El comité ya aprobó el presupuesto de compliance tras leer el informe de DORA. Lo que nadie ha decidido todavía es quién firma con su nombre la estrategia de seguridad cuando el regulador pregunte. Esa persona, si la empresa no la tiene, es exactamente el hueco que deja un CISO ausente.
El error habitual no es no tener presupuesto para seguridad. Es asumir que un CISO es un gasto que se puede posponer un trimestre más, cuando en realidad NIS2 y DORA ya convirtieron esa función en una obligación operativa, no en un lujo de empresa grande.
TL;DR. Un CISO (Chief Information Security Officer) es el máximo responsable de la estrategia de ciberseguridad de una empresa: gestiona riesgos, coordina la respuesta a incidentes y traduce el riesgo técnico a lenguaje de negocio ante el consejo. No toda empresa necesita uno a tiempo completo. NIS2 y DORA han convertido esta función en obligatoria para muchas organizaciones que hoy no tienen presupuesto para cubrirla en plantilla, y ahí es donde entra un modelo fraccional o blended.
¿Qué hace exactamente un CISO (y en qué se diferencia de un CIO)?
Un CISO dirige, orienta y coordina la estrategia de seguridad de la información de una organización. Define qué riesgos se asumen y cuáles no, supervisa la respuesta ante incidentes y reporta ese estado al consejo en un lenguaje que un director financiero pueda entender, no en jerga de firewall. Es, junto al CFO y al CTO, uno de los perfiles que ya forman parte del comité de riesgo en cualquier empresa mediana o grande.
El CIO y el CISO se confunden con frecuencia porque comparten parte del terreno técnico, pero persiguen objetivos distintos. El CIO busca eficiencia: que la tecnología sirva al negocio y que los sistemas funcionen. El CISO busca que esos mismos sistemas funcionen de forma segura, aunque eso implique frenar un proyecto que compromete el perímetro. En una empresa pequeña, el CIO a veces asume ambas funciones. En una empresa regulada, esa mezcla ya no es sostenible.
¿Qué habilidades y certificaciones necesita un CISO?
| Área | Qué exige |
|---|---|
| Base técnica | Certificaciones CISSP o CISM, conocimiento de gestión de vulnerabilidades, respuesta a incidentes y arquitectura de seguridad |
| Comunicación ejecutiva | Capacidad de traducir riesgo técnico a impacto de negocio ante el consejo, sin perder precisión |
| Criterio regulatorio | Conocimiento actualizado de NIS2, DORA y la normativa sectorial que aplique (banca, salud, infraestructuras críticas) |
| Liderazgo de crisis | Sangre fría para coordinar la respuesta durante un incidente real, no solo en el simulacro |
Ninguna certificación por sí sola demuestra esto último. Un candidato puede acumular siglas en el currículum y aun así no haber gestionado nunca un incidente de verdad, con clientes esperando explicaciones y un regulador pidiendo el reporte en 72 horas.
¿Todas las empresas necesitan un CISO a tiempo completo?
No. Una pyme con una superficie de riesgo limitada rara vez justifica un CISO a jornada completa: el coste no compensa el alcance real del riesgo, y ese presupuesto suele rendir más repartido entre herramientas y formación del equipo existente. El punto de inflexión llega cuando la empresa maneja datos regulados, opera en un sector crítico, o el volumen de amenazas ya supera lo que un responsable de TI puede cubrir sin dedicación exclusiva.
Ahí es donde muchas organizaciones cometen el mismo error dos veces: primero posponen la decisión porque "no hay presupuesto para un CISO", y después descubren que el coste de un incidente sin gobernanza clara es muchísimo mayor que el de haber cubierto la función a tiempo, aunque fuera de forma fraccional.
¿Por qué NIS2 y DORA obligan a reforzar esta función ahora?
NIS2 exige gestión de riesgos de ciberseguridad y notificación de incidentes en plazos ajustados, con responsabilidad directa de la dirección. DORA va más allá para el sector financiero: exige pruebas de resiliencia operativa periódicas, no solo políticas en un documento. Ambas normativas convierten la gobernanza de riesgo TIC en una obligación con nombre y apellido, no en una tarea repartida difusamente entre varios departamentos.
