Gobierno · Comité · NIS2 / DORA / ISO 27001
CISO interno vs vCISO externo: cuándo encaja cada uno y cómo combinarlos sin pagar de más
La función de CISO ya no es opcional para empresas reguladas: NIS2 responsabiliza al órgano de dirección, DORA exige función de riesgo TIC con independencia, ISO 27001 espera gobierno documentado. La pregunta no es si necesitas la figura, es cómo la implementas con los recursos que tienes. Aquí desglosamos coste, perfil, encaje regulatorio y los modelos híbridos que funcionan.
El comité que toma la decisión
La regla mental simple: un CISO interno aporta presencia diaria, contexto absorbido y relación con el equipo. Un vCISO aporta seniority experta, perspectiva externa y coste predecible. Por debajo de 1.500 empleados, el vCISO suele ser razonable; por encima, conviene CISO interno. Entre medias, los modelos híbridos son la respuesta más frecuente.
CISO interno
Lo que aporta
- Presencia diaria, contexto absorbido
- Construcción de equipo y cultura
- Continuidad multianual
- Relación profunda con todas las áreas
- Disponibilidad inmediata 24×7
vCISO
Lo que aporta
- Seniority experta sin coste de pleno tiempo
- Visión transversal de muchos sectores
- Coste predecible y flexible
- Inicio en 4-6 semanas, no 4-6 meses
- Cobertura desde el primer día
Tabla comparativa
Cifras orientativas para empresa mediana en sector regulado en España. El detalle varía con sector, alcance y madurez del equipo de seguridad.
| Dimensión | CISO interno | vCISO externo |
|---|---|---|
| Coste anual estabilizado | 130-200 k€ (todo incluido) | 40-90 k€ (4-8 días/mes) |
| Tiempo para incorporación | 4-6 meses (selección + onboarding) | 4-6 semanas |
| Dedicación | Tiempo completo | Parcial, comprometida y previsible |
| Experiencia equivalente | Variable según presupuesto | Habitualmente 10-20 años de CISO |
| Acceso a comité | Sí, semanal o continuo | Sí, mensual/bimensual + ad hoc |
| Disponibilidad ante incidentes | Inmediata | SLA de respuesta acordado (horas) |
| Continuidad y rotación | Riesgo de baja sin reemplazo inmediato | Continuidad por contrato; el proveedor cubre bajas |
| Perspectiva sectorial | Profunda en un sector | Transversal a varios sectores |
| Encaje NIS2/DORA | Sí, con documentación adecuada | Sí, si la dedicación y trazabilidad son adecuadas |
| Mejor en | Profundidad y construcción de equipo | Seniority experta y arranque rápido |
Los modelos híbridos que funcionan
La mayoría de empresas medianas reguladas terminan en una variante mixta. Estos tres modelos cubren la gran mayoría de casos reales.
Híbrido A
vCISO + responsable interno
vCISO al mando con dedicación parcial; responsable de seguridad interno (mid-level) como brazo operativo diario. Cobertura razonable de 50 a 800 empleados con presupuesto moderado y obligaciones regulatorias serias.
Híbrido B
vCISO como puente a interno
vCISO durante 12-24 meses mientras se construye el caso interno, se cierra el perfil ideal y se hace selección. El vCISO participa en la entrevista, define funciones y hace handover ordenado al CISO interno cuando incorpora.
Híbrido C
CISO interno + vCISO consultor
CISO interno con dedicación completa, vCISO externo como sounding board mensual o ante decisiones de alto impacto (M&A, certificación de gran alcance, incidente grave). El CISO interno gana segunda opinión experta sin coste de pleno tiempo.
Errores habituales en la decisión
- Confundir vCISO con consultor externo. Un consultor entra para un proyecto y se va; un vCISO es figura permanente con presencia parcial. La diferencia se nota en la continuidad y en la relación con el comité.
- Asumir que NIS2 o DORA exigen CISO interno. No lo hacen. Exigen función con autoridad, conocimiento y trazabilidad. Un vCISO bien dimensionado cubre ambos requisitos si la dedicación y la documentación son adecuadas.
- Contratar vCISO con dedicación insuficiente. Dos días al mes no son suficientes para una empresa regulada de 500+ empleados. La dedicación tiene que ajustarse al alcance real, no al presupuesto disponible.
- Externalizar y desaparecer del riesgo. El órgano de dirección sigue siendo responsable bajo NIS2. El vCISO ejecuta; el consejo decide y responde. Si el consejo no participa, el modelo no funciona.
- Saltar de consultor en consultor. Tres consultores distintos en 18 meses generan más coste y menos resultado que un vCISO con relación estable. La continuidad es lo que produce valor, no las horas.
- Pretender que un junior interno cubra la función. La función de CISO exige seniority. Un junior interno puede ser un excelente responsable de seguridad, pero no puede aportar lo que un CISO con 15 años de recorrido aporta al comité.
