vCISO frente a CISO interno: cuándo cada modelo tiene sentido
El modelo CISO virtual va a estar sobrevendido los próximos dieciocho meses. La razón es directa: es el servicio más fácil de empaquetar por una boutique de ciberseguridad y la respuesta más defendible para una empresa mediana que sabe que necesita liderazgo en ciberseguridad pero no puede justificar una contratación sénior a tiempo completo. Nosotros ofrecemos el servicio. También lo rechazamos cuando la empresa que tenemos enfrente estaría mejor servida contratando un CISO interno. Este artículo trata sobre los criterios que usamos para decidir.
No vamos a abordar las grandes empresas (más de 1.500 empleados, múltiples jurisdicciones, funciones de seguridad dedicadas en muchos dominios). A esa escala la pregunta no es vCISO frente a CISO interno; es CISO más CISO adjunto más responsable de operaciones de seguridad más responsable de GRC, y un vCISO no encaja en la conversación. Abordaremos la empresa mediana europea realista: 80 a 800 empleados, una a tres jurisdicciones, un equipo de seguridad que hoy tiene entre cero y cuatro personas.
Qué hacen ambos roles (y qué no hacen)
Antes de comparar conviene precisar para qué sirve la función CISO. En contexto mediano cubre, como mínimo:
- Propiedad del riesgo y del cumplimiento. Traducir la regulación (NIS2, RGPD, normativa sectorial) en un programa que la empresa pueda ejecutar.
- Gobierno. Línea de reporte al órgano de dirección, informes al consejo, alineación con auditoría y legal.
- Estrategia. Una hoja de ruta de ciberseguridad a 12-36 meses con presupuesto, hitos y una definición clara de qué significa "suficientemente bueno" para esta empresa.
- Rendición operativa. Responsabilidad final sobre los controles, incluso cuando las operaciones se delegan a un equipo o a un proveedor gestionado.
- Representación externa. Conversaciones con reguladores, con los equipos de seguridad de los clientes en ciclos comerciales, con aseguradoras, con auditores.
Lo que un CISO no es, en contexto mediano, es el ingeniero que configura el SIEM, el analista que triaga alertas, el consultor que ejecuta el pentest ni el abogado que revisa el contrato de tratamiento de datos. El rol es liderazgo; el trabajo se delega.
Ya sea el liderazgo virtual o interno, la función es la misma. La pregunta es qué modelo de entrega encaja en qué empresa.
Cuándo un vCISO es la respuesta correcta
Un vCISO funciona cuando se dan simultáneamente tres condiciones.
Condición 1 · El programa está en modo construcción, no operación
Un vCISO encaja muy bien cuando la empresa monta su programa de ciberseguridad por primera vez, o cuando un programa existente ha derivado y necesita reestructuración. El trabajo es pesado en diseño, selección de marco, redacción de políticas, montaje de gobierno y primera ronda de evaluación de riesgos. Estas actividades se benefician de la perspectiva externa y de alguien que ha visto los mismos patrones en otras 30 empresas.
Un vCISO encaja mal cuando el programa está en operación estable y el trabajo dominante es continuidad operativa, gestión de incidentes y pequeñas mejoras incrementales. El roce de un líder externo poniéndose al día sobre el contexto cada dos semanas erosiona la efectividad.
Condición 2 · La empresa puede absorber una presencia fraccional
Un vCISO se contrata típicamente entre 1 y 5 días al mes, a veces con picos en respuesta a incidentes o auditorías. Esto requiere que:
- La dirección acepte un líder no presente físicamente cada día.
- Exista al menos una persona interna (a menudo llamada "security champion" o "responsable de operaciones de seguridad") que sostenga el día a día entre sesiones del vCISO.
- Los patrones de comunicación sean maduros: decisiones documentadas, actualizaciones asíncronas, un calendario que respete el compromiso externo.
Las empresas en las que el equipo ejecutivo necesita ver al líder cada día, o en las que cada decisión requiere su presencia, no son empresas vCISO. Son empresas de CISO interno y conviene decírselo.
Condición 3 · La economía favorece de verdad la dedicación fraccional
Un CISO interno mediano totalmente cargado (salario, cotizaciones, equipamiento, formación) es un coste fijo relevante en la cuenta de resultados. Un encargo vCISO a 3 días/mes a tarifas típicas de boutique mediana es una fracción de ese coste fijo, cuyo tamaño depende del alcance del encargo. No publicamos cifras en este artículo porque la proporción realista depende genuinamente de la ubicación, el nivel de seniority y la intensidad del encargo. La prueba honesta es comprobar si el alcance vCISO propuesto y el alcance del CISO interno propuesto son comparables; si lo son, el encargo fraccional sale claramente delante en coste.
Si el trabajo cabe genuinamente en 3-5 días/mes, la economía favorece al vCISO. Si el trabajo se ha comprimido a 3 días/mes porque el presupuesto no daba para más, la empresa paga por un líder y recibe un consultor parcial. Es lo peor de ambos mundos.
Cuándo un CISO interno es la respuesta correcta
La imagen reflejada de lo anterior. Un CISO interno es la respuesta cuando se da uno o más de los siguientes casos:
Razón 1 · La carga regulatoria justifica presencia diaria
Las entidades esenciales NIS2 en sectores con diálogo regulatorio continuo (energía, sanidad, infraestructura financiera) tienden a necesitar un líder en sala cada día. El reloj de notificación, las conversaciones con el supervisor y las obligaciones sectoriales no encajan cómodamente en una cadencia de 3 días/mes.