El efecto práctico es que organizaciones que hasta ahora resolvían la ciberseguridad con un responsable de TI a tiempo parcial se encuentran, de golpe, necesitando una función de gobernanza real. La guía completa sobre qué exigen estas dos normativas a nivel técnico está en NIS2 y DORA: qué exigen a tu equipo técnico.
¿Cómo evaluar a un CISO externo o fraccional antes de contratarlo?
La pregunta que separa a un candidato real de uno que solo ha leído sobre el tema es pedirle que describa un incidente de seguridad que gestionó de principio a fin: qué señal lo detectó, qué decisión tomó con información incompleta y qué cambió en la organización después. Cualquiera puede recitar el marco NIST. Pocos pueden explicar cómo priorizaron cuando dos sistemas críticos fallaban a la vez y el equipo de comunicación pedía una respuesta en minutos, no en días.
Un checklist corto que sí filtra: certificación oficial vigente (CISSP, CISM) con ID verificable, casos comparables de gobernanza en producción bajo normativa similar a la tuya (no solo auditorías teóricas), y referencias de haber liderado una respuesta a incidente real, no solo haberla documentado en un plan.
¿CISO in-house, fraccional o blended team: cuál elegir?
| Modelo | Cuándo conviene | Qué pasa con el criterio de riesgo |
|---|---|---|
| CISO in-house a tiempo completo | Empresa grande, sector regulado, superficie de riesgo amplia y constante | Se queda dentro, con dedicación exclusiva |
| vCISO / CISO fraccional | Empresa mediana que necesita gobernanza real pero no un puesto full-time | Externo, pero con presencia recurrente y responsabilidad definida |
| Blended team certificado | Organización que quiere retener criterio propio mientras cubre el hueco de skills | Tu equipo interno lo retiene, el talento externo certificado aporta la experiencia que falta |
El blended team funciona especialmente bien cuando ya existe un responsable de TI o un CIO que puede sostener la relación con el negocio, y lo que falta es la profundidad técnica certificada en gobernanza de riesgo y respuesta a incidentes. El talento se integra, audita y deja el criterio documentado; no llega, entrega un informe y desaparece.
Preguntas frecuentes sobre el rol de CISO
- ¿Es lo mismo un CISO que un CIO?
No. El CIO busca que la tecnología sirva de forma eficiente al negocio; el CISO busca que esa misma tecnología opere de forma segura, incluso cuando eso frena un proyecto. Comparten terreno técnico pero responden a objetivos distintos, y en empresas reguladas ya no conviene que una sola persona asuma ambos roles.
- ¿Puede un CIO asumir las funciones de CISO?
En empresas pequeñas ocurre con frecuencia, y puede funcionar mientras la superficie de riesgo sea limitada. El problema aparece cuando la empresa entra en el alcance de NIS2 o DORA: ahí la mezcla de ambos roles en una sola persona deja de ser defendible ante un auditor o un regulador.
- ¿Qué es un vCISO o CISO fraccional?
Es un CISO externo que cubre la función de gobernanza de riesgo sin ocupar un puesto a tiempo completo en plantilla. Aporta el mismo criterio y responsabilidad que un CISO interno, con una dedicación acordada según el tamaño real del riesgo, en vez de un coste fijo de jornada completa.
- ¿Cuánto gana un CISO en España?
Según la Guía del Mercado Laboral 2026 de Hays, un CISO con más de cinco años de experiencia cobra en torno a 135.000€ en Madrid y Barcelona, y unos 95.000€ en Valencia, Bilbao o Sevilla. La banca y las entidades reguladas suelen pagar por encima de esa media.
La pregunta que de verdad importa no es si tu empresa puede permitirse un CISO. Es si puede permitirse no tener a nadie que responda, con nombre propio, cuando el regulador o un incidente real pregunten quién gobierna el riesgo. Esa responsabilidad no desaparece por no asignarla; solo se vuelve más cara cuando se descubre tarde.
Shakers funciona como infraestructura de contratación de talento certificado en skills IA e infraestructura de seguridad: blended teams que cubren la gobernanza de riesgo TIC junto a tu equipo interno, validados por proyecto real, no por certificación aislada. Si ya sabes que necesitas reforzar esta función, puedes revisar el directorio de expertos en Virtual CISO certificados por Shakers.