gobernanza
CISO
Chief Information Security Officer
vCISO

Qué es un CISO: funciones, responsabilidades y modalidades

Qué es un CISO, sus ocho funciones, dependencia jerárquica, perfil y certificaciones, modalidades (vCISO, interno, externalizado) y encaje con NIS2 y DORA.

Secra10 de mayo de 202613 min de lectura

Un CISO es el responsable ejecutivo de la ciberseguridad de una organización: estrategia, gobierno y liderazgo ante el consejo. Las siglas vienen del inglés Chief Information Security Officer. Define el programa, lidera el equipo, reporta al comité de dirección y al consejo, y es la cara visible del riesgo digital ante reguladores, clientes y aseguradoras. Es un rol ejecutivo, no técnico, aunque viene casi siempre de carrera técnica.

Esta guía explica qué hace un CISO en concreto, las ocho responsabilidades que aparecen en cualquier descripción de puesto seria, dónde encaja en la jerarquía corporativa, cuál es el perfil habitual y qué certificaciones se piden, las tres modalidades de incorporación (CISO interno a tiempo completo, vCISO o CISO fraccional, CISO externalizado), por qué NIS2 y DORA están acelerando contrataciones en España, y cómo decide una empresa qué modalidad le conviene.

Qué es un CISO

Un CISO es el responsable ejecutivo de la postura de seguridad de la información de una organización. Las tres palabras clave del rol:

  • Estrategia. Define el programa de seguridad alineado con los objetivos de negocio y el apetito de riesgo del consejo. No se ocupa de configurar firewalls; se ocupa de que la inversión en seguridad esté bien dirigida.
  • Gobierno. Mantiene políticas, procesos, indicadores y reporting. Asegura que la organización cumple obligaciones regulatorias y contractuales.
  • Liderazgo. Dirige el equipo de seguridad (o lo coordina si es externalizado), construye relaciones con TI, legal, RRHH, operaciones, comunicación y dirección, y representa a la empresa ante terceros.

Lo que un CISO no es: ni un administrador de sistemas con título inflado, ni un ingeniero de seguridad puro, ni la persona que apaga el incendio cuando entra ransomware. Esos roles existen y son críticos, pero quedan bajo la responsabilidad del CISO, no son el CISO.

Las ocho responsabilidades centrales

Cualquier descripción de puesto profesional cubre estas áreas.

Estrategia y programa de seguridad

Documenta la visión de seguridad a tres años, alineada con el plan estratégico del negocio. Define objetivos medibles, prioridades por trimestre, presupuesto necesario y resultado esperado. Es lo que la empresa mira cuando se hace board reporting.

Gestión de riesgos

Mantiene un registro de riesgos de ciberseguridad con probabilidad, impacto, dueño, mitigaciones y plazos. Hace análisis específicos por iniciativa (lanzamiento de un nuevo producto, integración de un proveedor, migración cloud) y los documenta para el comité de riesgos.

Cumplimiento normativo

Garantiza el cumplimiento de las obligaciones aplicables: NIS2 para empresas afectadas, DORA en sector financiero, ISO 27001 si se certifica, ENS en proveedores del sector público español, PCI DSS si procesa pagos, RGPD para datos personales, sectoriales relevantes (HIPAA en salud, GDPR-K en menores). Coordina auditorías y mantiene el registro de evidencias.

Operaciones de seguridad

Supervisa o ejecuta directamente el SOC, la gestión de identidades, el control de accesos, el endpoint security, la red y la infraestructura. Define KPIs y los reporta. En empresas medianas, la operación se externaliza a un proveedor MDR y el CISO supervisa el contrato.

Gestión de incidentes

Lidera la respuesta a incidentes graves. Activa el plan, coordina equipos internos y externos (forense, legal, comunicación, asegurador), comunica al comité de dirección y al consejo, y se encarga de la notificación a reguladores en plazos legales (24/72h en NIS2, 24h en DORA, 72h en RGPD).

