Como el sector bancario, liderado por la frontera crypto, esta desmantelando silenciosamente uno de los titulos mas poderosos de la ciberseguridad, y lo que ese silencio revela sobre quienes controlan realmente el riesgo digital.
Un Titulo Nunca es Solo un Titulo
En la larga historia del poder institucional, pocos instrumentos han sido tan reveladores como el titulo profesional. Cuando Napoleon reorganizo el Estado frances tras 1799, no se limito a renombrar ministerios por claridad administrativa. Comprendia que los titulos llevan consigo la jurisdiccion, que el nombre de un cargo define el limite de su autoridad, y que cambiar un nombre es a veces la forma mas elegante de desplazar una frontera sin disparar un tiro. El Imperio Romano lo sabia tambien, por supuesto. La transicion de «Dictador» a «Princeps» bajo Augusto no fue una simple limpieza semantica. Fue una reestructuracion de la legitimidad, vestida con el lenguaje de la modestia.
Algo de esa misma logica silenciosa se esta desarrollando ahora en el interior de las estructuras de gobernanza de bancos, gestores de activos e instituciones financieras digitales de toda Europa y del mundo. Casi sin anuncio alguno, y sin nada de la ceremonia que cabria esperar de un cambio de tal envergadura, el titulo de Chief Information Security Officer, el CISO, esta desapareciendo de los organigramas. En su lugar, con creciente frecuencia, se instala una nueva denominacion: Head of ICT Risk and Security. El cambio parece cosmetico. No lo es.
Los titulos llevan consigo la jurisdiccion. Cambiar un nombre es a veces la forma mas elegante de desplazar una frontera sin disparar un tiro.
El fenomeno es mas visible, y mas significativo, en el mundo del crypto banking y la infraestructura de activos digitales, donde la presion regulatoria y la experimentacion operacional coexisten en un equilibrio inestable y perpetuamente cambiante. Pero no se circunscribe a ese perimetro. Los bancos tradicionales que operan bajo la supervision del Banco Central Europeo, las entidades de pago que navegan por las obligaciones laberinticas del DORA, y los intermediarios financieros hibridos situados en la interseccion entre TradFi y DeFi estan todos, cada uno a su manera y a su propio ritmo, ejecutando el mismo movimiento. El CISO se esta convirtiendo en otra cosa. La pregunta que vale la pena formular, con seriedad y sin la defensividad refleja que tiende a rodear este tema en los ambitos de la ciberseguridad, es que es exactamente esa otra cosa, y por que esta ocurriendo ahora.
El Arquitecto de Otra Epoca
El rol del CISO es, segun los estandares de la gobernanza corporativa, extraordinariamente joven. Sus origenes se remontan generalmente a principios de los anos noventa, citandose frecuentemente a Citibank como la institucion que por primera vez formalizo el cargo en respuesta a un incidente de pirateria informatica que habia expuesto vulnerabilidades fundamentales en su sistema de transferencias internacionales de fondos. Steve Katz, nombrado en 1995, es descrito habitualmente como el primer CISO verdadero de la historia, y los paralelismos con nuestro momento actual no son triviales. El problema de Citibank en 1994 no era meramente tecnico. Un pirata informatico ruso llamado Vladimir Levin habia explotado las juntas entre sistemas, jurisdicciones y silos organizativos para sustraer aproximadamente diez millones de dolares. La respuesta fue la creacion de un cargo cuyo mandato era explicitamente transversal, alguien capaz de situarse por encima del equipo tecnologico y hablar el lenguaje del riesgo a la organizacion.
Durante dos decadas, el modelo CISO se sostuvo. Se sostuvo porque el panorama de amenazas estaba dominado por adversarios externos cuyos metodos eran tecnicos, y cuyas motivaciones eran financieras o ideologicas de una manera que encajaba claramente en el paradigma de la seguridad. Los cortafuegos, los sistemas de deteccion de intrusiones, la gestion de parches y la respuesta a incidentes constituian la gramatica de la disciplina, y el CISO era su gramatico principal. El rol gano legitimidad, luego prestigio, y finalmente un asiento en la mesa que durante anos le habia sido negado.
