{"id":20906,"date":"2026-06-23T11:00:00","date_gmt":"2026-06-23T11:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/?p=20906"},"modified":"2026-07-09T16:16:14","modified_gmt":"2026-07-09T16:16:14","slug":"cuales-derechos-de-decision-del-ciso-deben-estar-regulados-por-escrito","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/es\/2026\/06\/23\/cuales-derechos-de-decision-del-ciso-deben-estar-regulados-por-escrito\/","title":{"rendered":"Qu\u00e9 derechos de decisi\u00f3n del CISO deben estar regulados por escrito"},"content":{"rendered":"<p style=\"color:#69d8ed;font-size:0.9em;margin:0 0 16px;padding:0;\">6 min de lectura<\/p>\n<p><strong>Viernes, 02:47 h. El SOC detecta movimiento lateral en el segmento ERP y propone el aislamiento. El jefe de turno de operaciones de TI se opone: el cierre mensual sigue en curso hasta las 06:00 h. El CISO est\u00e1 al tel\u00e9fono, pero en la pol\u00edtica de incidentes solo se indica coordinar y asesorar. La pregunta de qui\u00e9n puede apagar el sistema productivo a las 02:47 h no es el momento para un debate de principios.<\/strong><\/p>\n<div style=\"background:#003340;color:#fff;padding:32px 36px;margin:32px 0;border-radius:8px;\">\n<p style=\"margin:0 0 18px 0;font-size:0.95em;font-weight:800;text-transform:uppercase;letter-spacing:0.2em;color:#69d8ed;border-bottom:2px solid rgba(105,216,237,0.25);padding-bottom:12px;\">Lo m\u00e1s importante en resumen<\/p>\n<ul style=\"margin:0;padding-left:22px;color:rgba(255,255,255,0.92);line-height:1.6;\">\n<li><strong style=\"color:#69d8ed;\">Expectativa frente a facultades:<\/strong> El CISO se considera la autoridad en seguridad, pero en la pr\u00e1ctica su mandato suele limitarse a pol\u00edticas y asesoramiento. Sin facultades escritas, en caso de emergencia decide quien m\u00e1s grita.<\/li>\n<li><strong style=\"color:#69d8ed;\">Seis \u00e1mbitos:<\/strong> La aceptaci\u00f3n de riesgos, las excepciones a pol\u00edticas, la aprobaci\u00f3n de cambios, el aislamiento de emergencia, el presupuesto y los derechos de auditor\u00eda deben incluirse en el mandato con umbrales concretos.<\/li>\n<li><strong style=\"color:#69d8ed;\">La Direcci\u00f3n General sigue siendo responsable:<\/strong> El p\u00e1rrafo 38 de la BSIG y el art\u00edculo 20 de NIS2 dejan la responsabilidad \u00faltima en la Direcci\u00f3n General. El CISO act\u00faa bajo un mandato delegado que cierra la brecha.<\/li>\n<li><strong style=\"color:#69d8ed;\">L\u00ednea separada:<\/strong> Quien debe controlar las operaciones de TI no debe estar subordinado a ellas. El BSI recomienda la asignaci\u00f3n directa a la Direcci\u00f3n.<\/li>\n<\/ul>\n<\/div>\n<p style=\"font-size:0.88em;color:#b8c5ce;margin:20px 0 32px 0;border-top:1px solid rgba(230,227,218,0.12);border-bottom:1px solid rgba(230,227,218,0.12);padding:10px 0;\"><span style=\"color:#69d8ed;font-weight:700;text-transform:uppercase;font-size:0.72em;letter-spacing:0.14em;margin-right:14px;\">Relacionado:<\/span><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/06\/20\/ley-del-techo-critico-resiliencia-fisica-ciso\/\" style=\"color:#333;text-decoration:underline;\">Ley marco de KRITIS: Cuando la resiliencia se convierte en obligaci\u00f3n del CISO<\/a>&nbsp;&nbsp;<span style=\"color:#ccc;\">\/<\/span>&nbsp;&nbsp;<a href=\"https:\/\/www.securitytoday.de\/es\/2026\/06\/19\/por-que-la-certificacion-iso-por-si-sola-no-es-suficiente-para-el-bsi\/\" style=\"color:#333;text-decoration:underline;\">Por qu\u00e9 el certificado ISO no basta por s\u00ed solo para el BSI<\/a><\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Sin mandato escrito, decide quien m\u00e1s grita<\/h2>\n<p><strong>\u00bfQu\u00e9 es un mandato de CISO?<\/strong> Un mandato de CISO, a menudo llamado charter, es el acuerdo escrito entre la Direcci\u00f3n General y el CISO que define su rol, l\u00ednea de reporte, derechos de decisi\u00f3n y veto, rutas de escalado y recursos. Traduce la expectativa abstracta de \u00abresponsable de la seguridad\u00bb en facultades concretas y exigibles en caso de emergencia.<\/p>\n<p>La mayor\u00eda de las organizaciones tratan al CISO como la m\u00e1xima autoridad en seguridad. Sin embargo, en la pr\u00e1ctica su mandato suele terminar en estrategia y pol\u00edticas, sin derechos operativos de ejecuci\u00f3n. Esta brecha entre expectativa y facultades no es un caso aislado, est\u00e1 estructuralmente establecida.