{"id":20912,"date":"2026-06-24T11:00:00","date_gmt":"2026-06-24T11:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/?p=20912"},"modified":"2026-07-09T16:15:06","modified_gmt":"2026-07-09T16:15:06","slug":"ciso-a-tiempo-parcial-que-puede-estar-fuera-y-que-debe-permanecer-dentro","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/es\/2026\/06\/24\/ciso-a-tiempo-parcial-que-puede-estar-fuera-y-que-debe-permanecer-dentro\/","title":{"rendered":"CISO a tiempo parcial: Qu\u00e9 puede externalizarse y qu\u00e9 debe permanecer interno"},"content":{"rendered":"<p style=\"color:#69d8ed;font-size:0.9em;margin:0 0 16px;padding:0;\">6 min de lectura<\/p>\n<p><strong>El fabricante de maquinaria con 120 empleados no necesita un puesto de CISO a tiempo completo. Lo que necesita desde la nueva BSIG es alguien que prepare y documente las medidas de riesgo y proporcione a la direcci\u00f3n plantillas de decisi\u00f3n. Un CISO externo a tiempo parcial por dos d\u00edas al mes suena a la soluci\u00f3n pragm\u00e1tica. Muchas ofertas ocultan el punto decisivo: El proveedor de servicios puede realizar el trabajo de seguridad. La responsabilidad organizativa de la direcci\u00f3n permanece, sin embargo, en la empresa.<\/strong><\/p>\n<div style=\"background:#003340;color:#fff;padding:32px 36px;margin:32px 0;border-radius:8px;\">\n<p style=\"margin:0 0 18px 0;font-size:0.95em;font-weight:800;text-transform:uppercase;letter-spacing:0.2em;color:#69d8ed;border-bottom:2px solid rgba(105,216,237,0.25);padding-bottom:12px;\">Lo m\u00e1s importante en resumen<\/p>\n<ul style=\"margin:0;padding-left:22px;color:rgba(255,255,255,0.92);line-height:1.6;\">\n<li><strong style=\"color:#69d8ed;\">Es delegable el trabajo especializado:<\/strong> Un vCISO puede asumir la estrategia, la construcci\u00f3n del ISMS, el an\u00e1lisis de riesgos, la preparaci\u00f3n de auditor\u00edas y el reporting. Como t\u00e9rmino de mercado, el rol no est\u00e1 definido en la ley.<\/li>\n<li><strong style=\"color:#69d8ed;\">No es delegable la obligaci\u00f3n del \u00f3rgano:<\/strong> El p\u00e1rrafo 38 BSIG obliga a la direcci\u00f3n de las entidades especialmente importantes e importantes a implementar las medidas de riesgo y supervisar su implementaci\u00f3n. Tambi\u00e9n la propia formaci\u00f3n permanece en la direcci\u00f3n.<\/li>\n<li><strong style=\"color:#69d8ed;\">El texto literal cuenta:<\/strong> La ley alemana habla de implementar y supervisar. El requisito de aprobaci\u00f3n proviene del art\u00edculo 20 de la directiva NIS2. Quien mezcla ambos cita en la auditor\u00eda la norma incorrecta.<\/li>\n<li><strong style=\"color:#69d8ed;\">El modelo falla en la interfaz:<\/strong> Sin un ancla interna, una escalada clara y un plan de offboarding, de la experiencia externa surge un vac\u00edo de gobernanza que se detecta en la auditor\u00eda.<\/li>\n<\/ul>\n<\/div>\n<p style=\"font-size:0.88em;color:#b8c5ce;margin:20px 0 32px 0;border-top:1px solid rgba(230,227,218,0.12);border-bottom:1px solid rgba(230,227,218,0.12);padding:10px 0;\"><span style=\"color:#69d8ed;font-weight:700;text-transform:uppercase;font-size:0.72em;letter-spacing:0.14em;margin-right:14px;\">Relacionado:<\/span><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/06\/23\/cuales-derechos-de-decision-del-ciso-deben-estar-regulados-por-escrito\/\" style=\"color:#333;text-decoration:underline;\">Qu\u00e9 derechos de decisi\u00f3n del CISO deben regularse por escrito<\/a>&nbsp;&nbsp;<span style=\"color:#ccc;\">\/<\/span>&nbsp;&nbsp;<a href=\"https:\/\/www.securitytoday.de\/es\/2026\/06\/19\/por-que-la-certificacion-iso-por-si-sola-no-es-suficiente-para-el-bsi\/\" style=\"color:#333;text-decoration:underline;\">Por qu\u00e9 el certificado ISO no basta al BSI por s\u00ed solo<\/a><\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Qu\u00e9 proporciona un vCISO y qu\u00e9 no regula el t\u00e9rmino de mercado<\/h2>\n<p><strong>\u00bfQu\u00e9 es un vCISO?<\/strong> Un vCISO o CISO-as-a-Service es la ocupaci\u00f3n externa de la funci\u00f3n CISO por un proveedor de servicios, generalmente mediante un contingente mensual o por tarifa diaria en lugar de en una contrataci\u00f3n fija. Asume la direcci\u00f3n estrat\u00e9gica de la seguridad de la informaci\u00f3n a nivel directivo, sin formar parte de la direcci\u00f3n.