Pero algo cambio. El cambio no ocurrio de golpe, ni tuvo una causa unica. Fue el efecto acumulativo de tres presiones convergentes, cada una llegando aproximadamente al mismo tiempo, cada una empujando en la misma direccion.
La primera fue regulatoria. El Reglamento de Resiliencia Operativa Digital de la Union Europea, el DORA, aplicable a los establecimientos financieros desde enero de 2025, introdujo un marco que se niega explicitamente a tratar la ciberseguridad como una disciplina tecnica confinada en un silo tecnico. El DORA exige que el riesgo de las TIC sea gobernado al nivel del organo de direccion, que el riesgo de concentracion frente a terceros sea cartografiado y comunicado con el mismo rigor que el riesgo de credito o de mercado, y que las pruebas de resiliencia se integren en la gobernanza operacional cotidiana en lugar de tratarse como ejercicios periodicos de cumplimiento. El reglamento no menciona al CISO por su nombre. Su silencio sobre ese punto es lo mas elocuente que contiene.
La segunda presion fue estructural. La explosion de las arquitecturas cloud-native, la proliferacion de los ecosistemas de API y la migracion de las funciones bancarias esenciales hacia infraestructuras de registro distribuido habian convertido el perimetro tradicional, esa linea imaginaria clara entre el interior y el exterior que el modelo clasico de seguridad defendia, en algo no solo poroso, sino conceptualmente obsoleto. En un mundo donde el sistema bancario central corre sobre AWS, donde los railes de pago son infraestructuras compartidas y los datos de los clientes fluyen a traves de diecisiete procesadores terceros antes de alcanzar el propio entorno de la entidad, la idea de un Chief Security Officer custodiando un perimetro tiene tanto sentido como nombrar a un guardian del puente levadizo para un edificio que no tiene muros.
La tercera, y quiza la mas filosoficamente interesante, fue el auge de las criptomonedas. El sector de los activos digitales no heredo las tradiciones de gobernanza de las finanzas convencionales. Las construyo desde cero, improvisando bajo la presion regulatoria, absorbiendo talento de empresas tecnologicas mas que de bancos, y trayendo consigo una concepcion fundamentalmente distinta de lo que significa el riesgo cuando tu activo vive en una blockchain y tu acuerdo de custodia es un contrato inteligente. En ese contexto, el modelo CISO, con su enfasis en la confidencialidad, la integridad y la disponibilidad como tres pilares del pensamiento en seguridad, parecia no solo insuficiente, sino desalineado.
Los Laboratorios Crypto
Si quieres entender una tendencia de gobernanza antes de que se convierta en corriente principal, observa los crypto-bancos. No las plataformas de intercambio, que operan en un universo regulatorio distinto y tienen sus propias patologias de gobernanza particulares, sino las instituciones que han obtenido licencias bancarias y prestan servicios sobre activos digitales bajo la supervision de las autoridades nacionales competentes en la UE y el Reino Unido. Estas organizaciones son, en terminos de gobernanza, los laboratorios mas interesantes del momento actual.
Instituciones como Sygnum Bank en Suiza, Anchorage Digital en Estados Unidos, y las diversas entidades con licencia MiCA que se estan estableciendo en Luxemburgo, Irlanda y Alemania han afrontado todas, de maneras distintas, la misma pregunta: como se gobierna el riesgo informatico en una institucion donde el activo mismo es un artefacto criptografico, donde la clave privada es simultaneamente el objeto de seguridad y el instrumento operacional, y donde la frontera entre un fallo de seguridad y una perdida financiera no es una frontera en absoluto, sino un unico evento?
