporte Ciberseguridad 2020: Riesgos, avances y el camino a seguir en América Latina y el Caribe. https://publications.iadb.org/es/publications/spanish/viewer/Reporte-Ciberseguridad-2020-riesgos-avances-y-el-camino-a-seguir-en-America-Latina-y-el-Caribe.pdf
Banco Interamericano de Desarrollo (BID). (2022). Confianza: la clave de la cohesión social y el crecimiento en América Latina y el Caribe (Resumen ejecutivo). https://publications.iadb.org/es/publications/spanish/viewer/Confianza-la-clave-de-la-cohesion-social-y-el-crecimiento-en-America-Latina-y-el-Caribe-Resumen-ejecutivo.pdf
Banco Mundial. (2022). El escaso acceso digital frena a América Latina y el Caribe: cómo solucionarlo. https://blogs.worldbank.org/es/latinamerica/el-escaso-acceso-digital-frena-america-latina-y-el-caribe-como-solucionar-este
Bloomberg Línea. (2021). Multan a Rappi en Colombia por violaciones al régimen de protección de datos. https://www.bloomberglinea.com/2021/10/29/multan-a-rappi-en-colombia-por-violaciones-al-regimen-de-proteccion-de-datos/
Bodin, L., Gordon, L., & Loeb, M. (2008). Information security and risk management. Communications of the ACM, 51(4), 64–68. https://doi.org/10.1145/1330311.1330325
Burns, J. M. (1978). Leadership. Harper & Row.
Comisión Económica para América Latina y el Caribe (CEPAL). (2024). América Latina y el Caribe en la segunda mitad de la década digital. https://repositorio.cepal.org/server/api/core/bitstreams/e4ca636c-2b8a-4138-8c62-b685540d9b99/content
Crossler, R. E., Johnston, A. C., Lowry, P. B., Hu, Q., Warkentin, M., & Baskerville, R. (2013). Future directions for behavioral information security research. Computers & Security, 32, 90–101. https://doi.org/10.1016/j.cose.2012.09.010
Cybersecurity and Infrastructure Security Agency. (2021). Advanced persistent threat compromise of government agencies, critical infrastructure, and private sector organizations. CISA Advisory AR21-112A.
Edelman. (2023). Edelman trust barometer 2023: Global report. Edelman Trust Barometer 2023.
Giddens, A. (1990). The consequences of modernity. Stanford University Press.
Gordon, L. A., & Loeb, M. P. (2002). The economics of information security investment. ACM Transactions on Information and System Security, 5(4), 438–457. https://doi.org/10.1145/581271.581274
Heidrick & Struggles. (2023). Global CISO survey 2023: The evolving role of the chief information security officer. https://www.heidrick.com/en/insights/cybersecurity/2023-global-chief-information-security-officer-survey
Heifetz, R., & Linsky, M. (2002). Leadership on the line: Staying alive through the dangers of leading. Harvard Business Review Press.
Ireland, R. D., & Hitt, M. A. (1999). Achieving and maintaining strategic competitiveness in the 21st century: The role of strategic leadership. Academy of Management Perspectives, 13(1), 43–57. https://doi.org/10.5465/ame.1999.1567311
ISACA. (2023). State of cybersecurity 2023: Global update on workforce efforts, resources and cyberoperations. https://www.isaca.org/resources/reports/state-of-cybersecurity-2023
International Organization for Standardization. (2021). ISO 37000:2021 — Governance of organizations: Guidance. ISO.
ISO. (2019). Security and resilience — Business continuity management systems — Requirements. ISO. https://www.iso.org/standard/75106.html
Luhmann, N. (1979). Trust and power. John Wiley & Sons.
Mayer, R. C., Davis, J. H., & Schoorman, F. D. (1995). An integrative model of organizational trust. Academy of Management Review, 20(3), 709–734. https://doi.org/10.5465/amr.1995.9508080335
Mandiant. (2021). M-Trends 2021 Special Report. https://services.google.com/fh/files/misc/rpt-mtrends-2021-en.pdf
Mandiant. (2023). M-Trends 2023 Special Report. https://www.mandiant.com/resources/reports/m-trends-2023-special-report?auHash=iTAkoIVQOJBJJ8XvjFW34_KB6WJNeNAZ1HV2I3AEXdE&ref=guptadeepak.com
National Association of Corporate Directors. (2023). Director's handbook on cyber-risk oversight (4th ed.). https://isalliance.org/wp-content/uploads/2023/03/Cyber-Risk-Oversight-Handbook_WEB.pdf
NIST. (2024). The NIST cybersecurity framework (CSF) 2.0. The NIST Cybersecurity Framework (CSF) 2.0, 2.0(29). https://doi.org/10.6028/nist.cswp.29
Organisation for Economic Co-operation and Development (OECD). (2023). Digital government review of Latin America and the Caribbean. https://www.oecd.org/content/dam/oecd/es/publications/reports/2023/09/digital-government-review-of-latin-america-and-the-caribbean_75a4be05/7a127615-es.pdf
Programa de las Naciones Unidas para el Desarrollo (PNUD). (2023). La digitalización: motor de inclusión y crecimiento en América Latina. https://www.undp.org/es/peru/noticias/la-digitalizacion-motor-de-inclusion-y-crecimiento-en-america-latina
Porrúa, M., Moncayo, G., Paz, S., Nowersztern, A., Bejarano, J. F., Baudino, M. F., Bordese, M. P., Barret, K., Baena, C. E., Jaramillo, M., Garces, O., & Isidro, A. (2025). 2025 Cybersecurity Report: Vulnerability and Maturity Challenges to Bridging the Gaps in Latin America and the Caribbean. https://doi.org/10.18235/0013872
Quinchía, A. Z. (2021). Superindustria multa a Rappi por violación a protección de datos. El Colombiano. https://www.elcolombiano.com/negocios/multan-a-rappi-por-violacion-al-regimen-de-proteccion-de-datos-personales-JI15954739
Ribot, S. (2025). The CISO Dilemma. Kornferry.com. https://www.kornferry.com/institute/the-ciso-dilemma
Rousseau, D. M., Sitkin, S. B., Burt, R. S., & Camerer, C. (1998). Not so different after all: A cross-discipline view of trust. Academy of Management Review, 23(3), 393–404. https://doi.org/10.5465/amr.1998.926617
WEF. (2021). Principles for Board Governance of Cyber Risk. World Economic Forum. https://www.weforum.org/publications/principles-for-board-governance-of-cyber-risk/
WEF. (2022). Earning Digital Trust: Decision-Making for Trustworthy Technologies. World Economic Forum. https://www.weforum.org/publications/earning-digital-trust-decision-making-for-trustworthy-technologies/
WEF. (2022b). Principles for board governance of cyber risk. https://www.weforum.org/publications/principles-for-board-governance-of-cyber-risk/
World Economic Forum. (2024). Global risks report 2024. https://www.weforum.org/publications/global-risks-report-2024/
