El presente reportaje continúa con la polémica generada tras nuestra (aquí) nota “Los CISO’s del Ocho”, en la que se cuestiona la idoneidad de quienes ocupan cargos clave en ciberseguridad dentro del Estado peruano. Especialistas han reaccionado con preocupación, señalando la urgente necesidad de reformar el rol del CISO y dar paso a un nuevo perfil estratégico: el Digital Risk & Resilience Officer (DRRO). Mientras los ataques cibernéticos crecen en frecuencia y complejidad, el Perú necesita profesionales capacitados, con liderazgo real y visión integral del riesgo digital. Esta segunda entrega busca encender la alerta y proponer soluciones concretas.
Más allá del CISO: el Estado necesita estrategas, no designados políticos
Si el Perú quiere estar preparado frente a las amenazas modernas, necesita líderes digitales, no operadores sin visión
(americasistemas.com.pe. Lima, Perú – 07 de mayo 2025) Tras la publicación de “Los CISO del Ocho”, América Sistemas encendió una alerta que resonó profundamente en los círculos especializados de ciberseguridad. Expertos nacionales y regionales coinciden en que el modelo tradicional de Director de Seguridad de la Información está obsoleto, especialmente en el sector público peruano, donde muchos CISOs no tienen ni la formación ni la visión estratégica necesaria para proteger infraestructuras críticas.
Se habló con crudeza: “el rol del CISO ha muerto”, dijeron algunos. Y es que la gestión de la ciberseguridad ya no se limita a parchar sistemas o contratar antivirus. Lo que se necesita es una visión integral de resiliencia digital que incluya gobernanza, riesgo, cumplimiento, respuesta a incidentes, cultura organizacional y sobre todo, liderazgo.
En otras palabras, lo que se requiere en la actualidad es un Digital Risk & Resilience Officer (DRRO), o como lo han bautizado otros: Chief Trust & Resilience Officer (CTRO). Un rol transversal, con poder real de decisión y acceso directo a la alta dirección.
Pero la pregunta clave que flota en el ambiente es: ¿tenemos en el Perú a estos profesionales preparados? La realidad es desoladora. En muchas instituciones públicas, los llamados “CISOs de escritorio” son nombrados sin certificaciones, sin experiencia en respuesta a crisis y, peor aún, sin una comprensión básica de los marcos regulatorios vigentes, como la nueva Ley de Protección de Datos Personales, que ya contempla sanciones millonarias para quienes no protejan adecuadamente los datos de los ciudadanos.
Lo sucedido recientemente con Interbank en Perú, el caos por el apagón en Chile causado por el fallo de un software global como CrowdStrike, o los ciberataques masivos en Europa, demuestran que la ciberseguridad ya no es un lujo, sino un eje de supervivencia nacional. En este contexto, seguir colocando a personal no calificado en puestos estratégicos del Estado es una irresponsabilidad inadmisible.
En contraste, países como Uruguay, Colombia y México han apostado por centros nacionales de ciberseguridad gestionados por verdaderos expertos, apoyados por alianzas con el sector privado y organismos internacionales. España, por ejemplo, a través del INCIBE, ha convertido la ciberseguridad en un asunto de Estado. En América Latina, Chile y Brasil ya tienen marcos normativos y estructuras operativas que integran a sus CISOs en consejos de riesgo y estrategia digital.
América Sistemas, fiel a su misión de informar y alertar, no se quedará en el papel de cronista. Desde esta tribuna llamamos a una reforma profunda en la manera en que el Estado Peruano designa a sus responsables de ciberseguridad. Es hora de que los CIOs públicos dejen de pensar en compromisos políticos y comiencen a pensar en resiliencia digital real.
Este es un llamado urgente: la ciberseguridad no puede seguir siendo gestionada como una oficina de trámite. Si el Perú quiere estar preparado frente a las amenazas modernas, necesita líderes digitales, no operadores sin visión. Y eso, estimados lectores, empieza por exigir profesionalismo, integridad y conocimiento real.