La respuesta a la que varias de ellas han llegado es la que da a este articulo su premisa. El titulo de Head of ICT Risk and Security hace algo que el titulo de CISO nunca pudo hacer. Nombra explicitamente el riesgo como concepto rector, situando la seguridad dentro de ese marco en lugar de permitir que la seguridad se erija como disciplina autonoma. La diferencia no es meramente semantica. Representa un realineamiento fundamental de la logica organizativa que sustenta la funcion.
En los crypto-bancos, la clave privada es simultaneamente el objeto de seguridad y el instrumento operacional. El modelo CISO habia sido construido para otro tipo de amenaza.
En un banco tradicional, seguridad y riesgo son funciones paralelas que se comunican, colaboran y ocasionalmente compiten por el presupuesto y la influencia. El CISO posee la seguridad. El Chief Risk Officer posee el riesgo. Ambos se encuentran en comites, en hallazgos de auditoria, en comunicaciones regulatorias. El sistema funciona razonablemente bien mientras las amenazas son externas y los activos son convencionales. Pero en una institucion de activos digitales, esta separacion no es simplemente ineficiente. Es peligrosa. Un fallo en la gestion de claves es simultaneamente un incidente de seguridad, un evento de riesgo operacional, una perdida financiera y un incumplimiento regulatorio. No puede enrutarse a la cola del CISO el lunes y al registro de riesgos del CRO el martes. Es todo eso a la vez, y la respuesta de gobernanza debe ser igualmente integrada.
Esta es la intuicion que impulsa el cambio de titulo, y es una intuicion que esta migrando desde la frontera crypto hacia la banca convencional, impulsada por el marco integrado de riesgo de las TIC del DORA y acelerada por la naturaleza cada vez mas hibrida de la infraestructura de los servicios financieros.
Lo que Realmente Quieren los Reguladores
Vale la pena leer el texto regulatorio con atencion, porque el cambio de lenguaje a nivel regulatorio precedio y en cierta medida provoco el cambio de titulos a nivel institucional. Las directrices de la Autoridad Bancaria Europea sobre la gestion del riesgo de las TIC y la seguridad, que precedieron al DORA y fueron incorporadas a su marco, hablan sistematicamente de riesgo de las TIC mas que de ciberseguridad. La distincion es deliberada. El riesgo de las TIC, en el lexico regulatorio, es una categoria que incluye las amenazas informaticas pero engloba tambien la disponibilidad de los sistemas, la integridad de los datos, la dependencia de terceros, los fallos en la gestion de cambios y todo el espectro de perturbaciones operacionales que pueden surgir de la tecnologia sin que intervenga ningun actor adversarial.
El articulo 5 del DORA, que establece los requisitos de gobernanza para la gestion del riesgo de las TIC, situa la responsabilidad explicitamente en el organo de direccion. Exige que el organo de direccion defina, apruebe y supervise el marco de gestion del riesgo de las TIC. Exige que permanezca informado de los principales incidentes relacionados con las TIC. Exige que asigne un presupuesto adecuado para la resiliencia de las TIC. En ningun momento el texto crea un rol de gobernanza llamado CISO ni sugiere que tal rol sea requerido o siquiera particularmente relevante. Lo que crea, en efecto, es la demanda organizativa de una figura capaz de traducir el riesgo de las TIC al lenguaje de la gobernanza directiva, y esa figura, en las instituciones que estan respondiendo de forma mas reflexiva a las exigencias del DORA, es el Head of ICT Risk and Security.
El paralelismo con lo que ocurrio con el rol del Chief Compliance Officer en los anos posteriores a la crisis financiera de 2008 es instructivo. Antes de la crisis, el cumplimiento en muchos bancos era una funcion juridica ataviada con un titulo de alta direccion. Tras la crisis, bajo la presion de Basilea III, del proceso SREP y de la ampliacion mas general de las expectativas regulatorias, el cumplimiento se transformo en una genuina disciplina de segunda linea de defensa con real capacidad analitica y genuina influencia directiva. El CCO dejo de ser un jurista que leia reglamentos para convertirse en un profesional del riesgo que gobernaba comportamientos. Algo analogo esta ocurriendo ahora con la funcion de seguridad, y el cambio de titulo es la superficie visible de esa transformacion mas profunda.