<\/p>\n<p>El marco NIST nombra el n\u00facleo. La categor\u00eda Governance, Roles and Responsibilities en el Cybersecurity Framework 2.0 exige que los roles se doten de la autoridad necesaria. La gu\u00eda revisada sobre respuesta a incidentes, NIST SP 800-61r3 de abril de 2025, establece como recomendaci\u00f3n: los roles y responsabilidades deben estar documentados. Los participantes necesitan la autoridad para cumplir sus tareas. El conflicto entre cierre mensual y aislamiento no es un problema t\u00e9cnico. Es un vac\u00edo de gobernanza si la cadena de escalado no est\u00e1 previamente por escrito.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Seis \u00e1mbitos de decisi\u00f3n que deben incluirse en el mandato<\/h2>\n<p>Un mandato no tiene que regularlo todo. Debe aclarar de antemano los conflictos que escalan regularmente en el d\u00eda a d\u00eda y en los incidentes. Seis \u00e1mbitos aparecen una y otra vez.<\/p>\n<p><strong>Aceptaci\u00f3n de riesgos con umbrales.<\/strong> El CISO eval\u00faa los riesgos y describe los controles de compensaci\u00f3n. No debe aceptar finalmente el riesgo empresarial. El mandato establece umbrales, por ejemplo seg\u00fan la gravedad, la clasificaci\u00f3n de datos o la criticidad del proceso, a partir de los cuales el \u00e1rea funcional o la Direcci\u00f3n General firma formalmente. La firma del CISO acredita la correcci\u00f3n del an\u00e1lisis de seguridad. La decisi\u00f3n empresarial no la toma \u00e9l.<\/p>\n<p><strong>Excepciones a las pol\u00edticas.<\/strong> El CISO determina si una excepci\u00f3n es admisible, la limita en el tiempo y exige medidas de compensaci\u00f3n. Debe excluirse un seguimiento silencioso mediante tickets sin una aceptaci\u00f3n documentada. Cuando rechaza, el camino conduce a la escalada. Una soluci\u00f3n temporal no es una opci\u00f3n.<\/p>\n<p><strong>Aprobaci\u00f3n de cambios en despliegues de riesgo.<\/strong> Las operaciones de TI quieren cumplir el plazo de lanzamiento, el CISO ve hallazgos abiertos o falta la aprobaci\u00f3n de pruebas de penetraci\u00f3n. El mandato define niveles: los cambios est\u00e1ndar se ejecutan sin el CISO, los cambios de alto riesgo requieren su aprobaci\u00f3n o veto, un bloqueo se eleva a la Direcci\u00f3n General o a un comit\u00e9 de ciberseguridad.<\/p>\n<p><strong>Aislamiento de emergencia.<\/strong> La frase m\u00e1s importante del mandato. Qui\u00e9n puede separar segmentos de red, bloquear cuentas y desconectar sistemas de producci\u00f3n sin aprobaci\u00f3n previa de la Direcci\u00f3n General y dentro de qu\u00e9 par\u00e1metros. Un incidente activo con compromiso confirmado es un caso distinto de una sospecha. Exactamente ese l\u00edmite debe trazarse de antemano.<\/p>\n<p><strong>Presupuesto y recursos.<\/strong> No es un cheque en blanco, pero s\u00ed facultades m\u00ednimas: un presupuesto propio de seguridad, un umbral de aprobaci\u00f3n para gastos de emergencia como forense o apoyo externo, y voz en las adquisiciones relevantes para la seguridad. El BSI menciona expresamente para el responsable de seguridad recursos suficientes y una v\u00eda de reporte directa.<\/p>\n<p><strong>Derechos de revisi\u00f3n y auditor\u00eda.<\/strong> Sin visibilidad no hay veto. El CISO necesita acceso de lectura y auditor\u00eda a los logs, reglas de firewall, informes de vulnerabilidades y pruebas de backup-restore, independientemente de las operaciones de TI. Esta facultad debe incluirse en el mandato de forma limitada en tiempo y legalmente, pero ejecutable.<\/p>\n<p>La siguiente tabla muestra el patr\u00f3n, sin desarrollar toda una matriz RACI.<\/p>\n<div style=\"overflow-x:auto;-webkit-overflow-scrolling:touch;margin:16px 0 32px 0;\">\n<table style=\"width:100%;min-width:560px;border-collapse:collapse;margin:0;font-size:0.95em;\">\n<thead>\n<tr style=\"border-bottom:2px solid #69d8ed;\">\n<th style=\"text-align:left;padding:10px 12px;\">Decisi\u00f3n<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">Qui\u00e9n decide<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">Escalada en caso de bloqueo<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Aceptar el riesgo final<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">\u00c1rea funcional o Direcci\u00f3n General, el CISO firma el an\u00e1lisis<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Direcci\u00f3n