Los cambiantes panoramas regulatorios y de cumplimiento, junto con la adopción generalizada de la IA, han aumentado la demanda para que los líderes de ciberseguridad salgan del ámbito técnico, pero más responsabilidad puede tener un precio.
Por Linda Rosencrance
Cuando George Gerchow era CISO en Sumo Logic, sus responsabilidades incorporaban el tipo de trabajo típicamente asignado a un director de seguridad de la información – lo cual no es sorprendente.
Pero Gerchow también era vicepresidente de TI y durante su mandato también asumió la responsabilidad de bienes raíces, como la toma de decisiones sobre ubicaciones y diseños de oficinas. Dada la variedad de responsabilidades que habían llegado a su plato, se refería a su dominio como RISC – bienes raíces, seguridad y cumplimiento.
Gerchow reconoce que no es inusual que un CISO sea propietario de la función de TI en una organización, pero estar a cargo de los bienes raíces corporativos sí lo es, aunque dice que asumirlo tenía sentido en ese momento.
Gerchow, quien trabajó en Sumo Logic desde 2015 hasta 2024, adquirió la responsabilidad de bienes raíces durante la pandemia de COVID, un desbordamiento de su trabajo de seguridad y TI mientras la empresa tomaba decisiones sobre trabajo remoto y regreso a la oficina en las que la seguridad era un factor importante. Para colmo, más tarde añadiría deberes ambientales, sociales y de gobernanza (ESG) a su cartera de trabajo.
Aunque la empresa había eliminado los bienes raíces y ESG del rol de CISO cuando Gerchow se fue, su decisión inicial de consolidar deberes dispares bajo el CISO ejemplifica una tendencia dentro del rol de jefe de seguridad. La posición actual de Gerchow también lo demuestra: ahora es tanto CISO interino como jefe de confianza en MongoDB, además de ser profesor en IANS Research.
El rol de CISO evoluciona continuamente
El rol de CISO ha evolucionado desde su creación a finales del siglo XX junto con la tecnología y las amenazas habilitadas por internet, transformándose para satisfacer las demandas del momento. Pero el puesto no solo ha madurado; en muchos casos se ha expandido, asumiendo dominios adicionales.
«El rol de CISO se ha expandido significativamente a lo largo de los años a medida que las empresas se dan cuenta de que la seguridad de la información tiene una imagen única de lo que está sucediendo en toda la organización», dice Doug Kersten, CISO de la empresa de software Appfire.
«Tradicionalmente, los CISO se han centrado en controles fundamentales de seguridad y mitigación de amenazas», añade. «Sin embargo, hoy se espera cada vez más que desempeñen un papel central en el mantenimiento de la resiliencia empresarial y el cumplimiento normativo. Muchos CISO son ahora responsables de la gestión de riesgos, la continuidad del negocio y la recuperación ante desastres, así como de supervisar el cumplimiento normativo en diversas jurisdicciones».
Con cambios de paradigma importantes, como la introducción de la IA en la pila tecnológica empresarial a través de múltiples áreas de responsabilidad, tiene sentido incorporar al CISO por su capacidad para colaborar transversalmente, dice Kersten. «Este cambio refleja la creciente comprensión de que la ciberseguridad no es solo un problema de TI; es una parte fundamental de las funciones operativas y estratégicas del negocio».
Abrazar la expansión de responsabilidades
Kersten dice que su «alcance de responsabilidades como CISO se ha ampliado para incluir áreas como cumplimiento y gobernanza, gestión de riesgos de proveedores y contribución a la planificación general de continuidad del negocio», así como el «nuevo elemento crítico de… comprender y abordar las implicaciones de las tecnologías de IA».
Los ejecutivos de seguridad dicen que esta expansión de deberes eleva aún más la posición del CISO dentro de la organización – un desarrollo bienvenido para una posición que no siempre ha tenido el mismo nivel dentro de la alta dirección.
