La realidad del CISO: desafíos en la protección empresarial

Persona revisando documentación técnica y datos en un entorno de trabajo digital, simbolizando el rol estratégico y transversal del CISO en la gestión de la ciberseguridad empresarial.

La realidad del CISO: desafíos en la protección empresarial

En un entorno empresarial cada vez más digitalizado y expuesto, la pregunta ya no es si una organización será atacada, sino cuándo y cómo sucederá. La escalada en frecuencia, sofisticación e impacto de los ataques de los ciberdelincuentes obliga a las empresas a elaborar estrategias de seguridad para proteger su activo más valioso: la información. En caso de haber un incidente, el coste reputacional y económico puede ser devastador.

Aquí, la figura del Chief Information Security Officer (CISO) es clave. Ha dejado de ser un rol técnico en segundo plano para convertirse en una pieza clave de la estrategia corporativa. Ya no se trata solo de proteger sistemas, sino de garantizar la continuidad del negocio, la confianza de los clientes y el cumplimiento normativo.

La situación de incomprensión del CISO

Con todo lo indicado anteriormente, la ciberseguridad debería entenderse como una prioridad empresarial.

Sin embargo, el escenario real que encuentra en ocasiones el CISO dista mucho a cómo debería ser. A pesar de la gran responsabilidad que conlleva dirigir la seguridad en una Organización, en ocasiones vemos como el CISO se encuentra con numerosas barreras a la hora de poder llevar a cabo las estrategias de seguridad.

Algunos de los inconvenientes – entre otros muchos – a los que se enfrenta de forma diaria el CISO, son los siguientes:

Dificultad para alinear el equipo de seguridad con la alta dirección: En muchas ocasiones, la alta dirección no concibe la importancia del área de Ciberseguridad, ya que tienen una visión enfocada principalmente en el negocio, por lo que el CISO debe traducir los riesgos técnicos en términos comprensibles para la alta dirección
Falta de inversión en ciberseguridad: Esto no es más que una consecuencia del punto anterior. Al no comprender la importancia de los riesgos en materia de seguridad de la información, no se dedican los suficientes recursos al CISO para llevar a cabo todas las estrategias.
Falta de concienciación en la Organización: En numerosas ocasiones, los trabajadores de una empresa desconocen las políticas y procedimientos de seguridad, como por ejemplo, cómo actuar ante un incidente de seguridad. Es fundamental formar a empleados y directivos para poder solventar a la mayor brevedad posible cualquier incidente que pueda surgir.
Adaptación constante a nuevas amenazas: Las amenazas avanzan a un ritmo vertiginoso y el CISO debe estar, en la medida de lo posible, actualizado sobre las nuevas corrientes de ataques.
Gran cantidad de regulaciones en materia de Ciberseguridad y protección de datos: Cada vez se elaboran más leyes de obligado cumplimiento que pretenden reforzar la seguridad de la información (NIS2, DORA, RGPD, etc.). El CISO debe traducir estos requisitos legales en políticas técnicas y organizativas efectivas.
Presión por alinear la seguridad con la agilidad del negocio: En muchas áreas, se ha trabajado tradicionalmente con procesos en los que la seguridad apenas ha tenido cabida. Es fundamental involucrar al CISO en los distintos proyectos que se llevan a cabo en la Organización para garantizar la seguridad y la continuidad de las operaciones.

Independencia y posicionamiento del CISO

Como hemos indicado, el cargo del CISO trasciende el departamento de TI, ya que sus funciones son cada vez más transversales a todos los procesos de la organización. Por ello, es necesario que se encuentre en lo alto de la jerarquía de la organización para poder operar con autonomía e independencia. Esto es crucial para conseguir garantizar una gestión objetiva de los riesgos de seguridad y evitar conflictos de interés. Un CISO independiente puede evaluar los riesgos y aplicar medidas de seguridad sin verse influenciado por intereses ajenos.

Por ello, es necesario:

Acceso directo a la alta dirección o al consejo de administración. El CISO necesita visibilidad estratégica, poder elevar incidentes, solicitar recursos y trasladar riesgos al comité ejecutivo sin pasar por filtros intermedios.
Autoridad transversal: Para que una empresa adopte una correcta postura de seguridad, se debe contar desde el inicio de todos los proyectos con el equipo de Ciberseguridad.
Capacidad de evaluación sin conflictos de interés.

Este posicionamiento permite al CISO actuar como garante de la resiliencia digital y no solo como gestor operativo de incidentes.

Conclusión

El CISO actual ya no se ocupa únicamente del departamento de TI; es un líder estratégico que protege el valor y la continuidad de la empresa. Debe tener la capacidad para transmitir tanto a la alta dirección como al resto de áreas todos los riesgos, sean más o menos técnicos, así como una visión transversal del negocio.

Aunque se percibe un aumento de la importancia de la seguridad en algunas organizaciones, el CISO sigue sin tener la visibilidad necesaria para garantizar la seguridad de toda una organización. Por ello, dotarlo de los recursos, autoridad y autonomía necesaria es esencial para que las organizaciones puedan afrontar con éxito el complejo panorama de la ciberseguridad actual. Ignorar su papel es un riesgo que ninguna empresa moderna debería asumir.

Manuel Monsalve

Govertis, parte de Telefónica Tech

Por Blog AEC Govertis

2 de julio de 2025

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Analytics" category.
cookielawinfo-checkbox-functional	1 year	The GDPR Cookie Consent plugin sets the cookie to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-non-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Non Necessary".
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
wpEmojiSettingsSupports	session	WordPress sets this cookie when a user interacts with emojis on a WordPress site. It helps determine if the user's browser can display emojis properly.

Cookie	Duración	Descripción
PREF	8 months	PREF cookie is set by Youtube to store user preferences like language, format of search results and other customizations for YouTube Videos embedded in different sites.
VISITOR_INFO1_LIVE	6 months	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
VISITOR_PRIVACY_METADATA	6 months	YouTube sets this cookie to store the user's cookie consent state for the current domain.
YSC	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.
yt.innertube::nextId	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duración	Descripción
_ga	1 year 1 month 4 days	Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors.
_ga_*	1 year 1 month 4 days	Google Analytics sets this cookie to store and count page views.

Cookie	Duración	Descripción
yt-player-headers-readable	never	The yt-player-headers-readable cookie is used by YouTube to store user preferences related to video playback and interface, enhancing the user's viewing experience.
yt-remote-cast-available	session	The yt-remote-cast-available cookie is used to store the user's preferences regarding whether casting is available on their YouTube video player.
yt-remote-cast-installed	session	The yt-remote-cast-installed cookie is used to store the user's video player preferences using embedded YouTube video.
yt-remote-connected-devices	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-device-id	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-fast-check-period	session	The yt-remote-fast-check-period cookie is used by YouTube to store the user's video player preferences for embedded YouTube videos.
yt-remote-session-app	session	The yt-remote-session-app cookie is used by YouTube to store user preferences and information about the interface of the embedded YouTube video player.
yt-remote-session-name	session	The yt-remote-session-name cookie is used by YouTube to store the user's video player preferences using embedded YouTube video.
ytidb::LAST_RESULT_ENTRY_KEY	never	The cookie ytidb::LAST_RESULT_ENTRY_KEY is used by YouTube to store the last search result entry that was clicked by the user. This information is used to improve the user experience by providing more relevant search results in the future.

menú

Club CISO