General<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Aprobar cambio de alto riesgo<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Aprobaci\u00f3n o veto del CISO<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Direcci\u00f3n General o comit\u00e9 de ciberseguridad<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Aislar sistema productivo<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">CISO o CSIRT en incidente activo<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Notificaci\u00f3n inmediata a Direcci\u00f3n General sin aprobaci\u00f3n previa<\/td>\n<\/tr>\n<tr>\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Excepci\u00f3n a la pol\u00edtica<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">CISO con plazo limitado, con compensaci\u00f3n<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Direcci\u00f3n General si el \u00e1rea rechaza<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">CISO y CIO: por qu\u00e9 la misma l\u00ednea de reporte oculta el conflicto<\/h2>\n<p>La disponibilidad y la seguridad son dos objetivos leg\u00edtimos que entran regularmente en conflicto. Las operaciones de TI quieren entregar, el CISO quiere asegurar. Si ambos roles dependen de la misma l\u00ednea, la direcci\u00f3n de TI controla exactamente lo que el CISO debe controlar: parches, identidades, registro, copias de seguridad. Esto supone una ruptura de la separaci\u00f3n de funciones.<\/p>\n<p>Por ello el BSI recomienda asignar directamente al responsable de seguridad de la informaci\u00f3n (ISB) a la alta direcci\u00f3n para preservar su independencia. Una integraci\u00f3n en el departamento de TI puede generar conflictos de roles. Los an\u00e1lisis de gobernanza apuntan en la misma direcci\u00f3n: donde la funci\u00f3n de seguridad depende de la direcci\u00f3n de TI, surgen f\u00e1cilmente d\u00e9ficits de informaci\u00f3n e intereses propios silenciosos en la cadena.<\/p>\n<p>La respuesta pr\u00e1ctica no es un debate sobre estatus acerca de si el CISO pertenece al C-Level. Es una regla de escalada: un punto muerto t\u00e9cnico entre la direcci\u00f3n de TI y el CISO se eleva dentro de un plazo definido a la Direcci\u00f3n General. Esta decide sobre el riesgo empresarial, el CISO documenta su posici\u00f3n de seguridad, ambos por escrito en el acta.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">El marco legal traza la frontera entre responsabilidad y facultades<\/h2>\n<p>La ley y las normas definen la responsabilidad directiva. No regulan el cuaderno de decisiones operativas del CISO. Precisamente esta brecha la cierra el mandato. El p\u00e1rrafo 38 de la BSIG obliga a la Direcci\u00f3n General a implementar las medidas de gesti\u00f3n de riesgos y a supervisar su implementaci\u00f3n. En caso de incumplimiento culpable de sus deberes, responde seg\u00fan las normas del derecho societario. El art\u00edculo 20 de NIS2 formula a nivel de la UE la misma l\u00ednea: los \u00f3rganos de direcci\u00f3n aprueban las medidas, las supervisan y pueden ser declarados responsables en caso de infracciones.<\/p>\n<p>El BSI-Grundschutz deja clara la consecuencia. La alta direcci\u00f3n asume la responsabilidad global. La delegaci\u00f3n de tareas operativas no la exime de ello. De ello se deriva la clara divisi\u00f3n de roles: la Direcci\u00f3n General sigue siendo la \u00faltima en decidir sobre la aceptaci\u00f3n de riesgos y las ponderaciones estrat\u00e9gicas. El CISO recibe facultades delegadas para la operaci\u00f3n de seguridad, un veto en \u00e1mbitos definidos y una obligaci\u00f3n de escalada. Lo importante es el orden: la ley no dice qu\u00e9 derechos tiene el CISO. Eso es una cuesti\u00f3n de organizaci\u00f3n. Por eso debe responderse por escrito.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Qu\u00e9 debe incluir un mandato de CISO y por d\u00f3nde empezar<\/h2>\n<p>Un mandato es un contrato compacto entre la Direcci\u00f3n General y el CISO, no un paquete de pol\u00edticas de 40 p\u00e1ginas. Ocho elementos bastan: rol y alcance con delimitaci\u00f3n respecto al CIO y la protecci\u00f3n de datos, la v\u00eda de reporte con frecuencia m\u00ednima e informe de conflictos sin filtro, las facultades de decisi\u00f3n con umbrales, los derechos de veto enumerados, la ruta de escalada con plazo y disponibilidad, los recursos incluida la aprobaci\u00f3n de emergencia, los derechos de revisi\u00f3n y ejecuci\u00f3n, as\u00ed como un ciclo de revisi\u00f3n con la firma de la Direcci\u00f3n General.