Inteligencia artificial en la junta directiva: por qué solo el 12 por ciento se beneficia
Eva Mickler
6 Min. Tiempo de lectura Los consejos de administración invierten, pero la rentabilidad no se materializa. ...
Leer artículo
8 Min. de lectura
En muchas empresas, el CISO es considerado la persona responsable de la seguridad. Esta percepción solo libera aparentemente a la dirección. Desde NIS2, la responsabilidad recae expresamente en los órganos de dirección y no puede delegarse. Los Managed Security Services resuelven el problema de capacidad, no el problema de responsabilidad legal. Quien confunde ambos adquiere alivio operativo y sobreestima la protección jurídica.
Lo más importante en resumen
- La responsabilidad no es delegable. NIS2 obliga personalmente a la dirección a aprobar y supervisar las medidas de seguridad. Puede externalizar la operación, pero la responsabilidad legal permanece en casa.
- El MSSP aporta capacidad, no mandato. Un proveedor externo ofrece monitorización continua y personal especializado escaso. La estrategia de seguridad y su gestión siguen perteneciendo a la propia organización.
- La externalización solo es viable con gestión interna. La estrategia y la responsabilidad permanecen dentro; la operación y la escalabilidad pueden externalizarse. Quien traza claramente esta línea divisoria gana alivio sin perder el control.
Relacionado:La soberanía en la nube se convierte en asunto de dirección / Quién responde cuando el agente de IA actúa
Por qué la responsabilidad se aleja del rol del CISO
¿Qué es un servicio de seguridad gestionado? Un servicio de seguridad gestionado traslada determinadas tareas de seguridad a un proveedor especializado, el proveedor de servicios de seguridad gestionados. Lo habitual son la monitorización continua, la detección de ataques y las primeras respuestas ante incidentes. El proveedor aporta tecnología, procesos y personal especializado que una empresa individual a menudo no puede mantener de forma permanente.
El patrón conocido reza: existe un CISO, luego la seguridad está resuelta. Este patrón ha perdido su base con la transposición de NIS2. La directiva obliga expresamente a los órganos de dirección a aprobar las medidas de gestión de riesgos, supervisar su aplicación y recibir formación. No menciona al CISO como destinatario, sino a la dirección ejecutiva. Con ello, NIS2 desplaza la seguridad desde la función técnica hacia la responsabilidad de la dirección.
En Alemania esta exigencia está en vigor desde diciembre de 2025 a través de la ley nacional de transposición. Contempla multas personales para el nivel directivo de hasta medio millón de euros en los casos más graves, además de una prohibición temporal de ejercer funciones directivas en supuestos de especial gravedad. Quien lo lea como una mera formalidad subestima su alcance. La responsabilidad personal modifica las prioridades de la dirección de una empresa con mayor intensidad que cualquier formato adicional de formación.
500.000 Euro
es la multa personal máxima que puede imponer la ley alemana de transposición de NIS2 al nivel directivo, además de la sanción a la empresa.
Fuente: Ley de transposición de NIS2 (NIS2UmsuCG), en vigor desde diciembre de 2025
Aquí es exactamente donde surge el malentendido. Muchas organizaciones reaccionan ante la presión contratando a un proveedor y considerando el asunto zanjado. Las operaciones pueden externalizarse. La obligación de saber qué está protegido y si las medidas funcionan sigue recayendo sobre la dirección. Un contrato con un proveedor no es una exención de responsabilidad, sino una herramienta que debe gestionarse activamente.
Lo que asume el MSSP y lo que permanece en la empresa
Los servicios de seguridad gestionada crecen porque la brecha operativa es real. El sesenta por ciento de los responsables de seguridad cita ahora la escasez de especialistas como su mayor preocupación, por encima del mero número de personal. Solo en la UE faltan alrededor de 300.000 profesionales. Un centro de operaciones propio con cobertura continua sencillamente no es financiable para la mayoría de las empresas que no alcanzan el tamaño corporativo.
Un proveedor de servicios cubre esta brecha de forma eficaz. Concentra especialistas escasos entre múltiples clientes y opera una vigilancia ininterrumpida que una empresa individual difícilmente puede mantener de forma sostenida. Lo decisivo es, sin embargo, la separación clara entre lo que puede externalizarse y lo que debe permanecer en la empresa.
| Función | Recomendable en el MSSP | Permanece en la empresa |
|---|---|---|
| Vigilancia las 24 horas | sí, economía de escala | Rutas de escalado |
| Detección de ataques | sí, herramientas y rutina | Contexto del negocio |
| Estrategia de seguridad | no, solo asesoramiento | sí, control total |
| Acreditación de cumplimiento | Apoyo y evidencias | Responsabilidad de la dirección |
| Responsabilidad legal según NIS2 | no transferible | íntegramente en la empresa |
La última fila determina el modelo. Un proveedor puede asumir el trabajo, aportar las evidencias y reaccionar con rapidez en caso de incidente. Sin embargo, la obligación de demostrar ante la autoridad supervisora que se adoptaron y supervisaron medidas adecuadas recae sobre la propia dirección. Quien pasa por alto esta fila ha externalizado creyendo estar protegido.