La Geometria del Poder en el Nuevo Rol
Existe una dimension politica en todo esto que merece ser reconocida, aunque tiende a incomodar a los profesionales del sector. El titulo de CISO, con todo su prestigio en la comunidad de la ciberseguridad, tiene una debilidad estructural visible desde hace anos para cualquiera que prestara atencion. En la mayoria de las instituciones financieras, el CISO reporta al CTO o al CIO. En algunas organizaciones mas iluminadas existe una linea de puntos hacia el CEO o el Consejo de Administracion. Pero en la practica, la autoridad del CISO es autoridad tecnologica, lo que significa que esta delimitada por las mismas limitaciones estructurales que acotan cualquier otra funcion tecnologica: la tendencia a ser convocado despues de que la decision de negocio ya ha sido tomada, la dificultad de ejercer un poder de veto sobre las prioridades comerciales, y el desafio fundamental de traducir el riesgo tecnico a un lenguaje que resuene a nivel del consejo.
El Head of ICT Risk and Security, cuando esta correctamente constituido, es una funcion de segunda linea de defensa. Esta no es una distincion trivial. En el modelo de las tres lineas de defensa que rige la gestion del riesgo en las instituciones financieras reguladas, la segunda linea no gestiona el riesgo directamente. Define el marco, monitoriza el cumplimiento y proporciona un contrapeso independiente a la primera linea. Esto significa que el Head of ICT Risk and Security, a diferencia del CISO, dispone de un mandato de gobernanza explicitamente independiente de la funcion tecnologica. La linea de reporte conduce tipicamente al Chief Risk Officer o, en algunas configuraciones, directamente al CEO o al Comite de Riesgos del Consejo. La autoridad que se deriva de ese posicionamiento es cualitativamente diferente de cualquier cosa que el modelo CISO haya ofrecido jamas.
Existe un precedente para este tipo de evolucion de gobernanza en la historia del riesgo de credito. Antes de los anos noventa, las decisiones de credito en la mayoria de los bancos eran tomadas por banqueros que originaban y aprobaban los prestamos. El concepto de una funcion de riesgo de credito independiente, con autoridad para cuestionar y anular las decisiones comerciales de prestamo, era genuinamente controvertido cuando fue introducido. Hoy se considera fundamental. La misma logica se aplica ahora al riesgo de las TIC, con la misma implicacion: que las personas que construyen y operan los sistemas tecnologicos no pueden ser las mismas que evaluan y gobiernan los riesgos que esos sistemas generan.
El Coste Humano del Rebranding
Nada de esto carece de coste, y la dimension humana de la transicion no deberia ser soslayada en aras de una claridad teorica. La profesion de la ciberseguridad ha pasado tres decadas construyendo al CISO como un constructo de gobernanza creible. Miles de profesionales han invertido en certificaciones, trayectorias profesionales e identidades construidas alrededor de ese titulo. El CISSP, el CISM, las diversas certificaciones de Lead Auditor ISO 27001, todas fueron concebidas para un mundo en el que el modelo CISO era el destino. La sugerencia de que ese destino se ha desplazado no es recibida con entusiasmo en comunidades profesionales donde el titulo de CISO representa, para muchos, la cima de una larga carrera.
Existe tambien una preocupacion legitima en torno a la perdida de competencias, o mas precisamente sobre lo que ocurre con la expertise tecnica profunda cuando la funcion que la albergaba es reencuadrada como una disciplina de gobernanza del riesgo. El rol de CISO, en su mejor expresion, combinaba genuina profundidad tecnica con capacidad de gobernanza. El Head of ICT Risk and Security, si no esta cuidadosamente disenado, puede convertirse en un rol de gestion del riesgo que ha perdido el contacto con las realidades tecnicas que se supone debe gobernar. Este no es un riesgo hipotetico. Ya es visible en algunas instituciones que han efectuado la transicion precipitadamente, bajo presion regulatoria, sin haber reflexionado suficientemente sobre los requisitos de competencias del nuevo rol.
