Del búnker al Directorio: la evolución del CISO de experto técnico a visionario estratégico

EY Logo
EY Perú

Organización multidisciplinaria de servicios profesionales

7 minute read 10 dic. 2025
Temas relacionados
Ciberseguridad
Consultoría
Estrategia por EY-Parthenon

IA y ciberseguridad redefinen el rol del CISO: ¿están las empresas listas para darle voz en decisiones estratégicas?

Durante años, el rol del Chief Information Security Officer (CISO) estuvo principalmente centrado en la protección de sistemas y la respuesta ante amenazas. Sin embargo, el entorno empresarial ha cambiado sustancialmente. En Latinoamérica, sectores estratégicos como la banca, las telecomunicaciones y la minería enfrentan crecientes presiones en materia de reputación, cumplimiento normativo y continuidad operativa. En este contexto, el CISO ha evolucionado hacia una figura clave en la alta dirección, asumiendo un rol cada vez más estratégico.

Este cambio implica, entre otras cosas, la incorporación proactiva de la perspectiva del CISO en decisiones clave como fusiones y adquisiciones, expansión a nuevos mercados y selección de proveedores estratégicos. Esta participación no solo vela por la confianza de clientes e inversionistas, sino que también proyecta una imagen sólida de responsabilidad digital, posicionando a las empresas con una ventaja competitiva frente a sus pares.

EY 2025 Global Cybersecurity Leadership Insights Study
de las organizaciones involucra CISO en etapas tempranas.

Además, integrar al CISO en las discusiones estratégicas permite anticipar riesgos críticos —como integraciones tecnológicas frágiles, una gestión deficiente de datos sensibles o vulnerabilidades en APIs (interfaces que permiten la comunicación entre sistemas y aplicaciones)—, y convertirlos en capacidades de resiliencia. Sin embargo, el EY 2025 Global Cybersecurity Leadership Insights Study revela que solo el 13 % de las organizaciones lo involucra en etapas tempranas.

En Perú, las organizaciones que reconocen al CISO como un actor estratégico dentro del negocio han comenzado a involucrar al equipo de ciberseguridad en decisiones clave desde etapas tempranas. En esa línea, el CISO ya no se limita a gestionar la seguridad técnica, sino que se sienta a la mesa junto al CFO, COO y CIO para discutir sobre riesgo, inversión, resiliencia y crecimiento sostenible.

Fabiana Tejerina

Consulting Associate Partner, EY Peru

Inteligencia artificial: oportunidad y desafío

Una fuerza transformadora que está redefiniendo el alcance y la naturaleza del rol del CISO es la inteligencia artificial (IA). El estudio encontró que solo el 43 % de las funciones de ciberseguridad participan de forma significativa en el acompañamiento a otras áreas en la adopción de la IA. Este porcentaje representa una oportunidad de oro para los CISO.

Al posicionarse como socios estratégicos para la adopción de IA, pueden ganar mayor confianza y un rol más activo en proyectos de transformación digital.

Facundo Jamardo

Socio de Ciberseguridad de EY Chile

Cómo EY puede ayudar

Este desafío cobra especial relevancia en el contexto peruano, donde el nuevo marco legal sobre IA —Ley N.º 31814 y su reglamento— establece obligaciones concretas como la clasificación de riesgos, la implementación de controles adecuados y la aplicación del principio de Privacy by Design, que implica incorporar la protección de datos personales desde el diseño de sistemas y procesos, y no como un añadido posterior.

 

En este escenario, el CISO deberá ejercer un liderazgo que trascienda lo técnico y se alinee con las prioridades estratégicas del negocio. Su papel como articulador entre la innovación digital, el cumplimiento normativo y la gestión de riesgos empresariales es esencial para este reto.

El reto está en garantizar que cada nuevo modelo de IA se diseñe con seguridad desde el inicio. La pregunta ya no es si invertir en IA o en ciberseguridad, sino cómo alinear ambas apuestas para construir entornos confiables, competitivos y preparados para el futuro

Gustavo Díaz

Líder en Ciberseguridad para el Sector Financiero en EY Latinoamérica.

La adopción responsable de la inteligencia artificial en ciberseguridad no solo permite automatizar tareas y optimizar operaciones, sino que también fortalece la capacidad de anticipar amenazas y tomar decisiones basadas en datos. Sin embargo, para capitalizar plenamente estos beneficios, es indispensable que el CISO cuente con respaldo, un aspecto que aún está en proceso de maduración en muchas compañías.