Cómo funciona la gestión híbrida sin perder el control
De esta separación surge un modelo operativo sobrio. La dirección de seguridad permanece en la empresa, frecuentemente como CISO o, en organizaciones más pequeñas, como CISO virtual externalizado con un mandato claro. Define qué se protege, con qué prioridad y frente a qué riesgos. El proveedor ejecuta estas directrices en el día a día y reporta los resultados.
Para que este modelo funcione, hacen falta dos condiciones que suelen faltar en la gobernanza. En primer lugar, una persona interna con el mandato y el tiempo necesario para supervisar al proveedor. Un MSSP sin interlocutor dentro de la empresa entrega informes que nadie lee. En segundo lugar, rutas de escalado claramente definidas. Si a las tres de la madrugada se produce un ataque, debe estar establecido quién decide dentro de la empresa y quién debe ser informado. Esta decisión no puede tomarse durante el incidente.
¿Dónde la externalización ayuda y dónde frena?
Si un Managed Security Service aporta alivio o crea un nuevo riesgo depende menos del proveedor que de la propia preparación. Los siguientes patrones distinguen lo uno de lo otro.
Lo que frena
- Externalizar asumiendo que con ello también desaparece la responsabilidad
- No tener un responsable interno que gestione al proveedor
- Definir las vías de escalada solo cuando ya está en curso un incidente
- Contratos sin obligaciones claras de reporte y justificación
Lo que ayuda
- La estrategia y la responsabilidad permanecen visibles dentro de la organización
- Un interlocutor designado con mandato para gestionar al proveedor
- Vías de escalada definidas y ensayadas de antemano
- Contratos que aporten evidencias para la demostración del cumplimiento normativo
La diferencia entre las dos columnas no es una cuestión de presupuesto. Es una cuestión de claridad sobre qué se está comprando exactamente. Un Managed Security Service es una extensión operativa para la gestión de la seguridad, no un sustituto de una decisión de dirección. Quien lo trata como tal obtiene un alivio real. Quien espera más, compra un riesgo con factura incluida.
Preguntas frecuentes
¿Puede una empresa externalizar su responsabilidad NIS2 a un proveedor de servicios?
No. NIS2 obliga personalmente a los órganos de dirección a aprobar y supervisar las medidas de seguridad. Las tareas operativas pueden delegarse a un proveedor de servicios de seguridad gestionada, pero la responsabilidad y la obligación de responder permanecen en la dirección. Un contrato no es una exención de responsabilidad.
¿Cuándo merece la pena un servicio de seguridad gestionada?
Sobre todo cuando no es posible financiar un centro de operaciones propio con cobertura continua y la escasez de personal especializado impide cubrir los puestos internamente. El proveedor concentra la experiencia escasa y ofrece una vigilancia ininterrumpida las 24 horas. Para empresas por debajo del tamaño de un gran grupo, esta suele ser la única vía realista hacia una operación fiable.
¿Qué debe permanecer en casa pese a la externalización?
La estrategia de seguridad, la gestión del proveedor, la definición de los canales de escalada y la acreditación del cumplimiento ante las autoridades supervisoras. Se necesita una persona interna con mandato que dirija al proveedor. Sin este interlocutor, los informes del proveedor quedan sin efecto.
¿Qué es un CISO virtual?
Un CISO virtual es una dirección de seguridad externalizada que trabaja por encargo en lugar de estar contratada de forma fija. Para las empresas más pequeñas que no pueden financiar su propio CISO, esto aporta competencia directiva a la organización. Es fundamental contar con un mandato claro para que el rol pueda tomar decisiones y no se limite a asesorar.
¿Qué pregunta debe hacerse antes de firmar cualquier contrato con un MSSP?
¿Quién en nuestra organización gestiona a este proveedor, y qué evidencias nos entrega para nuestro informe de cumplimiento? Si la respuesta no está clara antes de la firma, se crea una externalización sin interlocutor. En ese caso, el contrato desplaza el problema en lugar de resolverlo.
Más de la red MBF Media
cloudmagazin
mybusinessfuture
securitytoday
Fuente de la imagen: imagen de portada generada por IA (junio de 2026), certificado C2PA integrado en la imagen