<\/p>\n<p>En la pr\u00e1ctica, el mandato cubre un claro espectro de tareas. El vCISO construye el sistema de gesti\u00f3n de la seguridad de la informaci\u00f3n o lo desarrolla ulteriormente, redacta directrices, realiza an\u00e1lisis de riesgos y prepara auditor\u00edas tanto internas como externas. A ello se a\u00f1aden conceptos de sensibilizaci\u00f3n, playbooks de incidentes y el reporting regular a la direcci\u00f3n. Como orientaci\u00f3n aproximada sin norma fija, el alcance se sit\u00faa entre medio y unos pocos d\u00edas-persona al mes, facturado como tarifa plana o por esfuerzo. No existen precios de mercado fijos; las indicaciones de los proveedores var\u00edan considerablemente.<\/p>\n<p>Importante es la distinci\u00f3n conceptual. El delegado externo de seguridad de la informaci\u00f3n opera el ISMS de manera operativa, el vCISO dirige estrat\u00e9gicamente a nivel de direcci\u00f3n. En empresas peque\u00f1as esto se difumina, porque una persona lleva ambos sombreros. Para la gobernanza no cuenta el t\u00edtulo, sino el perfil de tareas y la cuesti\u00f3n de qui\u00e9n responde en \u00faltima instancia ante la autoridad de supervisi\u00f3n.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">P\u00e1rrafo 38 BSIG: Lo que la direcci\u00f3n no puede comprar<\/h2>\n<p>La nueva BSIG est\u00e1 vigente desde el 6 de diciembre de 2025 y ha sustituido la antigua versi\u00f3n de 2009. Para la cuesti\u00f3n de los roles, el p\u00e1rrafo 38 es la palanca decisiva. Obliga a las direcciones de las entidades especialmente importantes e importantes a implementar las medidas de gesti\u00f3n de riesgos que deben adoptarse conforme al p\u00e1rrafo 30 y a supervisar su implementaci\u00f3n. El p\u00e1rrafo 30 enumera las diez medidas m\u00ednimas, desde el an\u00e1lisis de riesgos, pasando por la criptograf\u00eda, hasta la seguridad de la cadena de suministro.<\/p>\n<p>En este punto merece la pena un examen preciso del texto literal. La ley alemana habla de implementar y supervisar. El concepto de aprobar, que utilizan muchos comentarios, proviene del art\u00edculo 20 de la directiva NIS2 y se refiere al ingl\u00e9s \u00abapprove\u00bb. El legislador ha formulado, por tanto, de forma conscientemente m\u00e1s fuerte que la norma europea. Implementar significa m\u00e1s que consentir: La direcci\u00f3n debe procurar que las medidas se introduzcan y operen de forma efectiva con recursos y anclaje interno. Mantiene permanentemente bajo observaci\u00f3n su efectividad. Un proveedor externo puede preparar esto. La responsabilidad recae en la direcci\u00f3n.<\/p>\n<p>Dos p\u00e1rrafos adicionales clarifican el l\u00edmite de la delegaci\u00f3n. El p\u00e1rrafo 38 apartado 2 vincula una violaci\u00f3n culpable del deber con la responsabilidad de los miembros de la direcci\u00f3n frente a la propia entidad, de acuerdo con las normas del derecho de sociedades aplicable. Y el apartado 3 exige que los miembros de la direcci\u00f3n participen regularmente de forma personal en formaciones para poder reconocer y evaluar los riesgos cibern\u00e9ticos. La ejecuci\u00f3n puede ser asumida por un externo, pero la participaci\u00f3n de los \u00f3rganos sigue siendo obligatoria. Un vCISO puede impartir formaciones, pero no puede sustituir la participaci\u00f3n. Quien crea que con el retainer se ha externalizado el cumplimiento normativo, ha pasado por alto el n\u00facleo de la norma.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">La distribuci\u00f3n de roles: externo operativo, interno responsable<\/h2>\n<p>La divisi\u00f3n limpia sigue una l\u00ednea sencilla. Todo lo que constituye trabajo especializado puede desplazarse al exterior. Todo lo que afecta a decisiones, asignaci\u00f3n de recursos y acreditaci\u00f3n de la supervisi\u00f3n permanece dentro. La siguiente tabla asigna las tareas t\u00edpicas.<\/p>\n<div style=\"overflow-x:auto;-webkit-overflow-scrolling:touch;margin:16px 0 32px 0;\">\n<table style=\"width:100%;min-width:600px;border-collapse:collapse;margin:0;font-size:0.95em;\">\n<thead>\n<tr style=\"border-bottom:2px solid #69d8ed;\">\n<th style=\"text-align:left;padding:10px 12px;\">Tarea<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">\u00bfDelegable externamente?