Este enfoque, que está ganando terreno especialmente entre pequeñas y medianas empresas, buscan con ello una manera rentable de proteger sus activos digitales y cumplir con la regulación sin tener que asumir los altos costes de incorporar a la plantilla a un CISO a tiempo completo.
Víctor Ronco, CEO de Zerod, destaca: “La contratación de un Servicio de CISO permite a las organizaciones acceder a un equipo de expertos en ciberseguridad que, de forma remota, asumen las responsabilidades de un jefe de seguridad de la información. Este modelo ofrece múltiples ventajas, entre las que destacan la flexibilidad, el ahorro de costes y el acceso a una mayor especialización”.
El mercado laboral en España refleja que el salario promedio de un CISO a tiempo completo varía entre 80.000 y 120.000 euros anuales, dependiendo del tamaño de la empresa, el sector y la experiencia del profesional. A este coste, se le suman otros gastos asociados, como bonificaciones, formación continua y beneficios laborales, lo que puede representar un reto financiero importante, sobre todo para empresas que no tienen la capacidad o necesidad de contar con este perfil de forma permanente.
Según Víctor Ronco, “un CISO virtual ofrece una alternativa más accesible, brindando a las empresas acceso a profesionales altamente cualificados y con experiencia en diversas industrias, sin las cargas económicas de un salario permanente”. Este experto sostiene que el modelo de Servicio de CISO (CISO as a Service O CISOaaS) permite a las organizaciones obtener un nivel de expertise que de otra manera sería difícil de alcanzar con un equipo interno, a una fracción del coste.
Además, este enfoque es escalable, lo que significa que las empresas pueden ajustar los niveles de soporte de ciberseguridad según sus necesidades y presupuesto, incrementando los servicios en momentos críticos o reduciéndolos cuando sea necesario.
Cumplimiento normativo
Otra de las razones que impulsa la adopción del CISO externo es la creciente demanda de cumplimiento normativo en términos de ciberseguridad, protección de datos y privacidad. Normativas como el GDPR en Europa o leyes de protección de datos personales en otros países requieren que las empresas adopten medidas rigurosas para proteger la información de sus clientes.
A esto se suman los estándares internacionales como la ISO 27001, cada vez más extendida como requisito para relaciones comerciales entre compañías, o marcos regulatorios como el Esquema Nacional de Seguridad en España, el SOC 2 en Estados Unidos, o la Directiva NIS2 de la UE, que pretende establecer a nivel europeo una serie de requisitos y buenas prácticas en ciberseguridad cada vez más extendido entre organismos públicos y empresas privadas.
Desde Zerod advierten que “un CISO garantiza que las empresas cumplan con estas regulaciones, y se puedan preparar para obtener las certificaciones, reduciendo el riesgo de sanciones económicas y la pérdida de confianza por parte de los consumidores”.
