Conversaciones espontáneas en el SITDEF Perú 2025 evidenció serias deficiencias en la preparación técnica de muchos CISOs del sector público, revelando riesgos críticos para la ciberseguridad estatal. Este reportaje analiza la alarmante falta de formación especializada en altos funcionarios, la necesidad urgente de profesionalización, y los estándares académicos y técnicos que deben cumplirse para ejercer adecuadamente el rol. Por otro lado, expertos como Gabriel Canazas y Jongmin Park aportan diagnósticos claros y estrategias esenciales para enfrentar amenazas avanzadas. La ciberseguridad no admite improvisaciones: se requiere preparación real, certificaciones reconocidas y una visión integral para proteger los activos críticos de la nación. El reportaje busca despertar al Estado antes que sea demasiado tarde.
La Ciberseguridad en el Estado Peruano: El Urgente Llamado a la Profesionalización de los CISOs
La ciberseguridad estatal enfrenta una crisis silenciosa: muchos CISOs carecen de la preparación necesaria para proteger al país de amenazas crecientes. Este reportaje analiza la urgencia de profesionalizar el rol y los estándares que deben exigirse.
(americasistemas.com.pe. Lima, Perú – 30 de abril 2025) Durante el SITDEF Perú 2025, el evento más importante de defensa y tecnología del país, realizado en el Cuartel General del Ejército del 24 al 27 de abril, quedó en evidencia una preocupación crítica: el insuficiente nivel técnico y estratégico de muchos responsables de ciberseguridad en el sector público.
En diversas conversaciones y exposiciones técnicas, surgió un comentario categórico que resume la gravedad del problema: varios responsables de la seguridad de la información en el Estado peruano son calificados como “CISOs del Ocho”, una analogía que evoca la falta de preparación técnica seria, similar a la inocencia y simpleza de un personaje de comedia.
Diagnóstico de una Realidad Preocupante
Actualmente, los profesionales que ostentan el cargo de Chief Information Security Officer (CISO) en instituciones públicas perciben sueldos elevados (entre 15 y 18 mil soles), pero en muchos casos carecen de formación especializada, actualización tecnológica constante y cultura de gestión de riesgos. Esta falta de idoneidad compromete directamente la capacidad del Estado para hacer frente a un entorno de amenazas cibernéticas cada vez más sofisticadas.
Casos Representativos
Falta de reacción ante amenazas: Se advirtió el caso de un CIO que, tras ser advertido de un ataque potencial a planes estratégicos en el VRAEM, desestimó el riesgo señalando que «eso fue hace seis meses».
Ausencia de protocolos básicos: Muchos organismos estatales aún no han implementado protecciones de autenticación de dominios como DMARC, lo que abre la puerta a fraudes de correo electrónico. Los conocedores saben que a partir del 5 de mayo, proveedores como Microsoft bloquearán correos sin estas protecciones.
Impacto Legal: La Nueva Ley de Protección de Datos
Desde el 1 de abril, la nueva Ley de Protección de Datos Personales exige una gestión rigurosa de la seguridad de la información. Las sanciones por incumplimiento son severas:
Primeras infracciones pueden superar los 500 mil soles.
Reincidencias pueden derivar en multas de hasta el 10% de los ingresos anuales de la entidad infractora.
En este contexto, no hay margen para improvisaciones ni para transferencias irresponsables de responsabilidades entre áreas legales, TI y direcciones administrativas.
Opinión de Expertos: Separando Contribuciones
Gabriel Canazas: Necesidad de un Enfoque Integral de Seguridad
El CEO de Henhacke, resaltó la necesidad de abordar la ciberseguridad de forma holística y estratégica.
Subrayó que un programa efectivo debe incluir:
Diagnóstico de vulnerabilidades.
Monitorización continua de amenazas.
Auditoría periódica de sistemas.
Respuesta ágil ante incidentes.
Protección extendida a todo el ecosistema tecnológico, incluyendo ambientes multicloud y redes híbridas.
«Hoy, la información de una institución puede estar distribuida en múltiples plataformas. La defensa debe ser integral y no limitarse al perímetro tradicional», precisó Canazas.
Jongmin Park: El Peligroso Dwell Time en Latinoamérica
Jongmin Park, consultor principal de Mandiant (Google Cloud), advirtió que en América Latina el dwell time —el tiempo que un atacante permanece dentro de una red antes de ser detectado— alcanza los 39 días en promedio.
«Cuanto más tiempo permanezca un atacante dentro de la red, mayor será la profundidad del daño. Los atacantes no son bots: son personas entrenadas y financiadas», enfatizó Park, alertando sobre la urgente necesidad de capacidades avanzadas de detección y respuesta.
Buenas Prácticas Internacionales para una Ciberseguridad Estatal de Nivel
Dada la importancia del tema que nos ocupa, un consultor en ciberseguridad comparte lo que un CISO preparado debe contar:
- Certificación del CISO:
Gobiernos como el de EE.UU. y Reino Unido exigen que sus CISOs cuenten con certificaciones como CISSP, CISM o ISO 27001 Lead Implementer. Esto garantiza un estándar mínimo de competencia profesional.
- Aplicación del modelo Zero Trust (Confianza Cero):
Organismos como la NSA y el NIST promueven la arquitectura Zero Trust, que parte del principio de no confiar en nadie dentro o fuera de la red sin verificación constante. Google implementó este modelo como parte de su iniciativa “BeyondCorp”.
- Política de DMARC obligatoria para correos institucionales:
El gobierno de Canadá y varios países de la UE exigen protección de dominios con SPF, DKIM y DMARC para evitar suplantaciones y fraudes por correo electrónico. En Perú, muchos organismos aún no lo implementan.
- Simulacros de ciberataques (Red Team/Blue Team):
Agencias como CISA en EE.UU. realizan simulacros anuales con equipos ofensivos y defensivos para entrenar a los equipos de respuesta ante ciberincidentes reales.
- Revisión y auditoría constante:
Estándares como el NIST Cybersecurity Framework y la norma ISO/IEC 27005 recomiendan evaluaciones periódicas de riesgo, con auditorías de sistemas y procesos.
- Concientización y cultura organizacional:
Iniciativas como “Cyber Aware” del Reino Unido promueven campañas masivas para que todos los empleados públicos comprendan su rol en la seguridad de la información.
- Protección del endpoint y del tráfico cifrado:
Ya no basta con firewalls; se requiere implementar EDR (Endpoint Detection and Response), segmentación de red y cifrado de extremo a extremo.
- Centro Nacional de Respuesta a Incidentes (CERT):
Países como Japón, Alemania y EE.UU. operan CERTs nacionales con personal altamente capacitado que actúa de forma preventiva y reactiva.
Perú cuenta con el Centro Nacional de Seguridad Digital, pero requiere más visibilidad, recursos y articulación con el sector público
De la Broma a la Alarma Nacional
El término “CISOs del Ocho” puede haber surgido de manera anecdótica, pero la realidad que refleja es alarmante. La ciberseguridad estatal peruana exige una transformación profunda, profesional y urgente.
No basta con ocupar cargos ni asumir responsabilidades sin preparación. Los responsables de la ciberseguridad en el Estado deben capacitarse, certificarse, y actualizarse continuamente. Amigos lectores; en ciberseguridad, la ignorancia no es un problema menor: es un riesgo de Estado.