<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">Permanece interno<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">Justificaci\u00f3n<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>An\u00e1lisis de riesgos y cat\u00e1logo de medidas<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">S\u00ed, elaboraci\u00f3n y mantenimiento<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Direcci\u00f3n: evaluaci\u00f3n, decisi\u00f3n de implementaci\u00f3n, acreditaci\u00f3n de supervisi\u00f3n<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Implementaci\u00f3n y supervisi\u00f3n seg\u00fan el p\u00e1rrafo 38 corresponden a la direcci\u00f3n<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>ISMS, directrices, documentaci\u00f3n<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">S\u00ed, concepci\u00f3n y plantillas<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Direcci\u00f3n: anclaje, aplicaci\u00f3n<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">El papel sin aplicaci\u00f3n interna no supera una auditor\u00eda<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Reporting a la direcci\u00f3n<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Parcialmente, elaborar el informe<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Direcci\u00f3n: revisi\u00f3n, correcci\u00f3n<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">La supervisi\u00f3n es obligaci\u00f3n de la direcci\u00f3n y debe ser demostrable<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Primera respuesta a incidentes (operativa)<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">S\u00ed, como servicio de respuesta a incidentes contractualmente prestable<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Interno: decisi\u00f3n, escalada<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">La reacci\u00f3n operativa es delegable, la autoridad de decisi\u00f3n permanece en la empresa<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Notificaci\u00f3n en caso de incidente significativo<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Parcialmente, la presentaci\u00f3n es apoyable<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Entidad y direcci\u00f3n: obligaci\u00f3n y aprobaci\u00f3n<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">La obligaci\u00f3n de notificaci\u00f3n seg\u00fan el p\u00e1rrafo 32 recae en la entidad, no en el consultor<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Presupuesto e inversiones<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">No<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Direcci\u00f3n<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Los recursos y la aceptaci\u00f3n del riesgo son responsabilidad de la direcci\u00f3n de la empresa<\/td>\n<\/tr>\n<tr>\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Formaci\u00f3n de la direcci\u00f3n<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">No, solo impartir<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Direcci\u00f3n personalmente<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">El p\u00e1rrafo 38 asigna la formaci\u00f3n personalmente a la direcci\u00f3n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<p>Adem\u00e1s pertenece un punto de la teor\u00eda organizativa. La funci\u00f3n de seguridad no deber\u00eda depender del departamento de TI, porque de lo contrario la misma instancia construye y controla. El BSI califica precisamente esta delegaci\u00f3n al departamento de TI como anti-patr\u00f3n y responsabiliza a la direcci\u00f3n. Una funci\u00f3n de seguridad independiente es por tanto una Best Practice, no una l\u00ednea jer\u00e1rquica prescrita legalmente. Un vCISO que informa directamente a la direcci\u00f3n encaja en esta l\u00f3gica. Un vCISO que se asigna al responsable de TI reproduce el conflicto de roles solo con personal externo.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">D\u00f3nde falla el modelo en la auditor\u00eda y en el caso real<\/h2>\n<p>Las debilidades de un modelo de vCISO rara vez residen en la competencia especializada. Residen en las interfaces. Cinco puntos de ruptura t\u00edpicos se repiten una y otra vez.<\/p>\n<p><strong>Sin presencia interna.<\/strong> Si no se designa ning\u00fan interlocutor interno con autoridad, en caso de incidente no hay nadie in situ autorizado a decidir. El experto externo permanece al tel\u00e9fono mientras que en el sistema ya est\u00e1 en marcha un incidente.<\/p>\n<p><strong>Disponibilidad al l\u00edmite.