<\/p>\n<p>El inicio no requiere una gran reorganizaci\u00f3n. Tres pasos bastan para empezar. Primero: responder de antemano las tres preguntas del incidente, es decir, qui\u00e9n a\u00edsla, qui\u00e9n informa a la Direcci\u00f3n General y a las autoridades, qui\u00e9n puede sacrificar la disponibilidad. Segundo: registrar estas respuestas de forma id\u00e9ntica en el mandato y en el plan de incidentes. Tercero: simular una vez el escenario de aislamiento del segmento ERP como ejercicio tabletop, con la direcci\u00f3n de TI, el director financiero y la Direcci\u00f3n General en la mesa, m\u00e1s all\u00e1 del SOC. Quien ha realizado este ejercicio una vez ya no discute sobre competencias a las 02:47 h.<\/p>\n<p>En organizaciones muy peque\u00f1as, el rol a veces coincide con la direcci\u00f3n de TI. Entonces se necesitan medidas compensatorias: un principio de los cuatro ojos, revisiones externas y una v\u00eda de reporte directa a la Direcci\u00f3n General en el incidente, claramente limitada en el tiempo. Es la segunda mejor soluci\u00f3n, pero documentada.<\/p>\n<h2 style=\"padding-top:64px;margin-bottom:20px;\">Preguntas frecuentes<\/h2>\n<p class=\"st-faq-hint\">Cada pregunta est\u00e1 cerrada. Un toque desbloquea la respuesta.<\/p>\n<details>\n<summary><strong>\u00bfCu\u00e1l es la diferencia entre una descripci\u00f3n de puesto y un mandato de CISO?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Una descripci\u00f3n de puesto enumera tareas y requisitos. Un mandato establece facultades: qu\u00e9 puede decidir el CISO, d\u00f3nde tiene veto, cu\u00e1ndo escala y qu\u00e9 recursos le corresponden. En un incidente cuenta el mandato, porque regula la autoridad para actuar.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfEstablece la BSIG qu\u00e9 derechos tiene un CISO?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">No. El p\u00e1rrafo 38 de la BSIG regula la responsabilidad de la Direcci\u00f3n General. No regula las facultades del CISO. Qu\u00e9 derechos se delegan es una decisi\u00f3n organizativa. Precisamente por eso debe tomarse por escrito, de lo contrario la brecha entre la responsabilidad legal y la acci\u00f3n operativa permanece abierta.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfDebe el CISO estar subordinado al CIO?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">El BSI aconseja la asignaci\u00f3n directa a la alta direcci\u00f3n para preservar la independencia. Quien debe auditar las operaciones de TI y, en caso de duda, frenarlas, no debe depender de ellas. Cuando no es posible una l\u00ednea directa, se necesita al menos una v\u00eda de escalada sin filtros hacia la Direcci\u00f3n General.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfPuede un CISO apagar un sistema de producci\u00f3n por su cuenta?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Solo si el mandato lo permite. Es sensato una facultad claramente delimitada para el aislamiento en un incidente activo con compromiso confirmado, junto con una notificaci\u00f3n inmediata a la Direcci\u00f3n General. Sin esta regla escrita surge el retraso que en caso de emergencia resulta m\u00e1s costoso.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfCon qu\u00e9 frecuencia debe revisarse un mandato?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Al menos anualmente y despu\u00e9s de cada incidente de seguridad importante. Un incidente muestra r\u00e1pidamente d\u00f3nde las facultades no han funcionado en la pr\u00e1ctica. Cada revisi\u00f3n termina con una nueva firma de la Direcci\u00f3n General, para que el mandato permanezca actualizado y autorizado.<\/p>\n<\/details>\n<p><!--ST-LOWER-CARDS lang=es--><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">Selecci\u00f3n de la redacci\u00f3n<\/h3>\n<p><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/06\/19\/por-que-la-certificacion-iso-por-si-sola-no-es-suficiente-para-el-bsi\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/iso-27001-nis2-bsig-zertifikat-luecken-cover-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">Recomendado<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Por qu\u00e9 el certificado ISO no basta para el BSI por s\u00ed