La ciberseguridad es una disciplina relativamente joven si se compara con ingenierías tradicionales, pero su evolución ha sido exponencial. En apenas unas décadas, el sector ha pasado de concentrarse en funciones eminentemente técnicas a convertirse en una pieza central para la continuidad de negocio, la gestión del riesgo, la resiliencia corporativa y la gobernanza de las organizaciones. 

 

Este cambio no solo ha impulsado la aparición de nuevos perfiles profesionales, sino que también ha transformado profundamente los roles ya existentes. Las organizaciones ya no demandan únicamente especialistas técnicos, sino figuras con capacidad de integración, visión de negocio, conocimiento regulatorio y habilidad para coordinar respuestas transversales ante escenarios de crisis. 

 

Esta evolución explica también la línea de trabajo desarrollada por ISMS Forum a través de sus Libros Blancos sobre perfiles clave para las organizaciones. El Libro Blanco del CISO, el Libro Blanco del DPO y el Libro Blanco del CRO permiten observar una misma tendencia desde tres ángulos complementarios: el gobierno del riesgo digital, la gobernanza de la privacidad y la resiliencia corporativa. Tres funciones distintas, pero cada vez más conectadas por la presión regulatoria, la digitalización, la inteligencia artificial, la gestión de terceros y la necesidad de asegurar la continuidad del negocio. 

 

1. Evolución del perfil técnico al directivo 

 

El sector de la ciberseguridad ofrece múltiples especialidades adaptadas al nivel de experiencia y al enfoque técnico de cada profesional. Los roles principales se han articulado tradicionalmente en torno a la defensa, la ofensiva, la estrategia, la respuesta a incidentes, el análisis forense y la protección de los activos digitales. 

 

Sin embargo, la seguridad de la información se ha convertido en una cuestión esencial para la continuidad de negocio de las empresas. Por ello, resulta imprescindible contar con equipos especializados que protejan los activos en línea de las organizaciones y que, al mismo tiempo, impulsen una cultura de concienciación en ciberseguridad entre todos los empleados. 

 

En este ámbito aparecen diferentes roles y equipos cuyos nombres, en ocasiones, pueden generar confusión. La transposición de directivas como NIS2 y la aplicación de reglamentos como DORA han implicado de forma directa a la alta dirección de las empresas y han provocado que perfiles como el del CISO asuman responsabilidades cada vez más directivas. 

 

En materia de ciberseguridad, el papel del CEO es crucial para la protección de la empresa y para la implantación de una cultura de concienciación. Debe colaborar con el resto de los líderes de la organización para asegurar la defensa de la información y de los activos digitales, así como garantizar los recursos adecuados para implementar la estrategia: contratación de personal experto, incorporación de herramientas tecnológicas y formación continua en ciberseguridad para todos los empleados. 

 

Desde entidades como INCIBE se insiste en que la escasez de mano de obra en el ámbito de la ciberseguridad y el déficit de competencias constituyen una preocupación relevante tanto para el desarrollo económico como para la seguridad nacional, especialmente en un contexto de rápida digitalización de la economía mundial. 

 

2. ENISA y los perfiles profesionales en ciberseguridad 

 

Teniendo presente este escenario, la Agencia de la Unión Europea para la Ciberseguridad (ENISA), responsable de velar por un nivel común de ciberseguridad en toda Europa y de cooperar con los Estados miembros y sus organismos para preparar a Europa ante los desafíos del futuro digital, ha desarrollado el Marco Europeo de Competencias en Ciberseguridad, conocido como European Cybersecurity Skills Framework (ECSF). 

 

Este marco, resultado del trabajo conjunto de ENISA y de un grupo de trabajo ad hoc, persigue crear un entendimiento común sobre los perfiles, competencias, capacidades y conocimientos necesarios en el ámbito de la ciberseguridad. En este contexto, se definen distintos perfiles profesionales: 

 

1. CISO / Director de Seguridad de la Información

 

Lidera la estrategia de seguridad de la organización, alinea los riesgos tecnológicos con los objetivos de negocio y gestiona el equipo de seguridad. 

 

2. Arquitecto de Ciberseguridad

 

Diseña, construye y prueba infraestructuras y sistemas informáticos seguros, garantizando que resistan las amenazas actuales y futuras. 

 

3. Analista de Ciberinteligencia

 

Recopila y analiza datos sobre el panorama de amenazas. Su misión es anticipar riesgos y comprender el modus operandi de los ciberdelincuentes. 

