Análisis del rol del CISO y su evolución por parte de los CISOs de Cellnex, Bco. España y TOUS

Crónica de la mesa redonda celebrada en CYBERLIDERIA – Foro de Resiliencia Digital y Talento y moderada por Jesús Sanchez, CISO de TOUS –  Madrid, 21 de mayo de 2025

1. Introducción – Por qué el momento importa

Hace poco más de una semana se celebraba en el auditorio Beatriz de Madrid un magnifico evento de CYBERLIDERIA y a los dos días publicamos en SMIT un artículo sobre la mesa redonda sobre “Regulación de la Ciberseguridad”.

Con las notas de aquel día (magnificas mesas redondas) publicamos hoy uno sobre la titulada como el encabezado

Y es que en esa mesa se habló de que las últimas dos décadas han convertido la ciberseguridad en una cuestión de continuidad de negocio, reputación e, incluso, supervivencia. Por eso las más de doscientas personas que llenaron el auditorio madrileño de CYBERLIDERIA no acudían a “otra charla técnica”, sino a un ejercicio de reflexión estratégica: ¿cómo ha cambiado –y seguirá cambiando– el trabajo del Chief Information Security Officer?

El debate estuvo orquestado por Jesús Sánchez, CISO de Naturgy, que eligió tres perfiles complementarios para examinar el problema desde ángulos muy distintos:

Los cuatro coincidieron en la tesis de partida: el CISO ya no es (solo) un tecnólogo; su legitimidad depende de traducir la amenaza digital en decisiones de negocio y de riesgo.

2. El debate – Tres preguntas, tres miradas

2.1 Del “parcheador” al socio estratégico

Sánchez abrió fuego preguntando si el colectivo ha cumplido las expectativas. Laura Parra recordó que el CISO pasó “de ser un perfil técnico, a uno operativo y ahora busca su sitio en la mesa estratégica”. Ese salto –añadió– no lo logra la regulación por sí sola; lo impulsa la presión de los Consejos que han descubierto la “resiliencia digital como ventaja competitiva”.

Sergio Padilla reforzó la idea: “Ese recorrido nos ha llevado a incorporarnos en las decisiones estratégicas; el CISO ya no es un ‘stopper’”. Para él, el verdadero síntoma de madurez es que los informes anuales de las grandes compañías mencionen ciberseguridad “sin que suene a check‐list”. Como en muchos otros informes que últimamente se están empezando a cuestionar… pero que llevan un lustro siendo eso, un check list.

2.2 Regulación: ¿fin o medio?

Con la transposición de NIS 2 en el horizonte, la pregunta obligada fue si la norma es una tabla de salvación o un lastre. Parra ve la regulación como “oportunidad de oro para hablar de lo tuyo y, de paso, de todo lo demás”, siempre que el CISO aproveche el micrófono que le da el Consejo.

Padilla, más combativo, calificó NIS 2 de “oportunidad, absolutamente; cuestión de actitud” y advirtió de que “insistir en dónde debe sentarse el CISO es secundario: importa que sea bueno, porque malos CISOs también los hay”.

2.3 ¿Dónde debe vivir el CISO?

El lugar en el organigrama suscitó más discrepancia que consenso. José Antonio López expuso el caso Tous: “Lo importante no es el puesto en el organigrama sino los foros a los que se le invita”. En su compañía, el CISO acude a una comisión delegada del Consejo: “Allí nadie espera oír milongas tecnológicas; quieren saber si su negocio está seguro”.

Para Parra, (y para SMIT y cualquier presidente, consejero y CEO) el dato clave es que “el 59 % de los CISOs ya reportan al Consejo cada trimestre”; ahora toca “liderar cultura y resiliencia” en toda la organización. Sánchez lo resumió así: “Quizá el rol más cambiante de la organización sea el nuestro… y seguirá siéndolo”.

3. CONCLUSIONES – Cinco lecciones del auditorio

  1. De técnico a gestor de riesgo El CISO madura a la velocidad de la disrupción tecnológica. Su KPI principal ya no es el uptime de un firewall, sino la alineación con la estrategia y el apetito de riesgo.
  2. Regulación como catalizador, no como cadena NIS 2 y compañía son “palancas” si se interpretan como marco para dialogar con los órganos de gobierno; son “marrón” si se reducen a burocracia.
  3. Acceso al poder real Sentarse en el Comité de Dirección es requisito necesario, pero insuficiente. El valor se crea cuando el CISO habla el idioma de finanzas y negocio ante el Consejo –y le entienden.
  4. Talento híbrido El futuro no exige solo hard skills; demanda liderazgo, visión y una resiliencia personal capaz de convivir con la incertidumbre permanente que trae la IA generativa y el threat-landscape global.
  5. Cultura de seguridad distribuida La posición formal pierde peso frente a la capacidad de “colar” ciberseguridad en las decisiones cotidianas, desde la arquitectura hasta el marketing omnicanal.

4. Frases para enmarcar

5. Epílogo – El CISO ante la próxima curva

La sesión terminó con un aviso a navegantes: la irrupción de la inteligencia artificial generativa, la hiperregulación y la geopolítica convierten al CISO en centinela permanente. Si hasta ahora se le pedía “proteger”, el mandato evoluciona hacia anticipar. Y en ese tránsito –coinciden Parra, Padilla y López– la línea que separa al CISO del Chief Risk Officer o del Chief Strategy Officer será cada vez más fina.

Como recordó Jesús Sánchez al despedir la mesa, “el futuro pertenece a los roles que sepan reinventarse”. El CISO, al parecer, está llamado a ser su alumno aventajado.

Quién es quién (enlaces a LinkedIn)

1) Jesús Sánchez, Head of Global Cybersecurity de Naturgy (moderador de la mesa) https://www.linkedin.com/in/jesanchezlo/

2) Laura Parra, CISO de Cellnex https://www.linkedin.com/in/lauraparragarcia

3) Sergio Padilla, CDO de Banco de España https://www.linkedin.com/in/sergio-padilla-foubelo-70b32336

4) José Antonio López, CIO de Tous https://www.linkedin.com/in/-jal-/