Las instituciones mas reflexivas abordan este problema definiendo al Head of ICT Risk and Security como un rol de doble competencia, que exige tanto una comprension tecnica profunda de los sistemas de TIC como una capacidad demostrada en la gobernanza de marcos de gestion del riesgo. Esa combinacion es rara, y el mercado de profesionales que la poseen genuinamente es considerablemente mas estrecho que el mercado de puros tecnologos o de puros gestores de riesgo. Las implicaciones salariales de esa escasez estan comenzando a manifestarse en las encuestas de remuneracion, algo que las tablas comparativas tecnicas al final de este articulo intentaran cuantificar.
MiCA, NIS2 y la Convergencia de la Arquitectura Regulatoria
El entorno regulatorio que esta acelerando este cambio de gobernanza no se limita al DORA. El Reglamento sobre los Mercados de Criptoactivos, el MiCA, plenamente aplicable desde diciembre de 2024, introdujo requisitos de gobernanza para los proveedores de servicios sobre criptoactivos y los emisores de criptoactivos modelados explicitamente sobre el marco del DORA. El articulo 69 del MiCA exige que los CASP establezcan y mantengan sistemas y procedimientos eficaces para la gestion del riesgo de las TIC. Las directrices de las autoridades competentes emitidas bajo el MiCA por la Autoridad Europea de Valores y Mercados reflejan el lenguaje del DORA de manera casi identica, incluido el enfasis en la responsabilidad del organo de direccion y la integracion del riesgo de las TIC con el riesgo operacional.
El NIS2, la directiva revisada sobre la seguridad de las redes y sistemas de informacion, anade una capa adicional. Su implementacion en los Estados Miembros de la UE a lo largo de 2024 y 2025 ha introducido un nuevo conjunto de obligaciones para las entidades del sector financiero y de las infraestructuras criticas en sentido amplio. El NIS2 hace explicitamente responsables a los organos de direccion de manera personal por los fallos en la gobernanza del riesgo de ciberseguridad. Esta dimension de responsabilidad personal, que estaba en gran medida ausente de los marcos regulatorios anteriores, es quiza el impulsor unico mas poderoso del rediseno de gobernanza que representa la transicion del CISO al Head of ICT Risk. Cuando un miembro del consejo puede ser personalmente sancionado por un fallo en la gobernanza de la ciberseguridad, el apetito por una estructura de gobernanza clara y basada en un marco de riesgo aumenta de forma dramatica.
Lo que esta emergiendo, a traves del DORA, el MiCA, el NIS2 y las directrices de la ABE, es una arquitectura regulatoria coherente que trata el riesgo de las TIC como una categoria de riesgo de primer orden, equivalente en estatus de gobernanza al riesgo de credito, al riesgo de mercado y al riesgo de liquidez. En esa arquitectura, la figura de gobernanza logica no es un responsable de la seguridad, sino un responsable del riesgo. El cambio de titulo es, bajo esta luz, no un capricho corporativo, sino una inevitabilidad regulatoria.
La Excepcion Americana
Vale la pena detenerse en la dimension transatlantica, porque Estados Unidos presenta un panorama genuinamente diferente, y el contraste es ilustrativo. Las instituciones financieras estadounidenses no han efectuado, en general, esta transicion de gobernanza. El CISO sigue siendo el modelo dominante en la banca americana, y el marco regulatorio, construido en torno a las directrices de la OCC, los manuales del FFIEC y el NIST Cybersecurity Framework, continua tratando la seguridad como la principal lente conceptual en lugar del enfoque integrado del riesgo de las TIC preferido por la regulacion europea.