 

4. Especialista en Respuesta a Incidentes

 

Gestiona y coordina las operaciones cuando se produce una brecha de seguridad. Su tarea es mitigar los daños, contener el incidente y restaurar la normalidad. 

 

5. Auditor de Ciberseguridad

 

Evalúa de forma independiente los sistemas, políticas y controles de una empresa para verificar si cumplen con las normativas legales y los estándares de seguridad establecidos. 

 

6. Especialista Forense Digital

 

Investiga los ciberataques de forma minuciosa para extraer y analizar evidencias digitales, con el objetivo de determinar cómo ocurrió el incidente y apoyar posibles acciones legales. 

 

7. Especialista en Continuidad de Negocio

 

Desarrolla e implementa planes de contingencia y recuperación ante desastres, asegurando que las funciones críticas de la organización sigan operando durante una crisis. 

 

8. Investigador de Vulnerabilidades

 

Examina activamente el software, el hardware y las redes en busca de fallos o debilidades de seguridad antes de que puedan ser explotados por terceros maliciosos. 

 

9. Evaluador de Seguridad

 

Realiza pruebas de intrusión y evaluaciones de seguridad para medir la resiliencia de los sistemas frente a ataques simulados. 

 

10. Especialista en Implementación de Seguridad

 

Instala, configura y administra herramientas de defensa, como cortafuegos, sistemas de detección de intrusos y soluciones antivirus, en la infraestructura de la empresa. 

 

11. Especialista en Concienciación y Cultura

 

Diseña programas de capacitación y campañas de concienciación sobre ciberseguridad dirigidas a los empleados para reducir el error humano y prevenir ataques de ingeniería social. 

 

12. Oficial de Cumplimiento y Políticas de Ciberseguridad

 

Garantiza que la organización cumpla con las normativas europeas y nacionales vigentes, como la Directiva NIS2 o el RGPD, redactando y supervisando el cumplimiento de las políticas internas. 

 

3. Transición a roles más estratégicos 

 

La transición de roles técnicos a funciones estratégicas en ciberseguridad implica pasar de la operación diaria y la mitigación de incidencias a la gestión de riesgos, el gobierno de la seguridad y la alineación con los objetivos de negocio. 

 

Para lograr esta evolución, los profesionales deben adaptar su enfoque y sus capacidades. El objetivo ya no es únicamente bloquear ataques o proteger el perímetro tecnológico, sino garantizar la continuidad operativa, el cumplimiento normativo, la confianza de los clientes y la protección de la reputación corporativa. 

 

Uno de los cambios más relevantes es la necesidad de traducir métricas técnicas: vulnerabilidades, parches, alertas, eventos o incidentes, a un lenguaje de negocio comprensible para los órganos de dirección. La ciberseguridad ya no puede limitarse a explicar el riesgo desde una perspectiva técnica; debe vincularlo con impacto financiero, interrupción operativa, exposición regulatoria, pérdida reputacional y afectación a clientes, proveedores y socios estratégicos. 

 

En este contexto, cobran especial importancia varias capacidades estratégicas: 

 

Gestión de riesgos corporativos: identificación, evaluación y mitigación de los riesgos empresariales derivados del uso de nuevas tecnologías, la dependencia de proveedores, la digitalización de procesos y la exposición a amenazas avanzadas. 

 

 

4. La evolución del CISO y la aparición de perfiles híbridos 

 

En el Libro Blanco del CISO, cuya tercera edición ha sido publicada recientemente, se indica que el CISO, también denominado RSI o Responsable de Ciberseguridad, es la función directiva encargada de gobernar el riesgo digital en la organización y de estructurar el sistema de gestión de la ciberseguridad. 

 

Este perfil ha evolucionado de forma significativa. El CISO ya no solo dirige la seguridad tecnológica, sino que participa en la toma de decisiones estratégicas, reporta riesgos relevantes a los órganos de gobierno y contribuye a garantizar que la organización pueda operar con seguridad en un entorno cada vez más regulado y dependiente de la tecnología. 

 

La inteligencia artificial, la gestión de terceros, las nuevas obligaciones regulatorias, el aumento de la sofisticación de los ciberataques y la presión sobre la continuidad de los servicios han ampliado el perímetro de responsabilidad del CISO. Su función se sitúa hoy en la intersección entre tecnología, negocio, riesgo, cumplimiento, reputación y continuidad operativa.

 

La aparición de perfiles híbridos que combinan riesgos, resiliencia y continuidad responde precisamente a la necesidad de pasar de una ciberseguridad puramente técnica a un modelo de gobierno estratégico. Estos profesionales integran la protección tecnológica con la viabilidad del negocio y garantizan una recuperación rápida y coordinada ante incidentes. 

 

Entre los cargos que han surgido y evolucionado bajo este enfoque destacan: 

 

 

Para formarse o evaluar estrategias de ciberresiliencia, los profesionales y directivos pueden apoyarse en los marcos de seguridad y planes de acción recomendados por entidades oficiales como INCIBE, así como en las actividades impulsadas por asociaciones privadas de expertos en seguridad de la información como ISMS Forum. 

 

5. El DPO: privacidad, cumplimiento y gobierno del dato 

 

Junto al CISO, la figura del Delegado de Protección de Datos o Data Protection Officer (DPO) se ha consolidado como un perfil estratégico para las organizaciones. Su función ya no está ligada únicamente como una obligación derivada del Reglamento General de Protección de Datos, sino como una pieza clave en el gobierno de la privacidad, la gestión del cumplimiento y la protección de los derechos de las personas. 

 

El Libro Blanco del DPO de ISMS Forum refleja esta evolución ya que lo que inicialmente se percibía como un requisito normativo ha adquirido una dimensión estratégica por la transformación digital, el crecimiento de los volúmenes de datos, la madurez de los programas de privacidad y la incorporación de la protección de datos al modelo de gobernanza corporativa. 

 

Mientras el CISO se centra en el gobierno del riesgo digital y en la protección de los activos de información, el DPO vela por el cumplimiento de la normativa de protección de datos, la supervisión de los tratamientos y la integración de la privacidad desde el diseño y por defecto. Su papel adquiere especial relevancia ante la inteligencia artificial, los sistemas algorítmicos y los nuevos modelos de gobierno del dato. 

 

6. El Chief Resilience Officer: un nuevo perfil para una nueva etapa 

 

En este contexto cobra especial relevancia la figura del Chief Resilience Officer (CRO), un perfil llamado a integrar capacidades que tradicionalmente han estado distribuidas entre ciberseguridad, continuidad de negocio, gestión de crisis, riesgos, cumplimiento, operaciones y tecnología. 

 

El CRO no sustituye al CISO. Su función es distinta y complementaria. Mientras el CISO se centra en el gobierno del riesgo digital y en la protección de los activos de información, el CRO aporta una visión más amplia de resiliencia corporativa. Su objetivo es asegurar que la organización pueda anticipar, resistir, responder y recuperarse ante incidentes graves, disrupciones operativas, fallos de terceros, crisis reputacionales o eventos de alto impacto. 

 

La consolidación del CRO responde a una evolución natural del entorno empresarial. Las organizaciones ya no solo deben prevenir incidentes, sino demostrar que pueden seguir operando en plena crisis. Esto exige coordinar capacidades técnicas, operativas y directivas bajo una visión común de continuidad, recuperación y confianza. 

 

La figura del CRO permite conectar áreas que, en muchas organizaciones, han funcionado de forma separada: ciberseguridad, riesgos, continuidad de negocio, legal, cumplimiento, comunicación, operaciones, tecnología y alta dirección. Su valor reside precisamente en esa capacidad de integración. 

 

Desde esta perspectiva, el Libro Blanco del CRO de ISMS Forum sitúa la resiliencia como una función transversal de gobierno. La ciberseguridad deja de entenderse únicamente como una barrera defensiva y pasa a integrarse en una estrategia más amplia de resiliencia corporativa, orientada a proteger la continuidad del negocio, la confianza de los clientes y la capacidad de recuperación de la organización. 

 

7. Nuevos perfiles de ciberseguridad en las regulaciones 

 

La aparición de nuevos perfiles en ciberseguridad dentro de las regulaciones responde a la necesidad de estandarizar competencias, asignar responsabilidades concretas y exigir mecanismos efectivos de gobierno en las organizaciones. 

 

Las normativas actuales obligan a muchas entidades a contar con roles claramente definidos y capacitados para proteger infraestructuras críticas, gestionar incidentes, supervisar proveedores, asegurar la continuidad operativa y cumplir con obligaciones de reporte. 

 

Entre los perfiles más destacados por la demanda del mercado y por la evolución regulatoria se encuentran: 

 

1. Delegado de Protección de Datos / Data Protection Officer (DPO)

 

Impulsado por el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales. Su función consiste en informar, asesorar y supervisar el cumplimiento de la normativa de protección de datos, actuar como punto de contacto con la autoridad de control y contribuir a integrar la privacidad en los procesos, sistemas y decisiones de la organización. 

 

2. Oficial de Cumplimiento en Ciberseguridad / Cybersecurity Compliance Officer

 

Impulsado por el marco general de la Directiva NIS2, el Esquema Nacional de Seguridad y otras obligaciones sectoriales. Su función consiste en asegurar que la organización cumple con los requisitos normativos y mantiene políticas internas adecuadas. 

 

3. Gestor de Riesgos de la Cadena de Suministro / Third-Party Cyber Risk Manager

 

Impulsado por la creciente atención regulatoria a las dependencias de terceros, los proveedores tecnológicos y los servicios críticos. Su papel es evaluar, controlar y supervisar los riesgos derivados de la cadena de suministro. 

 

4. Responsable de Resiliencia Operativa Digital / DORA Specialist

 

Impulsado por el Reglamento DORA, especialmente en el sector financiero y en sus proveedores tecnológicos. Este perfil se centra en la capacidad de las entidades para resistir, responder y recuperarse ante incidentes relacionados con las tecnologías de la información y la comunicación. 

 

5. Ingeniero de Seguridad desde el Diseño / DevSecOps o Product Security Officer

 

Impulsado por la Ley de Ciberresiliencia o Cyber Resilience Act (CRA), que refuerza la necesidad de incorporar requisitos de seguridad desde el diseño y durante todo el ciclo de vida de los productos con elementos digitales. 

 

6. Gestor de Incidentes y Reporte Regulatorio / Incident Response Coordinator

 

Impulsado por las obligaciones de notificación de incidentes previstas en normas como NIS2 y DORA. Su función es coordinar la respuesta, asegurar la trazabilidad del incidente y cumplir con los plazos de comunicación exigidos. 

 

7. CISO evolucionado / Chief Information Security Officer

 

Impulsado por la unificación y maduración del marco normativo europeo. El CISO se consolida como una figura directiva, con mayor exposición ante los órganos de gobierno y con responsabilidades crecientes en materia de riesgo digital, cumplimiento y resiliencia. 

 

8. Chief Resilience Officer / CRO

 

Impulsado por la necesidad de coordinar ciberseguridad, continuidad, crisis, riesgos y recuperación bajo una misma lógica de gobierno corporativo. Su aparición responde a la creciente complejidad del entorno y a la necesidad de asegurar que la organización no solo esté protegida, sino preparada para seguir operando ante escenarios de disrupción. 

 

8. Panorama de la ciberseguridad: perspectiva futura 

 

El panorama de la ciberseguridad en 2026 exige una visión holística y una adaptación constante a nuevas amenazas. La sofisticación de los ciberataques, el avance regulatorio, la aceleración de la digitalización, la dependencia de terceros y la irrupción de la inteligencia artificial hacen imprescindible combinar soluciones tecnológicas avanzadas, automatización defensiva, controles sobre la cadena de suministro y un enfoque sólido en formación y concienciación. 

 

La integración de sistemas de gestión modernos y la adopción de mejores prácticas normativas consolidan la resiliencia operativa y minimizan la exposición ante brechas, interrupciones de servicio y pérdidas reputacionales. En este proceso, los perfiles profesionales cualificados adquieren un papel determinante. 

 

El CISO ha evolucionado hacia una función más directiva, impulsada por el entorno regulatorio y por la necesidad de alinear la seguridad con los objetivos de negocio. El DPO se ha consolidado como una figura estratégica para el gobierno de la privacidad, el cumplimiento normativo y la supervisión del uso responsable de los datos. A su vez, la aparición del CRO refleja una nueva etapa en la que la ciberseguridad ya no se limita a proteger sistemas, sino que forma parte de una estrategia corporativa más amplia orientada a garantizar la continuidad, la recuperación y la confianza. 

 

La evolución de estos tres perfiles confirma que las organizaciones necesitan funciones capaces de operar en la intersección entre tecnología, regulación, riesgo, negocio y gobernanza. En este ámbito, los Libros Blancos de ISMS Forum sobre el CISO, el DPO y el CRO ofrecen una referencia práctica para entender cómo deben organizarse estas responsabilidades y cómo pueden contribuir a reforzar la seguridad, la privacidad y la resiliencia de las empresas.