BRIEFING DE SEGURIDAD · 15.07.2026 DEENFRES

Estrategia y Gobernanza

Qué derechos de decisión del CISO deben estar regulados por escrito

Por Alec Chizhik · 23 de junio de 2026 · 11 min de lectura

Viernes, 02:47 h. El SOC detecta movimiento lateral en el segmento ERP y propone el aislamiento. El jefe de turno de operaciones de TI se opone: el cierre mensual sigue en curso hasta las 06:00 h. El CISO está al teléfono, pero en la política de incidentes solo se indica coordinar y asesorar. La pregunta de quién puede apagar el sistema productivo a las 02:47 h no es el momento para un debate de principios.

Lo más importante en resumen

  • Expectativa frente a facultades: El CISO se considera la autoridad en seguridad, pero en la práctica su mandato suele limitarse a políticas y asesoramiento. Sin facultades escritas, en caso de emergencia decide quien más grita.
  • Seis ámbitos: La aceptación de riesgos, las excepciones a políticas, la aprobación de cambios, el aislamiento de emergencia, el presupuesto y los derechos de auditoría deben incluirse en el mandato con umbrales concretos.
  • La Dirección General sigue siendo responsable: El párrafo 38 de la BSIG y el artículo 20 de NIS2 dejan la responsabilidad última en la Dirección General. El CISO actúa bajo un mandato delegado que cierra la brecha.
  • Línea separada: Quien debe controlar las operaciones de TI no debe estar subordinado a ellas. El BSI recomienda la asignación directa a la Dirección.

Relacionado:Ley marco de KRITIS: Cuando la resiliencia se convierte en obligación del CISO  /  Por qué el certificado ISO no basta por sí solo para el BSI

Sin mandato escrito, decide quien más grita

¿Qué es un mandato de CISO? Un mandato de CISO, a menudo llamado charter, es el acuerdo escrito entre la Dirección General y el CISO que define su rol, línea de reporte, derechos de decisión y veto, rutas de escalado y recursos. Traduce la expectativa abstracta de «responsable de la seguridad» en facultades concretas y exigibles en caso de emergencia.

La mayoría de las organizaciones tratan al CISO como la máxima autoridad en seguridad. Sin embargo, en la práctica su mandato suele terminar en estrategia y políticas, sin derechos operativos de ejecución. Esta brecha entre expectativa y facultades no es un caso aislado, está estructuralmente establecida.

El marco NIST nombra el núcleo. La categoría Governance, Roles and Responsibilities en el Cybersecurity Framework 2.0 exige que los roles se doten de la autoridad necesaria. La guía revisada sobre respuesta a incidentes, NIST SP 800-61r3 de abril de 2025, establece como recomendación: los roles y responsabilidades deben estar documentados. Los participantes necesitan la autoridad para cumplir sus tareas. El conflicto entre cierre mensual y aislamiento no es un problema técnico. Es un vacío de gobernanza si la cadena de escalado no está previamente por escrito.

Seis ámbitos de decisión que deben incluirse en el mandato

Un mandato no tiene que regularlo todo. Debe aclarar de antemano los conflictos que escalan regularmente en el día a día y en los incidentes. Seis ámbitos aparecen una y otra vez.

Aceptación de riesgos con umbrales. El CISO evalúa los riesgos y describe los controles de compensación. No debe aceptar finalmente el riesgo empresarial. El mandato establece umbrales, por ejemplo según la gravedad, la clasificación de datos o la criticidad del proceso, a partir de los cuales el área funcional o la Dirección General firma formalmente. La firma del CISO acredita la corrección del análisis de seguridad. La decisión empresarial no la toma él.

Excepciones a las políticas. El CISO determina si una excepción es admisible, la limita en el tiempo y exige medidas de compensación. Debe excluirse un seguimiento silencioso mediante tickets sin una aceptación documentada. Cuando rechaza, el camino conduce a la escalada. Una solución temporal no es una opción.