<\/strong> Un retainer de ocho horas durante cinco d\u00edas no cubre un incidente a las 22 h. La obligaci\u00f3n de notificaci\u00f3n seg\u00fan el p\u00e1rrafo 32 exige una primera notificaci\u00f3n inmediata, a m\u00e1s tardar dentro de las 24 horas tras tener conocimiento de un incidente significativo, tan pronto como la v\u00eda com\u00fan de notificaci\u00f3n est\u00e9 operativa. Este reloj corre para la entidad, no para el proveedor de servicios.<\/p>\n<p><strong>Conflicto de intereses.<\/strong> El mismo proveedor act\u00faa como vCISO y vende al mismo tiempo pruebas de penetraci\u00f3n, auditor\u00edas o proyectos de implementaci\u00f3n. Asesoramiento y evaluaci\u00f3n quedan entonces en una sola mano. Una revisi\u00f3n independiente o una separaci\u00f3n clara de roles lo resuelve.<\/p>\n<p><strong>Brecha de supervisi\u00f3n a pesar de la experiencia.<\/strong> El vCISO escala un riesgo, la direcci\u00f3n no reacciona, nadie documenta la decisi\u00f3n. En la auditor\u00eda se revela la brecha en la direcci\u00f3n, aunque a nivel t\u00e9cnico todo estuviera disponible.<\/p>\n<p><strong>P\u00e9rdida de conocimiento al finalizar el contrato.<\/strong> Al expirar el mandato faltan a menudo la documentaci\u00f3n del ISMS, el registro de riesgos y los registros de decisiones. El sucesor o el siguiente auditor ve un vac\u00edo donde antes hab\u00eda control.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Para qu\u00e9 empresas encaja el CISO a tiempo parcial<\/h2>\n<p>El modelo no es una herramienta universal. Encaja muy bien en determinadas constelaciones y mal en otras. La siguiente comparaci\u00f3n ayuda a realizar una autoevaluaci\u00f3n honesta.<\/p>\n<div style=\"overflow-x:auto;-webkit-overflow-scrolling:touch;margin:16px 0 32px 0;\">\n<table style=\"width:100%;min-width:520px;border-collapse:collapse;margin:0;font-size:0.95em;\">\n<thead>\n<tr style=\"border-bottom:2px solid #69d8ed;\">\n<th style=\"text-align:left;padding:10px 12px;\">Encaja m\u00e1s bien cuando<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">Encaja peor cuando<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\">50 a 500 empleados, madurez de seguridad baja a media<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Responsabilidad 24\/7 para incidentes sin equipo interno<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\">Construcci\u00f3n de ISMS o presi\u00f3n de auditor\u00eda, pero sin necesidad a tiempo completo<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Alta confidencialidad o producci\u00f3n OT sin ancla interna<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\">Fase de transici\u00f3n hasta que se cubra un rol interno<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Estructura corporativa compleja con reporting a direcci\u00f3n y filiales<\/td>\n<\/tr>\n<tr>\n<td style=\"text-align:left;padding:10px 12px;\">Direcci\u00f3n con presupuesto de tiempo para revisiones y formaci\u00f3n propia<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Expectativa de externalizar el cumplimiento sin esfuerzo interno alguno<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<p>En sectores regulados con exigencias propias de supervisi\u00f3n, la combinaci\u00f3n de vCISO y delegado interno de seguridad suele ser m\u00e1s sostenible que un mandato externo por s\u00ed solo. Uno aporta la direcci\u00f3n estrat\u00e9gica, el otro mantiene el conocimiento y la capacidad de reacci\u00f3n en la empresa.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">El inicio: C\u00f3mo integrar limpiamente un vCISO<\/h2>\n<p>Un modelo sostenible surge en pocos pasos claros. Primero: plasmar el mandato por escrito, con las tareas, los d\u00edas-persona al mes, los tiempos de respuesta y la indicaci\u00f3n expresa de que no se transfiere ninguna representaci\u00f3n de la direcci\u00f3n. Segundo: fijar la l\u00ednea de reporte directamente a la direcci\u00f3n en lugar de a la direcci\u00f3n de TI. Tercero: designar un ancla interna para el d\u00eda a d\u00eda y la primera respuesta a incidentes. Cuarto: establecer una matriz de escalada y notificaci\u00f3n con los plazos del p\u00e1rrafo 32, en la que figure la direcci\u00f3n como tomadora de decisiones. Quinto: un review trimestral con acta que documente el estado de las medidas, los riesgos abiertos y las necesidades de presupuesto.