Servicios relacionados en Hard2bit
vCISO
Función de CISO con dedicación parcial, comprometida, para empresas reguladas.
Ver →
ISO 27001
Marco de gobierno que el CISO/vCISO articula con disciplina y evidencia.
Ver →
NIS2
Obligaciones del órgano de dirección y de la función de gestión de riesgos.
Ver →
DORA
Función de riesgo TIC con independencia y competencia para sector financiero.
Ver →
SOC gestionado y MDR
La capa operativa que el CISO/vCISO supervisa.
Ver →
SOC interno vs gestionado
Build vs buy de la capa operativa, complementaria al gobierno.
Ver →
Preguntas frecuentes
¿Qué es exactamente un vCISO?
Un vCISO (virtual CISO) es un profesional senior que asume las funciones de CISO en una empresa que no necesita o no puede costear un CISO interno a tiempo completo. Trabaja a tiempo parcial (típicamente 2-8 días al mes), aporta experiencia equivalente a un CISO con 10-20 años de recorrido, y mantiene continuidad con el comité de dirección, la operación de seguridad y los reguladores. No es un consultor que entra y sale: es una figura permanente con presencia parcial.
¿Cuánto cuesta un CISO interno y cuánto un vCISO?
Un CISO interno con experiencia relevante para sector regulado parte de 90-140 mil euros/año en salario bruto en España, sin contar variable, beneficios y carga social. El coste total empleado suele rondar 130-200 mil euros/año. Un vCISO con dedicación de 4-8 días/mes ronda 40-90 mil euros/año, sin carga social ni beneficios. La diferencia económica es real, pero los modelos no son comparables uno a uno: cubren niveles de dedicación distintos.
¿Para qué tamaño de empresa tiene sentido un vCISO?
El sweet spot está entre 50 y 1.500 empleados, especialmente en sectores regulados (financiero, sanidad, AAPP, industria crítica, SaaS B2B). Empresas más pequeñas suelen ir con consultoría puntual; más grandes habitualmente justifican un CISO interno por volumen de operación. El vCISO también encaja como puente: empresas en crecimiento que aún no tienen masa para CISO interno pero ya tienen obligaciones regulatorias.
¿NIS2 o DORA exigen tener un CISO interno?
Ninguno de los dos marcos exige nombre de figura concreta. NIS2 (artículo 20) responsabiliza al órgano de dirección y exige que haya personas con capacidad y conocimiento para cumplir las obligaciones. DORA (artículos 5-6) exige función de gestión de riesgo TIC con independencia y competencia. Un vCISO con la dedicación adecuada y trazabilidad documental cubre ambos requisitos. Lo que sí exigen es que la figura tenga acceso al comité, autoridad para decidir y disponibilidad real ante incidentes.
¿Cuál es el principal riesgo de tener vCISO en vez de CISO interno?
El riesgo principal es la falta de presencia diaria. Un CISO interno absorbe contexto, conversaciones de pasillo y dinámicas internas que un vCISO no ve. Para mitigarlo el modelo más sólido es híbrido: vCISO al mando, gerente o responsable interno (junior o medio) como su brazo operativo. El vCISO aporta seniority, gobierno y relación con dirección; el responsable interno garantiza presencia y ejecución diaria.
¿Qué se entrega y cómo se mide un vCISO?
Lo razonable es un acuerdo de servicio con: roadmap a 12-18 meses con hitos trimestrales, asistencia a comité de dirección con cadencia mensual o bimensual, gobierno documentado (políticas, mapas de riesgos, plan de auditoría), disponibilidad ante incidentes con SLA de respuesta, y reporting cuantitativo de avance. La medida no es 'horas de vCISO' sino entrega de objetivos: certificaciones cerradas, riesgos remediados, evidencia regulatoria producida.
¿Cuándo conviene migrar de vCISO a CISO interno?
Hay tres señales: cuando la empresa cruza los 1.500-2.000 empleados, cuando el área de seguridad supera 10-12 personas en plantilla, o cuando aparece una operación que exige presencia diaria sostenida (M&A activa, transformación cloud profunda, expansión internacional regulada). Un vCISO bien negociado ayuda en la transición: prepara el perfil, participa en la selección y hace handover ordenado.
¿Cómo arranca un servicio de vCISO en Hard2bit?
Empezamos con una sesión de diagnóstico (1-2 días) que cubre madurez actual, obligaciones regulatorias, prioridades del consejo y dependencias técnicas. De ahí sale un roadmap inicial y un acuerdo de dedicación realista. Tras los primeros 90 días hacemos checkpoint con el comité para validar foco y ajustar lo que haga falta. El servicio se renueva por compromisos anuales con cláusulas de salida claras.
¿Necesitas la figura de CISO pero no el coste completo?
En 30 minutos revisamos el tamaño de tu empresa, las obligaciones regulatorias que te aplican, el estado del equipo y proponemos la dedicación razonable: vCISO puro, modelo híbrido o preparación para CISO interno. Sin venderte lo que no encaja.