Aprobación de cambios en despliegues de riesgo. Las operaciones de TI quieren cumplir el plazo de lanzamiento, el CISO ve hallazgos abiertos o falta la aprobación de pruebas de penetración. El mandato define niveles: los cambios estándar se ejecutan sin el CISO, los cambios de alto riesgo requieren su aprobación o veto, un bloqueo se eleva a la Dirección General o a un comité de ciberseguridad.

Aislamiento de emergencia. La frase más importante del mandato. Quién puede separar segmentos de red, bloquear cuentas y desconectar sistemas de producción sin aprobación previa de la Dirección General y dentro de qué parámetros. Un incidente activo con compromiso confirmado es un caso distinto de una sospecha. Exactamente ese límite debe trazarse de antemano.

Presupuesto y recursos. No es un cheque en blanco, pero sí facultades mínimas: un presupuesto propio de seguridad, un umbral de aprobación para gastos de emergencia como forense o apoyo externo, y voz en las adquisiciones relevantes para la seguridad. El BSI menciona expresamente para el responsable de seguridad recursos suficientes y una vía de reporte directa.

Derechos de revisión y auditoría. Sin visibilidad no hay veto. El CISO necesita acceso de lectura y auditoría a los logs, reglas de firewall, informes de vulnerabilidades y pruebas de backup-restore, independientemente de las operaciones de TI. Esta facultad debe incluirse en el mandato de forma limitada en tiempo y legalmente, pero ejecutable.

La siguiente tabla muestra el patrón, sin desarrollar toda una matriz RACI.

Decisión Quién decide Escalada en caso de bloqueo
Aceptar el riesgo final Área funcional o Dirección General, el CISO firma el análisis Dirección General
Aprobar cambio de alto riesgo Aprobación o veto del CISO Dirección General o comité de ciberseguridad
Aislar sistema productivo CISO o CSIRT en incidente activo Notificación inmediata a Dirección General sin aprobación previa
Excepción a la política CISO con plazo limitado, con compensación Dirección General si el área rechaza

CISO y CIO: por qué la misma línea de reporte oculta el conflicto

La disponibilidad y la seguridad son dos objetivos legítimos que entran regularmente en conflicto. Las operaciones de TI quieren entregar, el CISO quiere asegurar. Si ambos roles dependen de la misma línea, la dirección de TI controla exactamente lo que el CISO debe controlar: parches, identidades, registro, copias de seguridad. Esto supone una ruptura de la separación de funciones.

Por ello el BSI recomienda asignar directamente al responsable de seguridad de la información (ISB) a la alta dirección para preservar su independencia. Una integración en el departamento de TI puede generar conflictos de roles. Los análisis de gobernanza apuntan en la misma dirección: donde la función de seguridad depende de la dirección de TI, surgen fácilmente déficits de información e intereses propios silenciosos en la cadena.

La respuesta práctica no es un debate sobre estatus acerca de si el CISO pertenece al C-Level. Es una regla de escalada: un punto muerto técnico entre la dirección de TI y el CISO se eleva dentro de un plazo definido a la Dirección General. Esta decide sobre el riesgo empresarial, el CISO documenta su posición de seguridad, ambos por escrito en el acta.

El marco legal traza la frontera entre responsabilidad y facultades

La ley y las normas definen la responsabilidad directiva. No regulan el cuaderno de decisiones operativas del CISO. Precisamente esta brecha la cierra el mandato. El párrafo 38 de la BSIG obliga a la Dirección General a implementar las medidas de gestión de riesgos y a supervisar su implementación. En caso de incumplimiento culpable de sus deberes, responde según las normas del derecho societario. El artículo 20 de NIS2 formula a nivel de la UE la misma línea: los órganos de dirección aprueban las medidas, las supervisan y pueden ser declarados responsables en caso de infracciones.

El BSI-Grundschutz deja clara la consecuencia. La alta dirección asume la responsabilidad global. La delegación de tareas operativas no la exime de ello. De ello se deriva la clara división de roles: la Dirección General sigue siendo la última en decidir sobre la aceptación de riesgos y las ponderaciones estratégicas. El CISO recibe facultades delegadas para la operación de seguridad, un veto en ámbitos definidos y una obligación de escalada. Lo importante es el orden: la ley no dice qué derechos tiene el CISO. Eso es una cuestión de organización. Por eso debe responderse por escrito.