Esto no es accidental. La filosofia regulatoria americana ha sido historicamente mas comoda con estandares de seguridad sectoriales y centrados en la tecnologia que con el enfoque integrado de gobernanza del riesgo que la UE viene desarrollando desde Basilea II. Las normas de divulgacion en materia de ciberseguridad de la SEC, adoptadas en 2023, han empujado en la direccion de la responsabilidad de gobernanza, exigiendo a las empresas cotizadas que divulguen los incidentes de ciberseguridad materiales y describan sus procesos de gestion del riesgo cibernetico. Pero se detienen muy por debajo del marco integrado de riesgo de las TIC que el DORA impone.
El resultado es una divergencia transatlantica en la arquitectura de gobernanza cada vez mas visible en las estructuras de los bancos globales que operan en ambas jurisdicciones. JPMorgan, Goldman Sachs y sus homologos mantienen estructuras CISO en sus entidades estadounidenses mientras se adaptan a los marcos de gobernanza del riesgo de las TIC en sus filiales europeas. La carga de gestionar simultaneamente dos filosofias de gobernanza no es desdeneable, y hay senales de que algunas instituciones estan empezando a plantearse si el modelo europeo podria ofrecer ventajas incluso fuera del contexto regulatorio en el que nacio.
Una Coda Filosofica: el Riesgo Como Forma de Conocer
Bajo todo esto subyace una pregunta mas profunda, que se situa en la interseccion de la filosofia de la gobernanza y la epistemologia, y que merece ser planteada aunque no pueda resolverse plenamente en un solo articulo. El modelo CISO es, en su esencia, un modelo construido sobre el concepto de amenaza. Organiza el conocimiento y la respuesta en torno a adversarios, vulnerabilidades y ataques. Su vocabulario esta tomado de la cultura militar y de inteligencia, y ese prestamo no es casual. El CISO piensa en terminos de defensores y atacantes, de perimetros y brechas, de deteccion y respuesta.
El modelo de riesgo de las TIC, en cambio, reposa sobre una base epistemologica diferente. El riesgo, en el sentido tecnico empleado por los gestores de riesgo en las instituciones financieras, es una distribucion de resultados posibles con probabilidades y niveles de gravedad asociados. La pregunta no es quien nos esta atacando, sino cual es la probabilidad de que nuestros sistemas tecnologicos no logren producir los resultados que nuestro modelo de negocio y nuestras obligaciones regulatorias exigen, y cual es la magnitud financiera y reputacional de ese fracaso. Es un marco mas abstracto, y en ciertos aspectos menos visceralmente satisfactorio. Pero es mas completo, y mas honesto sobre la naturaleza real de las amenazas a las que se enfrentan hoy las instituciones, en las que los riesgos mas consecuentes a menudo no son adversariales en absoluto, sino que emergen de la complejidad, la interdependencia y las propiedades emergentes de sistemas que ningun actor individual comprende plenamente.
Los riesgos mas consecuentes a menudo no son adversariales. Emergen de la complejidad, la interdependencia y las propiedades emergentes de sistemas que nadie comprende plenamente.
El filosofo de la ciencia Karl Popper observo en cierta ocasion que el crecimiento del conocimiento consiste esencialmente en la correccion de errores. La transicion del CISO al Head of ICT Risk and Security es, en ese sentido, una correccion, no un rechazo de lo que el modelo CISO logro, sino el reconocimiento de que el marco que ofrecia era demasiado estrecho para el entorno de riesgo que ha emergido. Es el tipo de correccion que las instituciones encuentran dificil de efectuar porque exige reconocer, al menos implicitamente, que la arquitectura anterior era inadecuada. La via de menor resistencia consiste siempre en anadir una nueva capa en lugar de repensar los cimientos. Las instituciones que estan efectuando esta transicion estan eligiendo, en su favor, el camino mas dificil.
Apendice Tecnico: Arquitectura de Gobernanza Comparada, Competencias y Remuneracion
La seccion siguiente pasa del analisis a los datos. Se basa en textos regulatorios publicamente disponibles, encuestas de remuneracion publicadas por Robert Half, Hays Financial Services y la Information Systems Security Association, comunicaciones organizativas en informes anuales y declaraciones regulatorias, y la observacion profesional directa del autor sobre las estructuras de gobernanza en instituciones financieras europeas.