La brecha por cerrar

En Latinoamérica, la integración estratégica de la ciberseguridad continúa enfrentando retos significativos. Por un lado, muchos CISOs poseen perfiles predominantemente técnicos, con una limitada conexión con los objetivos del negocio. Por otro, los directorios no siempre comprenden a profundidad los riesgos operativos ni el papel clave que deben asumir para respaldar eficazmente a las áreas de ciberseguridad.

Aunque la mayoría de las organizaciones ya cuenta con un CISO, el perfil y el alcance de este rol varía considerablemente. Esta falta de alineación estratégica puede traducirse en áreas de ciberseguridad con recursos limitados y menor capacidad operativa, lo que aumenta su exposición frente a amenazas cada vez más sofisticadas

Facundo Jamardo

EY Chile

Estos datos reflejan una tendencia que también impacta a Latinoamérica, donde la necesidad de una mayor articulación entre liderazgo ejecutivo y ciberseguridad se vuelve cada vez más urgente.

En el caso de Perú, algunas organizaciones reguladas han comenzado a otorgar un espacio formal al CISO en sus directorios, lo que representa un avance importante. Sin embargo, la incorporación plena del CISO en la alta dirección requiere de un cambio cultural profundo: reconocer a la ciberseguridad como parte esencial del gobierno corporativo y comprometerse con una inversión sostenida en resiliencia digital.

Las compañías en Perú donde el CISO ha ganado protagonismo buscan perfiles con una visión ejecutiva sólida y estratégica, capaces de interactuar directamente con el C-suite y participar en la definición de la estrategia corporativa. Sin embargo, aún existe una amplia brecha en el sector empresarial local: muchas organizaciones peruanas y latinoamericanas todavía no reconocen plenamente el valor estratégico de incorporar a la ciberseguridad en la alta dirección.

Fabiana Tejerina

Consulting Associate Partner, EY Peru

Tres pasos para consolidar el liderazgo del CISO

La falta de integración estratégica no solo limita el impacto del CISO en la organización, sino que también incrementa la vulnerabilidad frente a amenazas cada vez más sofisticadas. Con la expansión de la IA, los ciberataques evolucionan en complejidad y alcance. 

Ante este panorama, el EY 2025 Global Cybersecurity Leadership Insights Study propone tres pasos para maximizar el valor de la ciberseguridad:

En un entorno donde los ciberataques son inevitables, el verdadero diferencial está en la capacidad de respuesta. Las organizaciones que han elevado al CISO al nivel estratégico no solo protegen su presente: construyen, desde la confianza digital, el valor necesario para lograr el futuro que imaginan.

Contacto

Fabiana Tejerina

Consulting Associate Partner, EY Peru
Soy una profesional y madre con pasión por su trabajo, una amante de las mascotas y los desafíos. Busco la excelencia en todo lo que hago equilibrando las responsabilidades familiares y laborales.
Lima, Peru

Facundo Jamardo

Socio de Ciberseguridad de EY Chile
Movido por la curiosidad y la pasión por resolver problemas, trabajando en equipo para encontrar la mejor solución posible.
Santiago, Chile

Gustavo Díaz

Financial Services Leader, EY Colombia & Financial Services Cybersecurity Leader, EY Latin America
Gustavo está casado con Diana, es padre de María Camila y Emilia. En sus ratos libres le gusta compartir tiempo en familia y practicar ciclismo de montaña.
Bogotá, Colombia

Resumen

El Chief Information Security Officer (CISO) ha pasado de ser un gestor técnico a un actor estratégico en la alta dirección. Integrar al CISO permite anticipar riesgos, fortalecer resiliencia y alinear innovación con seguridad, convirtiendo la ciberseguridad en ventaja competitiva y parte esencial del gobierno corporativo.

Acerca de este artículo

EY Logo
EY Perú
Organización multidisciplinaria de servicios profesionales
Temas relacionados
Ciberseguridad
Consultoría
Estrategia por EY-Parthenon

Artículos relacionados

Open Finance en Latinoamérica: ¿está el Perú listo para la transformación?

Open Finance llega a Perú: ¿cómo prepararse para un ecosistema abierto que exige innovación, seguridad y experiencia personalizadas para el usuario?

EY Perú

Pentesting moderno: anticiparse al ataque para proteger lo esencial del negocio

El pentesting moderno permite anticiparse a ataques reales con evaluaciones continuas y riesgos priorizados según impacto en procesos críticos.

Katherine Trigueros

Electro Perú Industrial

La historia de éxito de Víctor Vandervelde, quien lidera Electro Perú Industrial

EY Perú

    EY se refiere a la organización global, y puede referirse a una o más, de las firmas miembro de Ernst & Young Global Limited, cada una de las cuales es una entidad legal independiente. Ernst & Young Global Limited, una compañía británica limitada por garantía, no brinda servicios a los clientes.