Pruebas de seguridad

Programa el calendario anual de pentesting, Red Team, auditorías de aplicaciones web, pruebas de phishing y, en sectores regulados, ejercicios formales tipo TIBER-EU. Selecciona proveedores, valida entregables y asegura que los hallazgos se cierran.

Gestión de proveedores

NIS2 y DORA elevan la responsabilidad sobre proveedores críticos. El CISO mantiene el inventario de terceros con acceso a datos o sistemas, ejecuta due diligence inicial y revisiones periódicas, asegura cláusulas contractuales adecuadas (auditoría, notificación, ubicación de datos, derecho a salir) y exige evidencias de los controles que el proveedor declara.

Concienciación y cultura

Gestiona el programa de formación y simulacros. Mide cobertura, comprensión y resultados (porcentaje de plantilla que cae en simulacros de phishing, tiempo de respuesta a alertas reales). Trabaja con RRHH y comunicación interna para integrar seguridad en cultura, no solo en cumplimiento.

Dónde encaja en la jerarquía

La dependencia jerárquica del CISO está cambiando rápido. Tres modelos habituales en España.

Bajo el CIO o director de TI. El más frecuente históricamente. Funciona bien en empresas con TI maduro, pero crea conflicto de intereses cuando el CIO debe arbitrar entre velocidad de entrega y seguridad, porque el CISO le reporta. NIS2 desincentiva este modelo en organizaciones afectadas.

Bajo el COO o director de operaciones. Modelo intermedio. El CISO gana independencia de TI pero queda lejos del comité de riesgos.

Bajo el CEO o consejo (modelo recomendado por reguladores). El CISO reporta directamente al CEO y tiene línea de comunicación con el consejo y el comité de auditoría. Es el modelo que NIS2 y DORA están empujando para empresas afectadas, especialmente las grandes y medianas. Garantiza independencia y peso ejecutivo del rol.

Bajo Risk u Office of CRO. En entidades financieras y aseguradoras, el CISO suele encajar dentro de la función de gestión de riesgos, en línea con DORA. Permite tratar el riesgo cibernético al mismo nivel que el resto de riesgos corporativos.

Sea cual sea la dependencia formal, el CISO necesita acceso directo al consejo al menos trimestralmente para el reporting de riesgos críticos.

Perfil y certificaciones habituales

El CISO típico viene de carrera técnica (ingeniería informática o telecomunicaciones) con 10-20 años de trayectoria que pasa por roles operativos (administración de sistemas, redes), después seguridad (auditor, consultor, arquitecto), y finalmente gobernanza. Muchos pasan por consultoras grandes o por equipos internos de banca, telco, energía y retail.

Certificaciones relevantes en España y UE:

  • CISSP (ISC2). La más reconocida globalmente para perfiles de management.
  • CISM (ISACA). Específicamente orientada a gestión de seguridad de la información.
  • CISA (ISACA). Auditoría de sistemas; útil para CISOs con perfil de cumplimiento.
  • CRISC (ISACA). Riesgo y control.
  • ISO 27001 Lead Auditor / Lead Implementer. Habitual cuando la empresa va por certificación.
  • CCSP (ISC2). Cuando hay foco cloud serio.

Las certificaciones técnicas (OSCP, CEH, GPEN) son irrelevantes para el rol CISO en sí, aunque pueden venir de la trayectoria previa.

Soft skills que pesan: comunicación con audiencias no técnicas, capacidad de traducir riesgo técnico a lenguaje de negocio, negociación con TI y legal, frialdad en gestión de crisis, capacidad de hacer business case ante el CFO.

Modalidades de incorporación

No toda empresa necesita un CISO interno a tiempo completo. Tres modelos según tamaño, sector y obligaciones.

CISO interno full-time

Modelo tradicional. Apropiado para empresas medianas-grandes (típicamente 500+ empleados o sectores críticos NIS2/DORA), entornos con cumplimiento intensivo, organizaciones con alto perfil de riesgo o exposición pública.