<\/p>\n<p>Dos aspectos deben planificarse por separado. La formaci\u00f3n de la direcci\u00f3n seg\u00fan el p\u00e1rrafo 38 se desarrolla independientemente del retainer, para que la obligaci\u00f3n del \u00f3rgano quede visiblemente cumplida. Y el plan de offboarding con la entrega de la documentaci\u00f3n, el registro de riesgos y los accesos conviene incluirlo ya en el contrato, antes de que se necesite. Un buen vCISO hace que la direcci\u00f3n sea capaz de actuar. No la exime de responsabilidad. Quien aclara esto en el momento de la contrataci\u00f3n se ahorra en la auditor\u00eda el costoso aprendizaje de que la experiencia externa no sustituye la responsabilidad interna.<\/p>\n<h2 style=\"padding-top:64px;margin-bottom:20px;\">Preguntas frecuentes<\/h2>\n<p class=\"st-faq-hint\">Cada pregunta est\u00e1 cerrada. Un toque desbloquea la respuesta.<\/p>\n<details>\n<summary><strong>\u00bfPuedo como director delegar completamente mis obligaciones NIS2 en un vCISO externo?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">No. El p\u00e1rrafo 38 BSIG obliga a la direcci\u00f3n a implementar las medidas de riesgo, supervisar su implementaci\u00f3n y participar regularmente de forma personal en formaciones. Un vCISO puede preparar y dirigir este trabajo. La responsabilidad organizativa \u00faltima permanece en la direcci\u00f3n. Esto no sustituye un asesoramiento jur\u00eddico en el caso concreto; la interpretaci\u00f3n depende de la forma jur\u00eddica y de la organizaci\u00f3n.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfNecesito un vCISO o basta con un delegado externo de seguridad?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Un delegado de seguridad de la informaci\u00f3n encaja cuando falta principalmente la operaci\u00f3n operativa del ISMS. Un vCISO encaja cuando faltan la conexi\u00f3n estrat\u00e9gica con la direcci\u00f3n y la gobernanza. Muchos del Mittelstand comienzan con un delegado y complementan con un vCISO tan pronto como aumenta la presi\u00f3n de auditor\u00eda y de la direcci\u00f3n.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfResponde personalmente el vCISO externo seg\u00fan el p\u00e1rrafo 38 BSIG?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">El p\u00e1rrafo 38 se dirige a los miembros de la direcci\u00f3n. El vCISO responde contractualmente seg\u00fan su contrato de prestaci\u00f3n de servicios, no como \u00f3rgano sustituto. Solo en caso de una asunci\u00f3n expresa y efectiva de funciones directivas se desplaza eso, algo inusual en la pr\u00e1ctica.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfCu\u00e1nto cuesta un vCISO en el Mittelstand?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">No existen valores normativos vinculantes. Los proveedores facturan como cuota mensual o por tarifa diaria; los rangos var\u00edan considerablemente seg\u00fan el alcance y el grado de madurez. Es recomendable comparar varias ofertas sobre la base del cat\u00e1logo de tareas acordado, en lugar de un precio de mercado gen\u00e9rico.<\/p>\n<\/details>\n<h3>Consejos de lectura de la redacci\u00f3n<\/h3>\n<ul>\n<li><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/06\/23\/cuales-derechos-de-decision-del-ciso-deben-estar-regulados-por-escrito\/\">Qu\u00e9 derechos de decisi\u00f3n del CISO deben regularse por escrito<\/a><\/li>\n<li><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/06\/16\/nis2-despues-del-plazo-comienza-la-supervision-del-bsi\/\">NIS2 tras el plazo: Ahora comienza la supervisi\u00f3n del BSI<\/a><\/li>\n<li><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/05\/18\/cumplimiento-de-nis2-en-la-mediana-empresa-pasos-factibles-errores-evitables\/\">Cumplimiento de NIS2 en el Mittelstand: pasos viables, errores evitables<\/a><\/li>\n<\/ul>\n<p><!--ST-LOWER-CARDS lang=es--><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">Selecci\u00f3n de la redacci\u00f3n<\/h3>\n<p><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/06\/23\/cuales-derechos-de-decision-del-ciso-deben-estar-regulados-por-escrito\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/ciso-mandat-entscheidungsrechte-eskalation-cover-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">Recomendado<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Qu\u00e9 derechos de decisi\u00f3n del CISO deben estar regulados por escrito<\/span><\/span><\/a><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/06\/16\/nis2-despues-del-plazo-comienza-la-supervision-del-bsi\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/06\/nis2-despues-del-plazo-comienza-la-supervision-del-bsi-cover-es-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">Recomendado<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">NIS2 