ISMS Forum ha presentado la III Edición del Libro Blanco del CISO, una obra de referencia que analiza la evolución del rol del Chief Information Security Officer (CISO) en un contexto marcado por el crecimiento exponencial de las amenazas, la aceleración tecnológica y el aumento de las exigencias regulatorias.

El documento aborda cómo, en los últimos años, la función CISO ha dejado de ser una responsabilidad eminentemente técnica para consolidarse como una función directiva clave en el gobierno del riesgo digital, con un papel cada vez más relevante en la toma de decisiones estratégicas de las organizaciones.

Del enfoque técnico al gobierno corporativo del riesgo

Uno de los ejes centrales del Libro Blanco es la evolución del posicionamiento del CISO dentro de las organizaciones. El documento analiza cómo la ciberseguridad ha pasado a formar parte del núcleo del gobierno corporativo, requiriendo capacidades que van más allá de la gestión de controles técnicos.

El CISO actual debe ser capaz de interpretar el riesgo digital en términos de negocio, asesorar a la alta dirección y al consejo, y garantizar que las decisiones adoptadas sean coherentes con el apetito de riesgo, el marco normativo aplicable y los objetivos estratégicos de la organización. En este sentido, el libro profundiza en el papel del CISO como figura de enlace entre tecnología, negocio, cumplimiento y resiliencia organizativa.

Funciones, responsabilidades y encaje organizativo

Esta edición ofrece una visión estructurada de las funciones del CISO, distinguiendo entre actividades operativas, responsabilidades de supervisión y funciones de carácter claramente directivo. Asimismo, analiza los distintos modelos organizativos en los que se encaja la función, dependencia de la dirección general, del área de riesgos, del ámbito tecnológico u otros esquemas híbridos, y el impacto que estos modelos tienen sobre la independencia, eficacia y capacidad de influencia del CISO.

El documento pone especial énfasis en la necesidad de garantizar un posicionamiento organizativo adecuado, que permita al CISO ejercer su función con la independencia necesaria, evitando conflictos de interés y asegurando un acceso real a los órganos de decisión.

Presión normativa y responsabilidad del CISO

Otro de los grandes bloques del Libro Blanco se centra en el impacto del marco regulatorio sobre la función CISO. La obra analiza cómo normativas como el ENS, la Directiva NIS2, el RGPD o DORA están reforzando las obligaciones en materia de gobierno, supervisión y rendición de cuentas, incrementando la exposición y la responsabilidad asociada al rol.

En este contexto, el Libro Blanco subraya la importancia de una gestión del riesgo trazable, documentada y defendible, así como del asesoramiento continuo a la alta dirección, que sigue siendo la última responsable de las decisiones adoptadas, pero requiere del criterio experto del CISO para ejercer esa responsabilidad de forma informada.

Gestión del talento, liderazgo y relación con el ecosistema

La publicación dedica también un espacio relevante a la gestión del talento y el liderazgo, en un contexto marcado por la escasez de perfiles especializados y la creciente presión sobre los equipos de ciberseguridad. Se abordan cuestiones como la atracción y retención de profesionales, la organización de los equipos, la segregación de funciones y la necesidad de construir capacidades sostenibles en el tiempo.

Asimismo, se analiza la relación del CISO con el ecosistema interno y externo: la colaboración con otros directivos (CIO, CRO, DPD, áreas legales y de negocio), la interacción con reguladores y autoridades, y el valor de la comunidad profesional como espacio de intercambio de conocimiento, contraste de experiencias y apoyo entre pares.

Una obra colectiva al servicio de la comunidad

La III Edición del Libro Blanco del CISO es el resultado de un amplio trabajo colaborativo de expertos del sector. El documento ha sido coordinado por Francisco Lázaro, y cuenta con la aportación de un amplio grupo de coautores procedentes de distintos ámbitos de la ciberseguridad y la gestión del riesgo.

Con esta tercera edición, ISMS Forum refuerza su apuesta por generar conocimiento riguroso, compartido y aplicable, contribuyendo a la madurez del rol del CISO y al fortalecimiento del gobierno del riesgo digital en las organizaciones.

              

 

Coordinador:

Francisco Lázaro

Gestión de proyecto y edición:
Beatriz García

Revisora:

Concepción Cordón

Diseño y Maquetación:

Susana Marín

Coautores:

Carlos Luque

Carlos A. Sáiz

César Ramos

Daniel Largacha

David Esteban

David de la Rosa

Gemma Deler

Gustavo Lozano

Iván Sánchez

Jesús Mérida

Mariano J. Benito

Nuria Lizarbe - Zamora

Rafael Hernández

Ramón Fernández

Ramón Ortiz