Qué debe incluir un mandato de CISO y por dónde empezar

Un mandato es un contrato compacto entre la Dirección General y el CISO, no un paquete de políticas de 40 páginas. Ocho elementos bastan: rol y alcance con delimitación respecto al CIO y la protección de datos, la vía de reporte con frecuencia mínima e informe de conflictos sin filtro, las facultades de decisión con umbrales, los derechos de veto enumerados, la ruta de escalada con plazo y disponibilidad, los recursos incluida la aprobación de emergencia, los derechos de revisión y ejecución, así como un ciclo de revisión con la firma de la Dirección General.

El inicio no requiere una gran reorganización. Tres pasos bastan para empezar. Primero: responder de antemano las tres preguntas del incidente, es decir, quién aísla, quién informa a la Dirección General y a las autoridades, quién puede sacrificar la disponibilidad. Segundo: registrar estas respuestas de forma idéntica en el mandato y en el plan de incidentes. Tercero: simular una vez el escenario de aislamiento del segmento ERP como ejercicio tabletop, con la dirección de TI, el director financiero y la Dirección General en la mesa, más allá del SOC. Quien ha realizado este ejercicio una vez ya no discute sobre competencias a las 02:47 h.

En organizaciones muy pequeñas, el rol a veces coincide con la dirección de TI. Entonces se necesitan medidas compensatorias: un principio de los cuatro ojos, revisiones externas y una vía de reporte directa a la Dirección General en el incidente, claramente limitada en el tiempo. Es la segunda mejor solución, pero documentada.

Preguntas frecuentes

Cada pregunta está cerrada. Un toque desbloquea la respuesta.

¿Cuál es la diferencia entre una descripción de puesto y un mandato de CISO?

Una descripción de puesto enumera tareas y requisitos. Un mandato establece facultades: qué puede decidir el CISO, dónde tiene veto, cuándo escala y qué recursos le corresponden. En un incidente cuenta el mandato, porque regula la autoridad para actuar.

¿Establece la BSIG qué derechos tiene un CISO?

No. El párrafo 38 de la BSIG regula la responsabilidad de la Dirección General. No regula las facultades del CISO. Qué derechos se delegan es una decisión organizativa. Precisamente por eso debe tomarse por escrito, de lo contrario la brecha entre la responsabilidad legal y la acción operativa permanece abierta.

¿Debe el CISO estar subordinado al CIO?

El BSI aconseja la asignación directa a la alta dirección para preservar la independencia. Quien debe auditar las operaciones de TI y, en caso de duda, frenarlas, no debe depender de ellas. Cuando no es posible una línea directa, se necesita al menos una vía de escalada sin filtros hacia la Dirección General.

¿Puede un CISO apagar un sistema de producción por su cuenta?

Solo si el mandato lo permite. Es sensato una facultad claramente delimitada para el aislamiento en un incidente activo con compromiso confirmado, junto con una notificación inmediata a la Dirección General. Sin esta regla escrita surge el retraso que en caso de emergencia resulta más costoso.

¿Con qué frecuencia debe revisarse un mandato?

Al menos anualmente y después de cada incidente de seguridad importante. Un incidente muestra rápidamente dónde las facultades no han funcionado en la práctica. Cada revisión termina con una nueva firma de la Dirección General, para que el mandato permanezca actualizado y autorizado.

Selección de la redacción

RecomendadoPor qué el certificado ISO no basta para el BSI por sí soloRecomendadoEl riesgo de la cadena de suministro es un programa, no una lista de auditoríaRecomendadoLey marco KRITIS: Cuando la resiliencia se convierte en una obligación del CISO

Más de la red MBF Media

Digital ChiefsGeopol?tica y datacenters: lo que los CIO deben asegurarMyBusinessFutureReglamento de IA de la UE a partir de agosto de 2026: lo que las pymes deben etiquetar ahoracloudmagazinXFS4IoT se encuentra con la nube: El cajero automático se convierte en plataforma

Lectura adicional

Una revista de Evernine Media GmbH