Tabla 1. CISO vs Head of ICT Risk & Security: Comparacion de la Arquitectura de Gobernanza
| Dimension | Modelo CISO | Head of ICT Risk & Security |
| Linea de Defensa | 1a linea (integrada en la funcion tecnologica) | 2a linea (funcion de riesgo independiente) |
| Linea de Reporte Tipica | CTO / CIO, con linea de puntos hacia CEO | CRO o directamente CEO / Comite de Riesgos del CA |
| Mandato Principal | Proteger sistemas y datos frente a amenazas | Gobernar el riesgo TIC en el marco del apetito al riesgo |
| Ancla Regulatoria | ISO 27001, NIST CSF, directrices sectoriales | DORA Arts. 5-16, Directrices ABE TIC, NIS2, MiCA Art. 69 |
| Autoridad Presupuestaria | Generalmente limitada, requiere business case | Asignacion directa desde el marco de apetito al riesgo |
| Poder de Cuestionamiento (1a linea) | Informal, dependiente de las relaciones | Formal, integrado en el mandato de gobernanza |
| Interaccion con el CA | Informes periodicos, escalada de incidentes | Regular, miembro o asesor del Comite de Riesgos |
| Prevalencia en Crypto-Bancos UE (2025) | En declive: aprox. 34% de entidades muestreadas | En alza: aprox. 61% de entidades muestreadas |
| Prevalencia en Bancos Tradicionales UE (2025) | Aun dominante: aprox. 58% | En crecimiento: aprox. 38% |
Fuentes: Encuestas organizativas ABE 2024, ISACA State of Cybersecurity Report 2025, encuesta profesional del autor, analisis de datos publicos LinkedIn.
Tabla 2. Matriz de Competencias Esenciales: Requeridas vs Deseables
| Dominio de Competencia | CISO (Requerida = R) | Head ICT Risk & Security (Requerida = R) |
| Arquitectura de seguridad de redes y endpoints | R | Deseable |
| Inteligencia de amenazas y respuesta a incidentes | R | R |
| Diseno de marco de riesgo TIC (DORA, ABE) | Deseable | R |
| Pruebas de resiliencia operacional (TLPT, TIBER-EU) | R (ejecucion tecnica) | R (supervision de gobernanza) |
| Gestion de riesgo de terceros (TPICR) | Parcial | R |
| Comunicacion del riesgo a nivel del CA | Ventajosa | R |
| Protocolos de custodia de activos criptograficos | Especifico del sector | R (en crypto-bancos) |
| ISO 27001 / 22301 Lead Auditor | R o fuertemente preferida | Ventajosa |
| Certificacion CISSP / CISM | R o fuertemente preferida | Reconocida pero no decisiva |
| Herramientas GRC e informes regulatorios | Ventajosa | R |
Mapeo de competencias elaborado a partir de los RTS del DORA, las Directrices ABE TIC 2023 y el Marco de Competencias ISACA 2024.
Tabla 3. Benchmarks de Remuneracion, Sector Financiero Europeo (2025, EUR)
| Rol / Contexto | Base Mediana (EUR) | Maximo Registrado | Rango Bonus | Estim. Remuner. Total |
| CISO, banco tradicional (>10.000 M EUR AUM) | 195.000 | 260.000 | 15-30% | 224.000-338.000 |
| CISO, fintech / scale-up | 150.000 | 210.000 | 10-25% + equity | 165.000-262.500 |
| Head of ICT Risk & Security, banco regulado | 215.000 | 310.000 | 20-40% | 258.000-434.000 |
| Head of ICT Risk & Security, crypto-banco (licencia MiCA) | 230.000 | 340.000 | 20-40% + token | 276.000-476.000 |
| Deputy CISO / ICT Risk Manager sr., banco UE | 130.000 | 175.000 | 10-20% | 143.000-210.000 |
Fuentes: Hays Financial Services Salary Guide 2025, Robert Half Technology Salary Guide 2025, LinkedIn Salary Insights Sector Financiero UE T4 2025. Cifras orientativas. Las componentes token/equity se excluyen de la remuneracion total por razones de comparabilidad.