«Los CISO entienden que se les encarga salvaguardar los riesgos para su organización. Ya sea que eso signifique bienes raíces o continuidad del negocio, entendemos que necesitamos ser dueños del riesgo y la seguridad para cumplir y lograr con éxito los objetivos de la organización», dice Jimmy Sanders, presidente de ISSA International, una asociación para profesionales de ciberseguridad.
«Los CISO deberían abrazar la expansión de responsabilidades», añade. «Durante años, los CISO han tratado de asegurarse de tener un asiento en la mesa ejecutiva en términos de estar en el grupo de toma de decisiones ejecutivas. La expansión de responsabilidades es parte del peaje que se espera para asegurar que los CISO estén en la sala cuando se toman decisiones cruciales».
La investigación está siguiendo la tendencia
IANS Research y Artico Search analizaron datos recopilados de más de 830 líderes de seguridad para su Informe sobre el Estado del CISO 2025 y descubrieron que los CISO están asumiendo riesgos empresariales, supervisión de TI y transformación digital mientras mantienen dominios tradicionales de seguridad de la información como operaciones, arquitectura e ingeniería, riesgo digital y cumplimiento.
También encontraron que la mayoría de los CISO ahora tienen más funciones de riesgo empresarial, como continuidad del negocio, gestión de riesgos de terceros y seguridad de productos. Y calcularon que del 25% al 50% también tienen funciones como seguridad física, privacidad y protección contra fraudes, además de gestión de riesgos empresariales.
Además, la investigación mostró que una parte emergente (menos del 25%) está ampliando su alcance para incluir inteligencia artificial, seguridad en fusiones y adquisiciones, gobernanza de datos, supervisión integral de TI, y transformación e innovación digital.
«Estamos viendo una convergencia de roles bajo el jefe de seguridad debido a los antecedentes y habilidades para resolver problemas de estas personas. Se han convertido en el jefe de solución de problemas», dice Steve Martano, profesor de IANS Research y reclutador ejecutivo de ciberseguridad en Artico Search. Esto, sin embargo, viene con desafíos.
«Los CISO ya están experimentando altos niveles de estrés, con datos recientes que destacan que casi uno de cada cuatro CISO está considerando abandonar la profesión debido al estrés», dice Kersten. «Muchos CISO solo permanecen en el cargo durante dos o tres años. Con esto, las expectativas puestas en los CISO están indudablemente creciendo, y las organizaciones corren el riesgo de sobrecargarlos sin recursos y apoyo suficientes. El volumen y complejidad crecientes de los requisitos regulatorios globales, por ejemplo, han creado desafíos sustanciales para los equipos de seguridad que, en última instancia, recaen en el CISO».
Un cambio sísmico en las responsabilidades
La lista de responsabilidades del CISO ha estado creciendo durante al menos una década, dicen los observadores.
Martano dice que algunos CISO comenzaron a ver que TI caía bajo su competencia (después de una larga historia de CISO reportando a CIO) con el auge de la computación en la nube con su seguridad integrada. No es particularmente inusual, dice, ver un rol combinado de CIO y CISO, particularmente en pequeñas y medianas empresas.
Los CISO luego comenzaron a asumir más riesgos empresariales y, en algunos casos, las áreas relacionadas de gobernanza y cumplimiento, dice.
Sherron Burgess, vicepresidenta senior y CISO en BCD Travel, ve que los CISO añaden privacidad de datos y confianza a su carga de trabajo, a veces adoptando el título de oficial de confianza para reflejar esos deberes. Burgess dice que parte de su trabajo va más allá de las tareas convencionales de ciberseguridad, abarcando elementos de cumplimiento normativo, gestión de riesgos de terceros y seguridad física.
«Se trata de tomar mi conjunto de habilidades y aplicarlo de nuevas maneras», dice Burgess, quien también se desempeña como presidenta de la junta directiva de Cyversity, una organización sin fines de lucro que promueve la diversidad en el campo de la ciberseguridad.
Caso en cuestión: Debe determinar cómo entregar documentos de manera más segura para clientes en lugares geográficos sensibles, determinando si la entrega de documentos mediante mensajero en motocicleta es más segura que la entrega digital.