Ventajas: dedicación completa, conocimiento profundo del negocio, capacidad de construir cultura. Desventajas: coste alto (paquete total CISO senior en España suele estar en rango ejecutivo y va creciendo con la presión NIS2), tiempo para hacer match correcto, riesgo si la persona se va.

vCISO (virtual CISO o CISO fraccional)

Profesional senior que cubre el rol a tiempo parcial (1-3 días por semana, contrato de servicio o consultoría) en una o varias empresas simultáneas. Apropiado para empresas medianas que necesitan rol de CISO pero no justifican full-time, startups en fase de scale-up, empresas en pre-certificación ISO 27001 o pre-NIS2.

Ventajas: coste fraccional, experiencia que viene con el profesional, flexibilidad. Desventajas: dedicación limitada, posible conflicto con otros clientes, dificultad para tareas que requieren presencia continua.

Es el modelo de incorporación que más crece en España 2024-2026.

CISO externalizado a una boutique

La empresa contrata el "servicio CISO" a una firma especializada, que asigna un profesional senior con backup de su equipo. Apropiado para empresas pequeñas que necesitan firma externa para compliance o seguros pero no pueden gestionar la complejidad de un rol propio.

Ventajas: continuidad (la firma garantiza presencia aunque rote la persona), respaldo de equipo, coste predecible. Desventajas: menor integración con cultura interna, riesgo si la firma no es seria.

Por qué NIS2 y DORA están acelerando contrataciones

Tres factores se combinan en 2025-2026 en España.

NIS2 obliga indirectamente a tener gobernanza explícita de ciberseguridad. El artículo 21 exige medidas técnicas y organizativas; el artículo 20 hace al órgano de dirección responsable. Sin un CISO o equivalente, la empresa no puede demostrar gobernanza adecuada en una inspección.

DORA exige gobierno explícito del riesgo ICT en entidades financieras y prevé responsabilidades formales del consejo. Un rol CISO formal es prácticamente obligatorio.

Aseguradoras y clientes corporativos lo piden. Pólizas cibernéticas y RFPs B2B incluyen pregunta directa: "¿Tienen CISO formal con dependencia del consejo?". Sin respuesta afirmativa, prima sube o se pierde la oportunidad.

El resultado práctico es escasez de CISOs senior en el mercado español. Empresas medianas que buscan contratar tardan 6-9 meses en cubrir la posición y la mayoría está optando por modelos vCISO o externalizado mientras encuentran el perfil interno. En los proyectos vCISO que llevamos en 2025-2026 vemos un patrón consistente: empresas que aterrizan NIS2 prefieren combinar vCISO los primeros 12 meses con incorporación interna planificada al cierre del primer ciclo de cumplimiento.

Cómo decide una empresa qué modelo le conviene

Decisión por tamaño y obligaciones, no por capricho:

  • Menos de 100 empleados sin obligaciones específicas: probablemente CISO no aplica. Bastaría con un Security Officer dentro de TI o externalización puntual.
  • 100-500 empleados, sin sectorial crítico: vCISO 1-2 días/semana suele cubrir lo necesario.
  • 100-500 empleados con NIS2 importante / DORA / sector regulado: vCISO 2-3 días/semana o full-time según madurez.
  • 500-2.000 empleados: full-time interno casi siempre, con apoyo externo puntual.
  • Más de 2.000 empleados o sector crítico: full-time con equipo bajo su responsabilidad (4-15 personas según industria).

El modelo se revisa cada 18-24 meses. Empresas que arrancaron con vCISO suelen migrar a interno cuando alcanzan ciertos umbrales de tamaño, complejidad o exposición pública.

Encaje con marcos regulatorios

  • NIS2 (artículos 20-21). Responsabilidad del órgano de dirección sobre las medidas de gestión de riesgo. El CISO traduce esa responsabilidad en programa concreto y reporting.
  • DORA (artículos 5, 6, 9). Gobierno ICT, responsabilidades de la función. El rol CISO se cita explícitamente como buena práctica.
  • ISO 27001:2022 (cláusula 5). Liderazgo, política, roles. La certificación exige rol formal de seguridad, normalmente desempeñado por el CISO.
  • ENS RD 311/2022. Responsabilidad de la seguridad. En administraciones públicas y proveedores se mapea al COSO o al equivalente.
  • PCI DSS v4.0 (req. 12.4). Programa de gestión de seguridad. Aunque no exige título "CISO", sí exige rol con autoridad y responsabilidad documentada.
  • RGPD. El CISO no sustituye al DPO; son roles distintos pero complementarios. Empresas afectadas suelen tener ambos.

