Armar un equipo de seguridad de la información no requiere una estructura gigante desde el día uno. Lo que necesitas son roles claros, responsabilidades bien definidas y una ubicación estratégica dentro del organigrama para que el programa funcione, sin importar si trabajas en una startup o en una entidad financiera.

¿Dónde ubicar al equipo de seguridad dentro de la organización?

La decisión sobre dónde colocar al equipo depende de la madurez de la empresa.

Muchas organizaciones empiezan ubicando la seguridad dentro del área de tecnología, reportando al líder de tecnología. Funciona bien al inicio, pero cuando las prácticas de seguridad maduran, surge un problema: el mismo equipo que aplica controles termina auditándose a sí mismo.

Por eso, las empresas más maduras desacoplan los equipos. En entidades financieras, por ejemplo, el equipo de gestión de riesgo se separa del de ciberseguridad, y el primero abarca procesos que van mucho más allá de lo tecnológico.

¿Dónde debe reportar el equipo de seguridad de la información? En etapas iniciales, puede reportar al líder de tecnología. A medida que la empresa madura, conviene separarlo para evitar conflictos de auditoría y darle independencia al equipo.

¿Cuáles son los roles mínimos para un programa de seguridad?

Antes de pensar en pentesters o analistas senior, enfócate en tres roles cruciales que sostienen cualquier programa.

Líder del programa de seguridad

Es la cabeza estratégica. Su trabajo es llevar la visión, gestionar recursos y verificar que los objetivos se cumplan.

En organizaciones pequeñas, este rol lo puede ocupar el mismo líder de tecnología. En startups muy pequeñas, incluso el CEO. Lo importante no es el título, sino que esa persona pueda hablar con la capa estratégica, conseguir presupuesto y bajar los objetivos a las capas operativas.

Este rol equivale a lo que en empresas grandes llamamos Chief Information Security Officer (CISO).

Analista o ingeniero de seguridad de la información

Aquí está la mano técnica. Esta persona implementa los controles, gestiona vulnerabilidades, configura el software para alerta temprana y mantiene la monitorización constante.

Si estás comenzando, este rol lo pueden asumir las personas con mayor conocimiento técnico que ya tienes: desarrolladores de software o administradores de infraestructura tecnológica. La idea es aprovechar el músculo técnico existente y darle responsabilidades de seguridad.

Responsable de políticas y cumplimiento

Este es el guardián de las reglas. Se encarga de que las políticas estén actualizadas, sean relevantes y consistentes con la realidad del mercado.

Al inicio puede ser el mismo líder del programa, pero conforme la organización crece, vas a necesitar un rol dedicado. Se le conoce como compliance officer u oficial de cumplimiento, y puede ser específico de seguridad informática o un rol general que también vigile leyes en áreas como gestión humana.

¿Qué hace un compliance officer en seguridad de la información? Gestiona las políticas internas, verifica que cumplan normativas vigentes y asegura que el programa de seguridad esté alineado con las leyes y estándares del mercado.

¿Qué son los security champions y por qué importan?

Más allá de los tres roles clave, existe una figura que multiplica el impacto del programa: los security champions.

No son personas del equipo de seguridad ni necesariamente perfiles técnicos. Son enlaces estratégicos en otras áreas que ayudan a crear cultura de seguridad desde adentro. Su rol principal pertenece a otra función del negocio, pero asumen la misión de promover prácticas seguras en su entorno.

Los beneficios de tener security champions son varios:

• Aportan retroalimentación enriquecida desde la perspectiva del negocio.
• Funcionan como puente entre el equipo técnico de seguridad y las áreas operativas.
• Ayudan a implementar controles dentro de sus propios equipos.
• Transfieren conocimiento y forman a sus compañeros.
• Crean comunidad interna alrededor de la seguridad.

Un ejemplo concreto: si tienes un equipo de desarrolladores y eliges a las personas clave dentro de ese grupo como security champions, ellos pueden aplicar controles directamente en el código, capacitar a sus pares y reducir la fricción entre desarrollo y seguridad.

¿Un security champion necesita ser técnico? No. Puede ser cualquier persona influyente en su área que quiera promover la cultura de seguridad. Lo valioso es la diversidad de perfiles y áreas representadas.

¿Cómo escalar el equipo desde lo mínimo viable?

Empieza con los tres roles base y suma security champions en distintas áreas. A medida que la madurez crece, podrás incorporar perfiles especializados como analistas dedicados, pentesters y un CISO formal separado del área de tecnología.

Recuerda que la seguridad no vive solo en un equipo: involucra a toda la organización. La concientización transversal es lo que hace que un programa funcione de verdad.

¿Cómo está estructurado el equipo de seguridad en tu organización? Cuéntame en los comentarios qué rol crees que falta o cuál ha sido el más difícil de implementar.