Razón 2 · La empresa está en una operación M&A
Una empresa que se prepara para ser adquirida o que adquiere otras necesita un CISO que pueda estar en due diligence, planificación de integración y consolidación posadquisición. Esas actividades son intensivas en calendario y exigen continuidad. Un vCISO puede apoyar; el líder nombrado de la función durante una transacción debe ser interno.
Razón 3 · El programa de ciberseguridad ya está maduro
Si la empresa tiene un programa bien documentado, un equipo estable de 3-8 personas y el trabajo está dominado por mejora continua y excelencia operativa, un CISO interno liderando y desarrollando equipo es mejor inversión que un líder externo rotando fraccionalmente.
Razón 4 · La cultura premia la rendición visible
En algunas culturas de empresa el líder de ciberseguridad necesita estar en cada lanzamiento de producto, cada onboarding de cliente, cada revisión de arquitectura. No es mala cultura; es un modelo operativo específico. Un vCISO no encajará con él.
Cuándo ninguno de los dos es la respuesta
Hemos aconsejado, en un puñado de ocasiones, a empresas que aún no necesitaban un CISO. Los criterios para el "aún no" son estrechos: la empresa es pequeña (menos de 50 empleados), la exposición regulatoria es realmente baja, la sensibilidad de los datos es realmente baja y hay un líder TIC sénior que puede llevar la función ciber como parte de su rol con asesoría externa sobre temas específicos.
Esta es la conversación honesta que algunas boutiques no van a tener, porque cada conversación que dejan pasar es ingreso perdido. Nosotros la dejamos pasar cuando es lo correcto. Sucede.
El modelo híbrido y por qué suele fallar
Un patrón frecuente es el híbrido: un líder interno de ciberseguridad de seniority media y un vCISO sénior por retainer para estrategia y relación con el consejo. Sobre el papel combina lo mejor. En la práctica funciona en dos escenarios y falla en muchos otros.
Funciona cuando los roles están separados nítidamente (el interno lleva operaciones y respuesta, el vCISO lleva estrategia y consejo) y cuando hay respeto mutuo y reglas de escalado claras.
Falla cuando la frontera es difusa, cuando el interno resiente la autoridad del vCISO sobre el acceso al consejo o cuando el consejo no sabe quién es responsable de una decisión concreta. Lo hemos visto fallar caro en tres encargos en los que entramos como sustitutos.
Marco de decisión en una página
| Pregunta | Si sí, hacia vCISO | Si sí, hacia CISO interno |
|---|---|---|
| El programa está en construcción o reestructuración | Sí | |
| El programa está en operación estable | | Sí |
| 3-5 días/mes encajan genuinamente en el trabajo | Sí | |
| El trabajo exige presencia diaria | | Sí |
| El sector tiene diálogo regulatorio continuo | | Sí |
| El sector es B2B con regulación moderada | Sí | |
| La empresa está en operación M&A | | Sí |
| La empresa tiene equipo de seguridad estable de 3+ | | Sí |
| La empresa tiene equipo de seguridad de 0-1 personas | Sí | |
| El presupuesto sostiene de verdad la dedicación fraccional | Sí | |
| El presupuesto se comprimió para encajar la tarifa fraccional | | Sí |
| La cultura del consejo acepta un líder no residente | Sí | |
| La cultura del consejo exige líder residente | | Sí |
Si su recuento tira fuerte hacia un lado, la decisión está hecha. Si se reparte, la conversación es más matizada y probablemente requiere una perspectiva externa sin interés comercial en la respuesta.
> "Hemos perdido encargos vCISO con empresas que tras nuestra conversación diagnóstica contrataron un CISO interno. No los contamos como pérdidas. Los contamos como encargos bien colocados." — Revisión interna IBL, 2026
Qué hacemos en IBL
Ofrecemos vCISO en tres intensidades: 1 día/mes (solo gobierno ligero), 3 días/mes (alcance típico mediano) y 5 días/mes (con semanas pico durante auditorías e incidentes). Rechazamos encargos en los que creemos que un CISO interno es la respuesta correcta; en esos casos podemos ayudar con la búsqueda y la definición del rol por una tarifa puntual.
Si quiere conversar sobre si un vCISO encaja en su empresa, escriba a [email protected]. Respondemos en un día hábil.
---
Ibida Black Level S.L. es una consultora boutique de ciberseguridad con sede en Málaga y equipo operativo en Rumanía. Trabajamos con empresas medianas europeas que prefieren la honestidad técnica al envoltorio comercial. Fuimos fundados en 2026; no inventamos una historia más larga.
Lectura relacionada
- Programas de concienciación que sí funcionan: 5 métricas que dejan de ser teatro (cluster Q4)
- Tier-1 frente a tier-2 en proveedores de ciberseguridad: cómo elegir según su tamaño
- Autoevaluación NIS2: 25 preguntas para saber si su empresa cumple (cluster pillar Q3)
Etiquetas: vciso, liderazgo, empresa-mediana, marco-decisión, gestión-ciberseguridad, gobierno