Del mismo modo, Richard Watson, líder global y de Asia-Pacífico de consultoría en ciberseguridad en la firma de servicios profesionales EY, dice que algunos CISO también ahora son dueños de la resiliencia, la gestión de riesgos de terceros y la garantía de gestión de riesgos. Algunos tienen seguridad física también, requiriendo supervisión de equipos desde cercas hasta cámaras de vigilancia.
Watson dice que esto muestra cómo «los CISO a menudo heredan cosas que no tienen mucho que ver con la ciberseguridad. Se termina con una acumulación de responsabilidades, y puede convertirse en un popurrí».
Se requiere conocimiento y experiencia expansivos
Watson dice que la expansión de las responsabilidades del CISO también amplía las áreas en las que los CISO deben ser conocedores.
Por ejemplo, la garantía de gestión de riesgos podría requerir que los CISO comprendan las leyes y regulaciones sobre sostenibilidad, corrupción y esclavitud moderna para asegurar que sus organizaciones no utilicen terceros que participen en prácticas problemáticas en esas áreas, dice.
Como resultado, dice que los CISO ahora necesitan ser ejecutivos con conocimiento empresarial y conocimiento de la industria, así como habilidades de liderazgo en crisis. También pueden necesitar experiencia o pericia en legal, cumplimiento, adquisiciones, regulaciones internacionales y más.
Eso puede ser un desafío para muchos CISO, particularmente aquellos que avanzaron en sus carreras únicamente a través de los rangos técnicos, dicen Watson y otros.
«El CISO no está capacitado en todas estas áreas y a menudo no es capaz en todas estas áreas», añade Watson.
Él cree que ese escenario puede poner a una empresa en hielo delgado, pero también piensa que una posición de CISO expandida puede funcionar bajo las circunstancias correctas.
«No tengo problemas con que un CISO tenga [múltiples] roles, pero necesitas a la persona adecuada en el rol. Pon a la persona adecuada en el rol para lo que la capacidad se ha convertido y/o entrena a la persona».
El viaje ejecutivo de Marty Barrack modela los puntos de Watson. Barrack es CISO y director legal y de cumplimiento en XiFin, una empresa de tecnología de información sanitaria. También supervisa la función ESG de la empresa.
No existe tal cosa como tener demasiadas calificaciones
«Realmente es un rol de riesgo moderno: contrato, operaciones, uso de terceros, la verificación de terceros y subcontratistas, todo se une como control sobre el riesgo de la organización», dice. Sin embargo, las calificaciones de Barrack son diferentes a las de la mayoría de los otros CISO.
Tiene un título en derecho y un MBA. Antes de unirse a XiFin, había trabajado como abogado corporativo, director de adquisiciones y responsable global de privacidad. Tuvo roles senior en integradores de sistemas y empresas de servicios de TI. Y había tenido su propio bufete de abogados.
Entre otros logros, Barrack también posee varias certificaciones relacionadas con la seguridad, incluidas Certified Information Security Manager (CISM) y Certified In Risk and Information Systems Control (CRISC), ambas de ISACA. (Es miembro del Grupo de Trabajo sobre Tendencias Emergentes de ISACA). También obtuvo el Certified Chief Information Security Officer (CCISO) de EC-Council.
Barrack se unió a XiFin en 2018 como asesor general «pero muy rápidamente se me dio la seguridad porque podía traducir problemas de seguridad en perspectivas que los ejecutivos y TI entendían, y pude ayudarnos a mejorar nuestra madurez», dice, señalando que bajo su dirección la empresa adoptó el marco de seguridad NIST y obtuvo la certificación HITRUST para su producto más grande.
Barrack reconoce que tiene una combinación poco común de habilidades y experiencias — y que su rol es inusualmente amplio como resultado. Dice que el rol se dividirá cuando se vaya. «No creo que una persona tome mi lugar», añade.
Eso, dice, habla de las circunstancias específicas que trajeron las múltiples funciones bajo su autoridad.