despu\u00e9s del plazo: Comienza la supervisi\u00f3n del BSI<\/span><\/span><\/a><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/05\/18\/cumplimiento-de-nis2-en-la-mediana-empresa-pasos-factibles-errores-evitables\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/05\/nis2-compliance-mittelstand-umsetzung-praxis-cover-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">Recomendado<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Cumplimiento de NIS2 en la mediana empresa: pasos factibles, errores evitables<\/span><\/span><\/a><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">M\u00e1s de la red MBF Media<\/h3>\n<p><a href=\"https:\/\/www.digital-chiefs.de\/es\/geopolitica-datacenters-cio-asegurar\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-geopolitik-datacenter-roadmap-lieferkett-8054517-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#e8828d;margin-bottom:5px;\">Digital Chiefs<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Geopol?tica y datacenters: lo que los CIO deben asegurar<\/span><\/span><\/a><a href=\"https:\/\/mybusinessfuture.com\/es\/acto-de-la-ue-sobre-ia-a-partir-de-agosto-de-2026-lo-que-las-pymes-deben\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-eu-ai-act-2026-kennzeichnungspflichten-m-35346140-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#aa8ac2;margin-bottom:5px;\">MyBusinessFuture<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Reglamento de IA de la UE a partir de agosto de 2026: lo que las pymes deben etiquetar ahora<\/span><\/span><\/a><a href=\"https:\/\/www.cloudmagazin.com\/es\/2026\/06\/16\/xfs4iot-se-encuentra-con-la-nube-el-cajero-automatico-se-convierte-en-plataforma\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-xfs4iot-cloud-geldautomat-plattform-syna-61345494.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#0bb7fd;margin-bottom:5px;\">cloudmagazin<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">XFS4IoT se encuentra con la nube: El cajero autom\u00e1tico se convierte en plataforma<\/span><\/span><\/a><!--\/ST-LOWER-CARDS--><\/p>\n","protected":false},"excerpt":{"rendered":"Un vCISO asume el trabajo especializado en seguridad en las empresas medianas. La responsabilidad que, seg\u00fan el p\u00e1rrafo 38 de la Ley de Seguridad de la\u2026","protected":false},"author":50,"featured_media":18193,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"vCISO (no se traduce, es un acr\u00f3nimo)","_yoast_wpseo_title":"CISO a tiempo parcial: qu\u00e9 puede estar fuera y qu\u00e9 debe permanecer dentro","_yoast_wpseo_metadesc":"Un vCISO asume el trabajo especializado en seguridad en las empresas medianas. Responsabilidad que, seg\u00fan el p\u00e1rrafo 38 de la BSIG, permanece\u2026","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/teilzeit-ciso-vciso-delegierbar-bsig-cover-hero-1.jpg","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/teilzeit-ciso-vciso-delegierbar-bsig-cover-hero-1.jpg","_yoast_wpseo_twitter-image-id":0,"evm_cvss":0,"evm_risk":0,"evm_casefile":"","evm_primary_cve":"","evm_external_preview_token":"","evm_external_preview_expires":"","_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":[],"footnotes":""},"categories":[261,258],"tags":[],"class_list":["post-20912","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-strategie-governance-es","category-strategie-governance"],"evm_reading_time_minutes":13,"wpml_language":"es","wpml_translation_of":18191,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/20912","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/users\/50"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/comments?post=20912"}],"version-history":[{"count":2,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/20912\/revisions"}],"predecessor-version":[{"id":21039,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/20912\/revisions\/21039"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media\/18193"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media?parent=20912"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/categories?post=20912"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/tags?post=20912"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}