septiembre 29, 2025
Una señal de alarma que no se puede ignorar El reciente ataque que paralizó los sistemas digitales de importantes aeropuertos europeos, demostró cómo unas infraestructuras consideradas […]
En la década de los noventa, la seguridad informática era poco más que un capítulo técnico dentro de los manuales de TI.
Las empresas comenzaban a digitalizar procesos e infraestructuras, las redes corporativas se abrían al mundo exterior, pero la ciberseguridad aún no se percibía como un tema de gobernanza.
La protección de los datos era una tarea operativa: actualizar sistemas, cerrar puertos de red o aplicar parches. Todo se limitaba a evitar interrupciones más que a garantizar la resiliencia.
Sin embargo, en aquella misma década ocurrió algo que cambió para siempre la percepción del riesgo digital.
Un hecho que dio origen a una figura hoy indispensable: el Chief Information Security Officer, o simplemente CISO.
En 1995, la multinacional estadounidense Citicorp, por entonces uno de los bancos más influyentes del mundo, sufrió un ciberataque sin precedentes.
Un grupo de hackers rusos logró penetrar en sus sistemas y sustraer más de diez millones de dólares. El incidente conmocionó a la opinión pública y puso en duda la seguridad de todo el sistema bancario internacional.
Pero lo que realmente preocupó a los directivos de Citicorp no fue la pérdida económica, sino la revelación posterior: a pesar de las fuertes inversiones en TI, nadie estaba realmente dirigiendo la seguridad.
Existían equipos, procedimientos y herramientas, pero faltaba una visión central, una coordinación entre tecnología, riesgo y estrategia empresarial.
Un concepto que hoy parece obvio resultaba entonces casi revolucionario.
En aquella época, la seguridad se consideraba una función puramente técnica, alejada de las decisiones de gestión.
El ataque demostró lo peligrosa que podía ser esa falta de visión: incluso una institución global podía quedar paralizada por un único punto ciego.
Para Citicorp fue una llamada de atención y, al mismo tiempo, un punto de inflexión.
La empresa comprendió que ya no bastaba con defender los sistemas: la seguridad debía ser gobernada, pasando de una función operativa a una responsabilidad directiva.
Una nueva conciencia que cambiaría para siempre la manera en que las organizaciones entendían la ciberseguridad.
De aquella crisis surgió una intuición destinada a cambiar la historia de la ciberseguridad.
Citicorp entendió que necesitaba una figura capaz de dirigir la seguridad a nivel estratégico, con una visión que uniera tecnología, gestión del riesgo y objetivos de negocio.
Esa persona fue Steve Katz, quien hasta entonces había estado a cargo de los sistemas de información de la compañía.
Era un profesional con un perfil híbrido, poco común para la época: sólido conocimiento técnico, visión a largo plazo y sensibilidad hacia los temas organizativos.
Katz había iniciado su carrera en los años setenta programando en Fortran y COBOL, había vivido la evolución de los mainframes y acumulado una valiosa experiencia en la gestión de la seguridad de los sistemas de información.
Lo que lo distinguió fué su capacidad para elevar la seguridad informática al nivel del consejo de dirección, transformándola de una función reactiva, a una disciplina estratégica, medible y transversal.
Su nombramiento marcó oficialmente el nacimiento del rol de Chief Information Security Officer.
Steve Katz fue el primero en dar forma a los principios que más tarde definirían el gobierno de la ciberseguridad moderna.
Comprendió que la seguridad no podía seguir confinada a la operación técnica, sino que debía convertirse en una responsabilidad organizacional.
Bajo su liderazgo, Citicorp implementó uno de los primeros modelos de seguridad coordinada, fomentando una mayor colaboración entre TI, gestión del riesgo y dirección corporativa.
Katz impulsó la creación de políticas compartidas, programas de concienciación interna y la inclusión de la seguridad en las reuniones de la alta dirección.
En una época en la que la ciberseguridad aún se veía como un problema técnico, Katz la transformó en un asunto de liderazgo y cultura empresarial.
Su visión sentó las bases de conceptos que hoy se dan por hechos: la gobernanza del riesgo, la comunicación entre funciones y la importancia del factor humano como primera línea de defensa.
El enfoque de Katz resultó ser un éxito.
Citicorp no solo recuperó la confianza de sus clientes, sino que convirtió una crisis en una ventaja competitiva.
La seguridad pasó a ser un pilar estratégico de la empresa, integrada en las decisiones de inversión, innovación y crecimiento.
El modelo Citicorp pronto se extendió.
En los años siguientes, decenas de grandes corporaciones —desde bancos internacionales hasta multinacionales del sector energético— incorporaron la figura del CISO en sus estructuras.
Fue el inicio de la gestión formal de la seguridad de la información y el nacimiento de marcos de referencia fundamentales como ISO 17799 (hoy ISO 27001), NIST y COBIT.
Treinta años después, el panorama ha cambiado por completo.
La transformación digital, la convergencia entre TI, OT e IoT y la expansión del cloud han ampliado la superficie de ataque y aumentado la complejidad de los entornos corporativos.
Aun así, la lección de Katz sigue vigente: la seguridad debe ser gobernada, no solo implementada y operada.
El CISO actual ya no es el “guardián de los servidores”, sino un arquitecto de la resiliencia digital.
Gestiona personas, procesos y tecnologías mediante un enfoque basado en datos, midiendo riesgos e impactos para orientar decisiones de inversión, cumplimiento normativo y continuidad operativa.
Regulaciones europeas como NIS2 y DORA no han hecho más que formalizar esta visión: la seguridad como una obligación de gobernanza, y no como una tarea técnica.
Mirando hacia atrás, se puede reconocer un hilo conductor que une la intuición de Katz con la misión del CISO moderno: entender que la seguridad no es un objetivo estático, sino un proceso en constante evolución.
Las organizaciones más avanzadas ya se mueven en esa dirección, construyendo sistemas integrados y medibles capaces de transformar la complejidad en claridad y la claridad en decisión.
Cuando Steve Katz aceptó el cargo de CISO en Citicorp, ese título ni siquiera existía.
Solo había un problema grave, una crisis reputacional y una intuición: la ciberseguridad debía convertirse en una prioridad empresarial.
Hoy, cada CISO que mide el riesgo en tiempo real o lidera un plan de resiliencia, continúa esa misma historia, la que comenzó en 1995 con un hombre, un banco y una nueva idea de seguridad:
que la confianza digital es el primer activo que vale la pena proteger.
ai.esra SpA – strada del Lionetto 6 Torino, Italy, 10146
Tel +39 011 234 4611
CAP. SOC. € 50.000,00 i.v. – REA TO1339590 CF e PI 13107650015
“Este sitio web se compromete a garantizar la accesibilidad digital conforme a la normativa europea (EAA). Para informar sobre problemas de accesibilidad, escribe a: ai.esra@ai-esra.com”
ai.esra SpA – strada del Lionetto 6 Torino, Italy, 10146
Tel +39 011 234 4611
CAP. SOC. € 50.000,00 i.v. – REA TO1339590
CF e PI 13107650015
© 2024 Esra – Todos los derechos reservados
