El CISO es un chivo expiatorio: por qué el puesto necesita una reforma profunda

Cuando ocurre un incidente, el CISO es el primero en salir. En SolarWinds, en Uber, en Capital One: tras cada gran incidente de seguridad, rueda siempre la misma cabeza. El director de seguridad de la información asume la responsabilidad, pero carece de presupuesto, autoridad o presencia en el consejo directivo para cumplir con su función. Un análisis sobre una estructura de puesto tóxica.

En resumen

La duración media de un CISO es de 26 meses, la más corta entre todos los cargos de nivel directivo
Solo el 12 por ciento de los CISO reportan directamente al CEO; la mayoría depende del CIO o CTO y no tiene autonomía presupuestaria
Tras un incidente de seguridad, en el 60 por ciento de los casos se sustituye al CISO, incluso cuando la causa radica en subinversión o decisiones empresariales
Las tasas de agotamiento profesional (burnout) entre CISO superan el 50 por ciento, la más alta entre todos los cargos directivos de TI

Responsabilidad sin poder

Imagine que usted es el responsable de protección contra incendios de un rascacielos. Sabe que el sistema de rociadores es obsoleto, que las rutas de evacuación están bloqueadas y que las puertas cortafuegos no cierran. Redacta informes. Escala el problema. Pero la administración del edificio responde: «Demasiado caro. Lo haremos el año que viene». Entonces se declara un incendio. Y lo despiden a usted porque falló la protección contra incendios.

Esta es la realidad de la mayoría de los CISO. Identifican riesgos, los documentan, los escalan – y son ignorados. Por unidades de negocio que quieren entregar más rápido. Por el CIO, que necesita el presupuesto para otros proyectos. Por el consejo directivo, que considera la seguridad como un centro de costes. Hasta que llega el ataque.

El problema estructural

Línea de reporte: Un CISO que depende del CIO tiene un conflicto de intereses inherente. El CIO optimiza velocidad y eficiencia. La seguridad genera fricción. En esta configuración, la seguridad pierde sistemáticamente – no por mala intención, sino por inferioridad estructural.

Realidad presupuestaria: La participación media de seguridad en el presupuesto de TI ronda entre el 5 y el 10 por ciento. En sectores regulados, algo más. Esto significa que, por cada euro que gasta TI, 90 céntimos van a proyectos que el CISO debe proteger – con los 10 céntimos restantes.

Trampa profesional: El puesto es una situación de doble pérdida. Si no ocurre nada, la seguridad ha sido «innecesariamente cara». Si ocurre algo, la seguridad ha «fallado». Ningún resultado es visible positivamente para el CISO. Los mejores CISO son invisibles – y los primeros en ser eliminados cuando se recorta.

Lo que mostró Joe Sullivan en Uber

El caso de Joe Sullivan es paradigmático. Como CISO de Uber, encubrió un robo de datos – y fue condenado penalmente por ello. La condena fue jurídicamente correcta. Pero también reveló que el CISO estaba solo. La decisión de encubrir el incidente se tomó en un entorno que trataba los incidentes de seguridad como un riesgo empresarial a gestionar – no como un problema que debía comunicarse con transparencia.

Desde entonces, todo CISO piensa: «Si algo sale mal, acabaré en los tribunales». Esto no genera mayor seguridad, sino CISO defensivos que se protegen mediante documentación en lugar de abordar activamente los riesgos.

Cómo debería funcionar el puesto

Reporte a nivel de consejo: El CISO debe reportar directamente al consejo directivo o al consejo de vigilancia – no al CIO. En sectores regulados, NIS2 y DORA ya lo exigen. Debe convertirse en estándar.

Presupuesto propio: La seguridad necesita un presupuesto independiente que el CIO no pueda reasignar. Referencia: al menos el 10 por ciento del presupuesto total de TI, y hasta el 15 por ciento en empresas del sector crítico (KRITIS).

Responsabilidad compartida: NIS2 va por el buen camino: los directores generales responden personalmente de la ciberseguridad. No solo el CISO – todo el consejo directivo. Cuando el CEO asume la misma responsabilidad que el CISO, las negociaciones sobre presupuestos de seguridad cambian radicalmente.

Conclusión: salvar el puesto, no sacrificar cabezas

El agotamiento profesional del CISO no es un problema individual, sino sistémico. Mientras el puesto combine responsabilidad sin autoridad, seguirá perdiendo a los mejores profesionales – y las empresas serán más inseguras, no más seguras. La reforma comienza con la línea de reporte y termina con la distribución de responsabilidades.

Datos clave

Duración media del CISO: 26 meses de media – frente a 72 meses del CFO y 54 meses del CIO.

Burnout: El 54 por ciento de los CISO declaran sobrecarga crónica; el 24 por ciento ha buscado activamente un puesto fuera del área de seguridad en los últimos 12 meses (IANS Research, 2024).

Preguntas frecuentes

¿Necesita toda empresa un CISO?

A partir de cierto tamaño, sí. Por debajo de 200 empleados, suele bastar con un vCISO externo (CISO virtual), que asesora estratégicamente y delega la seguridad operativa en servicios gestionados. Lo decisivo es que la responsabilidad esté claramente asignada y respaldada con autoridad.

¿Cómo cambia NIS2 el papel del CISO?

NIS2 hace responsables personalmente a los directores generales. Esto cambia la dinámica: la ciberseguridad deja de ser un asunto del CISO para convertirse en un asunto del consejo directivo. Los CISO ganan autoridad porque ahora el consejo responde personalmente y escucha activamente.

¿Cuánto gana un CISO en Alemania?

Entre 120.000 y 250.000 euros, según tamaño y sector de la empresa. En comparación con los salarios en EE. UU. (300.000 a 600.000 dólares), esta cifra es baja – una razón más del déficit de profesionales cualificados en este puesto en Europa.

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow