Durante años, el director de seguridad de la información era la persona que decía no. No a ese proyecto porque introduce riesgos. No a esa herramienta porque no cumple los requisitos. No a esa velocidad de despliegue porque el equipo de seguridad no ha terminado la revisión. Era una posición técnicamente necesaria y estratégicamente incómoda.
En 2026 ese modelo ya no funciona. No porque los riesgos hayan disminuido, sino porque los consejos de administración han dejado de aceptar informes técnicos y han empezado a exigir algo diferente: que la ciberseguridad se explique en los mismos términos que cualquier otra línea de negocio. Ingresos en riesgo. Coste de la inactividad. Retorno de la inversión en seguridad. Si el CISO no puede responder a esas preguntas, otro lo hará por él.
El cambio que ya se ha producido
Los datos del sector son claros sobre la dirección del cambio. Según el informe de previsiones de ciberseguridad de Google Cloud para 2026, los consejos de administración están presionando a los CISOs para que traduzcan la exposición y la inversión en seguridad a términos financieros concretos, con métricas centradas en pérdidas potenciales en euros y retorno real sobre la inversión en controles.
La frecuencia con la que los consejos abordan la ciberseguridad también ha cambiado. Datos de Deloitte indican que el 41% de los consejos ya trata la seguridad como un asunto mensual, con la misma cadencia que los ratios de liquidez o la concentración de proveedores, no como una actualización técnica trimestral. Y la alineación entre consejo y CISO, medida por encuestas sectoriales, bajó del 84% en 2024 al 64% en 2025. Esa caída de veinte puntos en un año es una señal de que la influencia que muchos CISOs asumían tener era, en parte, ilusoria.
Por qué el lenguaje técnico ya no es suficiente
El problema no es que los CISOs sean malos comunicadores. Es que el marco conceptual con el que han aprendido a pensar y reportar la seguridad no conecta con las decisiones que toma la dirección.
Decir que tienes 847 vulnerabilidades abiertas o que tu puntuación en un framework de madurez subió de 2.3 a 2.7 no ayuda a ningún CEO a decidir cuánto invertir en seguridad el próximo año ni qué proyectos priorizar. Decir que un incidente en el sistema de pagos podría detener las operaciones durante 72 horas con un impacto estimado de 4 millones de euros en ingresos y 1.2 millones en costes de recuperación sí ayuda. La diferencia no es de matiz, es de categoría.
Devin Rudnicki, CISO de Fitch Group, lo formuló con claridad en una entrevista reciente: el mayor error que cometen los líderes de seguridad es no tener un "por qué" ligado a resultados de negocio. Los objetivos de seguridad se presentan como controles, implementar X, desplegar Y, en lugar de como resultados. Y los resultados son lo único que la dirección puede evaluar con los criterios que usa para evaluar el resto del negocio.
La ecuación que el CISO tiene que dominar
El cambio de enfoque no es solo retórico. Requiere aprender a cuantificar el riesgo de forma que sea accionable para quienes controlan los presupuestos.
La metodología FAIR, Factor Analysis of Information Risk, es el marco de referencia más extendido para hacer eso. Permite estimar en términos probabilísticos y monetarios el impacto de distintos tipos de incidentes, cruzándolos con la probabilidad de que ocurran y el estado actual de los controles. El resultado no es una certeza, es una distribución de escenarios con rangos de pérdida esperada que la dirección puede comparar con el coste de los controles propuestos.
La IA está acelerando esa capacidad de cuantificación. Según el análisis de TechInformed sobre perspectivas de CISOs para 2026, los modelos de cuantificación de riesgo que antes requerían equipos especializados de varios ingenieros de riesgo ahora se pueden ejecutar con soporte de herramientas de IA, lo que democratiza el acceso a ese tipo de análisis para organizaciones que no tenían recursos para abordarlo antes.
La responsabilidad personal que cambia el cálculo
Hay otro factor que está acelerando este cambio de forma que los CISOs no pueden ignorar: la responsabilidad personal.
Las regulaciones recientes, especialmente las normas de la SEC en Estados Unidos y el marco NIS2 en Europa, han introducido obligaciones de divulgación y estándares de diligencia que en algunos casos pueden derivar en responsabilidad personal para los directivos de seguridad cuando hay un fallo grave. Justin Beals, CEO de Strike Graph, advirtió en el informe de SecurityWeek sobre previsiones para 2026 que la ciberseguridad está entrando en una era donde las consecuencias del riesgo cibernético recaen no solo sobre las organizaciones sino sobre individuos concretos, con posibles sanciones económicas, inhabilitaciones y en casos extremos cargos penales.
Ese contexto cambia radicalmente el incentivo del CISO para mantenerse en un rol técnico. Si la responsabilidad es personal, la influencia también tiene que ser personal. Y la única forma de tener influencia real en una organización es hablar el idioma de quienes toman las decisiones que importan.
Lo que se le pide al CISO en 2026
El perfil que emerge de todos estos cambios es el de alguien que no ha dejado de ser técnicamente competente, eso sigue siendo el punto de entrada, pero que ha añadido capas que antes eran opcionales y ahora son requisitos.
Tiene que saber traducir una vulnerabilidad en impacto operativo. Tiene que poder presentar al CFO el coste de un incidente en los mismos términos en que el CFO evalúa cualquier otra exposición financiera. Tiene que hablar con el COO sobre umbrales de tiempo de inactividad aceptables. Tiene que negociar con el CTO la tensión entre velocidad de desarrollo y controles de seguridad. Y tiene que hacer todo eso siendo capaz simultáneamente de supervisar un equipo técnico que gestiona amenazas reales en tiempo real.
Es una expansión de rol que no todo el mundo que llegó a la seguridad por la ruta técnica está en condiciones de hacer sin inversión deliberada. Pero es la dirección en la que va el rol, y los CISOs que no se muevan en esa dirección van a ir perdiendo influencia en la misma medida en que la ciberseguridad gana importancia estratégica en sus organizaciones.
La paradoja es llamativa: cuanto más crítica se vuelve la seguridad para el negocio, más difícil resulta mantenerse en un rol puramente técnico.
¿Crees que los CISOs deberían tener formación financiera o es suficiente con rodearse del equipo adecuado? Cuéntamelo en los comentarios.
0 Comentarios