Tabla 4. Cartografia Regulatoria: Donde esta Anclado Cada Titulo
| Reglamento | Menciona al CISO | Requiere Funcion de Riesgo TIC | Responsabilidad del Organo de Direccion |
| DORA (UE 2022/2554) | No | Si (Arts. 5-16) | Si (Art. 5.2) |
| MiCA (UE 2023/1114) | No | Si (Art. 69) | Si (Art. 69.3) |
| NIS2 (UE 2022/2555) | No | Si (Art. 21) | Si, responsabilidad personal (Art. 20) |
| Directrices ABE TIC y Seguridad (EBA/GL/2019/04) | Solo referencia implicita | Si | Si |
| NIST CSF 2.0 (EE.UU.) | Referenciado | Parcial (funcion Gobernar) | Recomendado, no obligatorio |
| Normas SEC sobre divulgacion cibernetica (2023) | Referenciado en orientaciones | Implicito | Si (divulgacion de la supervision) |
| ISO 27001:2022 | Sin referencia formal | Clausula 6 (planificacion del riesgo) | Clausula 5 (liderazgo) |
Analisis regulatorio basado en textos legislativos oficiales de la UE, normas tecnicas ABE y ESMA, y normas finales de la SEC. Verificado en fuentes oficiales publicas en el T1 2026.
El Mapa No es el Territorio
Augusto conservo el Senado romano. Sabia que era mejor no abolirlo. Lo que hizo fue cambiar el significado real de la autoridad del Senado, reorientando el poder mientras preservaba la forma que conferia al poder su legitimidad. El CISO no esta siendo abolido. En muchas instituciones se conserva, a menudo con la misma persona en el cargo, en ocasiones con un ligero cambio de titulo, a veces con una configuracion dual-hat. Pero la estructura de autoridad a su alrededor esta cambiando, y el marco a traves del cual se gobierna el riesgo digital esta siendo reconstruido sobre unos cimientos diferentes.
La silenciosa migracion del sector financiero del CISO al Head of ICT Risk and Security es uno de los cambios de gobernanza mas significativos de la decada en curso, y ha recibido una fraccion de la atencion que merece, en parte porque esta ocurriendo de forma gradual, en parte porque las instituciones que lo impulsan prefieren no llamar la atencion sobre el reconocimiento implicito de inadecuacion anterior que representa, y en parte porque la prensa especializada en ciberseguridad es, comprensiblemente, reticente a informar sobre el declive de un titulo que ha celebrado durante anos.
Pero el mapa esta cambiando. Y en terminos geopoliticos, tanto como en terminos de gobernanza corporativa, entender un cambio en el mapa es el requisito previo para entender el territorio que el mapa describe. Las instituciones que capten este cambio primero, que construyan estructuras de gobernanza genuinamente adaptadas al entorno de riesgo integrado que el DORA, el MiCA y el NIS2 han creado colectivamente, no se limitaran a ser conformes. Estaran mejor gobernadas, mejor protegidas y, en ultima instancia, mejor equipadas para sobrevivir a la proxima crisis que nadie ha pensado aun en nombrar.
Raffaele Di Marzio
Executive Cybersecurity Consultant
raffaele.dimarzio@cyberium.limited
Acerca del autor :
🇮🇹 Amazon.it: https://www.amazon.it/stores/Raffaele-DI-MARZIO/author/B0FB47T6Q4
🇫🇷 Amazon.fr: https://www.amazon.fr/stores/Raffaele-DI-MARZIO/author/B0FB47T6Q4
🇬🇧 https://www.amazon.com/stores/Raffaele-DI-MARZIO/author/B0FB47T6Q4
🇪🇸 https://www.amazon.es/stores/Raffaele-DI-MARZIO/author/B0FB47T6Q4