Después de años de aprender apremiantemente la ética del liderazgo empresarial y la gestión de riesgos, los directores de seguridad de la información (CISO) se han ganado un asiento en la mesa de la sala de juntas y el poder de tomar decisiones. Pero aun así, muchos dicen que sus trabajos son más difíciles que nunca y que no es así como se suponía que debía ser.
82% completo Cisos que respondieron Una encuesta reciente de Splunk reportaba directamente al director ejecutivo, frente a solo el 47 % en 2023. Además, el 83 % dijo que asiste regularmente a las reuniones de la junta directiva. Por su parte, los cisos debían tener competencia en especie, desarrollo de habilidades comunicativas Y Aprenda la jerga de la sala de juntas KPI y ROI, sin mencionar la familiarización con legal Y cumplimiento preocupaciones. En otras palabras, el alcance de El papel del CISO se ha ampliado mucho más allá de la seguridad informática.
Fuente: Splunk, The Ciso Report 2025
Este es un gran cambio; Durante años, los cisos quedaron relegados más abajo en la tabla de organizacionesrecibir mandatos sin ninguna oportunidad de proporcionar contexto al negocio. También se convirtieron en aquellos que asumir la culpa de violaciones gravesaterrizar algunos enredos legales. Y este status quo condujo a una enorme agotamiento, con mandato CISO promedio Durará entre dos y cuatro años en 2020. Para 2023, había un consenso generalizado El papel del CISO necesitaba un replanteamiento.
Como resultado, más CISO obtienen un lugar en la alta dirección y, en teoría, colocar a un CISO en medio de la toma de decisiones de alto nivel debería ayudar a impulsar una mayor inversión cibernética. Pero esa no ha sido la experiencia para muchos, quienes consideran que ser miembro de la junta directiva sigue siendo un desafío. De hecho, sólo el 29% de los CISO encuestados dijeron que tienen el presupuesto para mantenerse al día con el entorno de amenazas actual; Por el contrario, el 41% de los miembros de la junta directiva que no pertenecen a CISO dijeron que estaban satisfechos con los niveles de inversión en ciberseguridad.
En total, el 53% de los CISO encuestados en la encuesta de Splunk dijeron que su trabajo en realidad se había vuelto “más difícil desde que aceptaron el trabajo”, ya sea que se sentaran a la mesa o no.
Los Cisos que son miembros de la junta directiva obtienen mejores resultados
Los datos también apuntan a una solución clara: las juntas directivas con miembros con experiencia en ciberseguridad marcan una gran diferencia. Los miembros de la junta con experiencia en CISO trabajan mejor con los equipos de ciberseguridad a la hora de definir estrategias, establecer objetivos y elaborar presupuestos de forma crítica.
Estos resultados reflejan la experiencia de Jessica Sica, CISO de Software Company Weave. Aunque dice que su función depende del CJO en lugar del CEO, se reúne “regularmente” con todo el equipo C, así como con la junta directiva y los equipos de auditoría. Pero en lugar de atascarlo, Sica dice que su relación con el liderazgo ha hecho su trabajo más fácil. Pero, añade, la junta directiva de Weave es experta en ciberseguridad.
“Tengo un jefe que es muy consciente de la seguridad y tenemos una junta de seguridad”, dice Sica. “Contar con su apoyo y su voz hace que sea más fácil hacer mi trabajo”.
Su experiencia, sin embargo, es minoritaria: la encuesta mostró que el 29% de los CISO tenían una junta directiva con al menos un experto cibernético.
El progreso requiere que los CISO sigan impulsando la ciberseguridad en la conversación de la alta dirección y que las juntas directivas reconozcan la necesidad de agregar más expertos en ciberseguridad a sus filas, según el CISO de Splunk, Michael Fanning.
“A medida que la ciberseguridad se vuelve cada vez más central para impulsar el éxito empresarial, los CISO y sus juntas directivas tienen más oportunidades para llenar vacíos, lograr una mayor alineación y entenderse mejor entre sí para impulsar la resiliencia digital”, dijo Fanning en un comunicado. “Reunir a estos grupos requiere educar a las juntas directivas sobre los detalles de la ciberseguridad y que los CISO comprendan el lenguaje y las necesidades de la empresa, al tiempo que hacen de la seguridad una parte interesada de la empresa”.