De la misma manera en las empresas en El Salvador lograron entender la necesidad de un Administrador de Bases de Datos tendrán que entender la necesidad de un Oficial de Seguridad de la Información. Este término, denominado en Inglés CISO – Chief Information Security Officer, ha tomado relevancia, debido principalmente a la necesidad de que la información de la organización se mantenga segura y cumpla con sus objetivos de negocio. El primer paso es entender que en materia de seguridad de la información, no se puede ser juez y parte, por lo que no es saludable pensar que la Gestión de TI podrá realizar la tarea de planificar las operaciones de TI, organizarlas, ejecutarlas, monitorearlas y a la vez proporcionar seguridad a la información de manera integral. Entendamos bien esto. Todos los componentes de TI tienen algún nivel de seguridad de manera inherente. El tema de seguridad no puede ser extraído de la configuración de equipos y aplicaciones, por lo tanto, los responsables de TI deben de incluir las configuraciones de seguridad que sean necesarias de acuerdo con su criterio profesional y las necesidades de la organización. El rol del Oficial de Seguridad viene a garantizar de que la seguridad de la Información se esta abordando de una manera integral, acorde con el nivel de riesgo de la organización y siguiendo una arquitectura de aplicaciones e infraestructura robusta que es mantenible y actualizable de acuerdo a necesidades futuras. Asegura además que se han diseñado las políticas y procedimientos relacionados con la seguridad de la información además de verificar que los no relacionados no interfieren con los objetivos de seguridad de la información. Asegura además que se están implementando los proyectos correctos para eliminar vulnerabilidades en la infraestructura y aplicaciones. El Oficial de Seguridad incluso puede intervenir como  visor independiente en los procesos de Gestión de TI, para ayudar a garantizar que elementos críticos de la Seguridad de la Información no serán comprometidos por causa de las operaciones normales de TI. Es decir, mientras el departamento de TI realiza su función de soportar el negocio a través de las Tecnologías de la Información, el Oficial de Seguridad mantiene el enfoque en la Seguridad de la Información. Incluso, en organizaciones grandes, tareas como la asignación de permisos y privilegios ha sido delegado al Oficial de Seguridad. Por supuesto, en estos casos estamos hablando de que el Oficial de Seguridad cuenta con personal bajo su cargo para poder realizar estas tareas cumpliendo con los Niveles de Servicio pactados con el negocio.

Es innegable que a todas las organizaciones les interesa la función de Seguridad de la Información. Lo discutible es ¿A qué nivel debe de cumplirse con esta función? Se necesita solo una persona a tiempo completo o un equipo de 5 o 10 personas. Incluso, puede pensarse en utilizar outsourcing para realizar la evaluación, diagnóstico, organización y monitoreo de la función de seguridad. Esta última modalidad ayuda a una organización a recolectar datos para evaluar más objetivamente la necesidad de formalizar una plaza o un departamento de seguridad de la información dentro de la organización.