solo<\/span><\/span><\/a><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/06\/21\/el-riesgo-en-la-cadena-de-suministro-es-un-programa-no-una-lista-de-auditoria\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/tprm-lieferkettenrisiko-nis2-dora-programm-cover-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">Recomendado<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">El riesgo de la cadena de suministro es un programa, no una lista de auditor\u00eda<\/span><\/span><\/a><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/06\/20\/ley-del-techo-critico-resiliencia-fisica-ciso\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/06\/kritis-dachgesetz-physische-resilienz-ciso-cover-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">Recomendado<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Ley marco KRITIS: Cuando la resiliencia se convierte en una obligaci\u00f3n del CISO<\/span><\/span><\/a><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">M\u00e1s de la red MBF Media<\/h3>\n<p><a href=\"https:\/\/www.digital-chiefs.de\/es\/geopolitica-datacenters-cio-asegurar\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-geopolitik-datacenter-roadmap-lieferkett-8054517-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#e8828d;margin-bottom:5px;\">Digital Chiefs<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Geopol?tica y datacenters: lo que los CIO deben asegurar<\/span><\/span><\/a><a href=\"https:\/\/mybusinessfuture.com\/es\/acto-de-la-ue-sobre-ia-a-partir-de-agosto-de-2026-lo-que-las-pymes-deben\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-eu-ai-act-2026-kennzeichnungspflichten-m-35346140-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#aa8ac2;margin-bottom:5px;\">MyBusinessFuture<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Reglamento de IA de la UE a partir de agosto de 2026: lo que las pymes deben etiquetar ahora<\/span><\/span><\/a><a href=\"https:\/\/www.cloudmagazin.com\/es\/2026\/06\/16\/xfs4iot-se-encuentra-con-la-nube-el-cajero-automatico-se-convierte-en-plataforma\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-xfs4iot-cloud-geldautomat-plattform-syna-61345494.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#0bb7fd;margin-bottom:5px;\">cloudmagazin<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">XFS4IoT se encuentra con la nube: El cajero autom\u00e1tico se convierte en plataforma<\/span><\/span><\/a><!--\/ST-LOWER-CARDS--><\/p>\n","protected":false},"excerpt":{"rendered":"Mandato del CISO 2026: qu\u00e9 derechos de decisi\u00f3n, veto y escalada deben estar regulados por escrito para que en caso de incidente est\u00e9 claro qui\u00e9n puede\u2026","protected":false},"author":10,"featured_media":18187,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"Mandato de CISO","_yoast_wpseo_title":"Cuales derechos de decisi\u00f3n del CISO deben estar regulados por escrito","_yoast_wpseo_metadesc":"Mandato del CISO 2026: \u00bfQu\u00e9 derechos de decisi\u00f3n, veto y escalada deben estar regulados por escrito para que en caso de incidente est\u00e9 claro qui\u00e9n puede\u2026","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/ciso-mandat-entscheidungsrechte-eskalation-cover-hero.jpg","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/ciso-mandat-entscheidungsrechte-eskalation-cover-hero.jpg","_yoast_wpseo_twitter-image-id":0,"evm_cvss":0,"evm_risk":0,"evm_casefile":"","evm_primary_cve":"","evm_external_preview_token":"","evm_external_preview_expires":"","_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":[],"footnotes":""},"categories":[261,258],"tags":[],"class_list":["post-20906","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-strategie-governance-es","category-strategie-governance"],"evm_reading_time_minutes":11,"wpml_language":"es","wpml_translation_of":18186,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/20906","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/comments?post=20906"}],"version-history":[{"count":2,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/20906\/revisions"}],"predecessor-version":[{"id":21050,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/20906\/revisions\/21050"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media\/18187"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media?parent=20906"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/categories?post=20906"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/tags?post=20906"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}