Otros también hablan de este punto, diciendo que cómo, cuándo y dónde el rol de CISO añade deberes extra depende de los factores que enfrenta una organización.
«El rol y las responsabilidades evolutivas del CISO parecen variar según el tamaño, la industria y la cultura de una organización, y dónde se encuentran en el ‘arco de madurez’ de sus responsabilidades principales», dice Ryan Hammer, profesor adjunto de Educación Ejecutiva de CISO de la Universidad Carnegie Mellon, así como vicepresidente y CISO en la empresa de software y sistemas Ciena.
Añade: «Una vez que han construido un equipo y una cultura operativa sólida, definido objetivos estratégicos y medidas de éxito, y demostrado consistentemente la ejecución, muchos CISO (o sus equipos de liderazgo ejecutivo) identifican áreas adyacentes que podrían beneficiarse de un enfoque similar».
Cuándo aceptar la expansión de rol – y cuándo decir no
Pero el consenso entre los líderes de seguridad que han experimentado ese tipo de expansión lenta de deberes o «expansión de rol» es que los CISO y sus colegas ejecutivos deben ser conscientes de cuándo funcionará y cuándo no.
John Paul (JP) Cunningham, CISO de la empresa de software Silverfort, dice que el puesto en general ha crecido en las últimas décadas desde un trabajo técnico hasta un rol ejecutivo de riesgo empresarial. Y aunque dice que muchos CISO están bien preparados para asumir más responsabilidad, cree que algunas funciones no deberían recaer en el puesto.
Por ejemplo, dice que el oficial de protección de datos «debería ser un oficial independiente», explicando que los roles de CISO y CDO merecen a alguien que tenga experiencia en ambas áreas. «No diría que nadie puede hacer el trabajo, pero el grupo de personas que pueden es muy pequeño», dice. «Y para aquellos que no están calificados, los estás preparando para que fracasen o se quemen».
Cunningham dice que una vez le preguntaron si el rol de director de datos debería recaer en él como CISO. «Hice una defensa bastante apasionada de que no debería ser yo», dice. Por otro lado, Cunningham ha asumido un rol de evangelización de seguridad, trabajando con partes interesadas externas y colegas de la industria.
Carl Froggett, quien es tanto CIO como CISO en la empresa tecnológica Deep Instinct, comparte ideas similares.
Ve la tendencia de consolidar algunas funciones bajo el CISO como positiva en la forma en que ayuda a garantizar que el riesgo y la seguridad sean consistentes en toda la organización. Pero, como otros, Froggett dice que qué y cuánto extra debe ir al CISO depende de las experiencias y habilidades del individuo, así como de las necesidades de la organización en el momento.
La contratación se vuelve más difícil cuando el rol es demasiado amplio
Además, advierte que expandir demasiado el rol dificultará la contratación, señalando que ya «no hay suficientes personas calificadas con la experiencia necesaria para hacer el trabajo de CISO».
También cree que hay algunas tareas que el CISO no debería asumir. «Hay algunos roles que el CISO no debería hacer — como auditoría. La auditoría debería tener su independencia para cuestionar tu decisión como CISO», dice como ejemplo.
Aún así, Froggett, Cunningham y otros esperan que el trabajo de CISO continúe expandiéndose en alcance y requiera un conjunto más amplio de habilidades, experiencia y pericia de quienes ocupan los roles.
«Las organizaciones están viendo el valor en el nivel de diligencia, transparencia y consistencia que los CISO están aportando a sus programas de seguridad en estos días. Los CISO también están haciendo conexiones entre sus responsabilidades y áreas adyacentes de riesgo que tienen el potencial de impactar a las empresas a las que sirven, como la cadena de suministro, la continuidad de las operaciones y la seguridad de los productos», dice Hammer.
«Esto nos está empujando a involucrarnos más y aportar perspectiva y experiencia para gestionar el riesgo en estas áreas. Creo que es un desarrollo positivo en la evolución del rol. Donde tiene sentido, puede ayudar a un CISO a inculcar la toma de decisiones y prácticas orientadas al riesgo en otras áreas del negocio».