Preguntas frecuentes

¿Qué diferencia hay entre CISO y DPO?

El DPO (Data Protection Officer) está enfocado en cumplimiento RGPD: tratamiento de datos personales, derechos de los titulares, auditoría de tratamientos. El CISO está enfocado en seguridad de la información en sentido amplio (no solo personales). Las funciones se solapan en gestión de incidentes con datos personales y en evaluaciones de impacto, pero los roles no se sustituyen. La AEPD recomienda que sean personas distintas para evitar conflicto de intereses, especialmente en organizaciones grandes.

¿Cuándo necesito un CISO?

Cuando una de estas condiciones se cumple: la empresa entra en NIS2 o DORA; hay certificación ISO 27001 o ENS en marcha; clientes B2B lo exigen contractualmente; aseguradora lo pide para cibercobertura; han habido incidentes que escalaron sin propietario claro; la dirección no sabe qué inversión en seguridad está justificada. Si nada de eso aplica, probablemente puedes esperar 12-18 meses más.

¿Cuánto cuesta un CISO en España?

El paquete varía mucho con sector, tamaño y experiencia. En 2026 los rangos públicos según informes de remuneración (Hays, Page, ICSA) sitúan al CISO senior en empresas medianas en franjas ejecutivas que crecen año a año por presión NIS2. Un vCISO se contrata por días-mes; un servicio CISO externalizado se cierra como contrato anual con SLA. Pedir referencias y comparar presupuestos es la práctica habitual.

¿Puedo combinar rol técnico y CISO?

En empresas pequeñas a veces. En medianas, no es sostenible: el rol estratégico y el operativo tiran en direcciones opuestas. Lo habitual es separar pronto: el CISO gestiona y reporta, el equipo técnico ejecuta.

¿Qué relación tiene CISO con CTO o CIO?

CTO suele ser responsable de tecnología producto (lo que la empresa vende). CIO de tecnología interna (lo que la empresa usa). El CISO supervisa la seguridad de ambos. Conflictos típicos: el CTO quiere lanzar rápido, el CIO quiere reducir TCO, el CISO quiere mitigar riesgo. La gobernanza sana exige que los tres roles estén al mismo nivel ejecutivo y arbitre el CEO.

¿Las empresas pequeñas necesitan CISO?

No siempre. Una empresa de 30 personas no necesita un CISO formal pero sí un Security Officer dentro del equipo TI con responsabilidades documentadas y, si hay obligación NIS2, refuerzo externo periódico. La obligación legal del consejo aplica al margen del título: alguien tiene que ser responsable.

¿Es buena idea promocionar a CISO desde dentro?

Depende. Si el candidato interno tiene perfil de gestión y no solo técnico, sí. Si es solo técnico, normalmente no funciona: el rol exige negociar con dirección, y la empresa pierde un buen ingeniero ganando un mal CISO. Lo común es combinar promoción interna con experiencia externa: el CISO viene de fuera y sus líderes técnicos crecen dentro.

Recursos relacionados

CISO y consultoría estratégica en Secra

En Secra trabajamos del lado del CISO en tres situaciones típicas: cuando la empresa todavía no tiene rol formal y necesita cubrirlo en modalidad vCISO mientras decide perfil interno; cuando el CISO existe y necesita validación externa de su programa, evaluación de proveedores o respaldo en proyectos específicos (NIS2, DORA, certificaciones); y cuando hay un incidente y hace falta capacidad técnica complementaria al equipo interno. El alcance es siempre acordado con el CISO existente, no en su lugar. Si tu organización está dimensionando el rol o necesita refuerzo táctico de seguridad, escríbenos a través de contacto o consulta nuestros servicios de consultoría GRC.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo