El panorama global de los CISO: una brecha de liderazgo demasiado grande como para ignorarla

El Informe CISO 2026, que Cybersecurity Ventures publicó en colaboración con Sophos, señala un desequilibrio crítico en el liderazgo global en ciberseguridad. A pesar de décadas de avances y de la adopción casi universal del puesto de CISO en las organizaciones de la lista Fortune 500 y Global 2000, todavía solo hay 35 000 CISO en todo el mundo que atienden a unos 359 millones de empresas.

Como señala Joe Levy, CEO de Sophos, en el informe, ese desequilibrio representa una proporción de 10 000:1 entre empresas y CISO: «No son buenas cifras. Se trata de un fallo del mercado. [El ecosistema de la ciberseguridad] no ha sabido cómo abordar esta brecha. Ahora tenemos el potencial para hacerlo».

Para las grandes organizaciones, el papel del CISO se ha convertido en algo fundamental para la gestión de riesgos y la continuidad operativa. Para todos los demás, especialmente las pymes, la ausencia de liderazgo al nivel de CISO ha abierto una brecha de vulnerabilidad cada vez mayor.

Conclusiones clave del Informe CISO 2026

• La brecha de liderazgo de los CISO: se estima que 35 000 CISO en todo el mundo dan servicio a unos 359 millones de empresas, una proporción de 10 000:1 que crea una brecha de liderazgo global.
• Aumento de los costes de los ciberataques: se prevé que la ciberdelincuencia cueste 12,2 billones de dólares al año para 2031, lo que hace que la toma de decisiones a nivel de CISO sea esencial para organizaciones de cualquier tamaño.
• El estrés de ser un CISO: los CISO internos se enfrentan a una presión abrumadora y el 75 % se plantea cambiar de trabajo, lo que pone de relieve la fragilidad de los modelos de seguridad actuales.
• Soluciones emergentes: los MSP y los MSSP son una forma eficaz de ampliar el liderazgo en seguridad a las empresas desatendidas.

Por qué las capacidades de los CISO importan más que nunca

Este nuevo informe sitúa la brecha de liderazgo de los CISO en el contexto de un entorno de amenazas en rápida escalada. Se prevé que los costes de la ciberdelincuencia alcancen los 12,2 billones de dólares anuales en 2031, duplicando los niveles de 2021.

Cybersecurity Ventures prevé que solo el ransomware costará a las víctimas 74 000 millones de dólares en 2026, ascendiendo a 275 000 millones de dólares anuales en 2031, con estimaciones que indican que los atacantes lanzan una nueva campaña cada dos segundos.

Las consecuencias para las organizaciones sin supervisión experta son graves. Según el informe, las empresas sin un CISO se enfrentan a un «agujero de seguridad enorme», lo que las deja expuestas a pérdidas financieras, interrupciones operativas y daños a su reputación.

La toma de decisiones a nivel de CISO implica definir la postura de riesgo de una organización, dirigir las inversiones en seguridad hacia las prioridades adecuadas y prepararse para amenazas como vulnerabilidades en la cadena de suministro, ataques impulsados por IA y ransomware en rápida evolución.

Las pymes están desproporcionadamente expuestas y con demasiada frecuencia no puede permitírselo

Si los retos son enormes para las grandes empresas, son aún más graves para las pequeñas empresas. El Foro Económico Mundial estima que el 90 % de todas las empresas del mundo son pequeñas empresas, pero «prácticamente ninguna» cuenta con un responsable de seguridad dedicado, según el Informe CISO 2026.

El informe refuerza lo que vemos en todo el sector: la mayoría de las pymes no pueden permitirse un CISO a tiempo completo, cuya remuneración suele oscilar entre 250 000 y 400 000 dólares al año. Los CISO virtuales (también conocidos como vCISO) son una posible solución. Se trata de expertos en seguridad subcontratados que proporcionan liderazgo de nivel ejecutivo de forma remota.

Aunque los vCISO o los modelos fraccionados ofrecen un respiro, no están diseñados para atender a los cientos de millones de organizaciones que ahora se enfrentan a amenazas de nivel empresarial.

«El reto de las ofertas de vCISO en el mercado actual es que la capacidad humana no se puede ampliar infinitamente», afirma Raja Patel, presidente de Producto y Marketing de Sophos, en el informe.

Las pymes también se enfrentan a graves repercusiones por los ciberataques. Cuatro de cada cinco pequeñas empresas sufrieron una brecha de seguridad en 2025, y muchas tardan 24 horas o más en recuperarse. Más de un tercio de esas empresas reportan pérdidas superiores a 500 000 dólares, lo que supone una crisis para la mayoría de las organizaciones de ese tamaño.

Las pymes necesitan liderazgo al nivel de un CISO tanto como las grandes empresas, pero el modelo tradicional no les permite alcanzarlo.

Los CISO internos tienen dificultades para seguir el ritmo

Para las organizaciones que sí cuentan con un CISO, sigue habiendo limitaciones en su capacidad para hacer malabarismos con las exigencias del puesto. El agotamiento es endémico: el 75 % de los responsables de seguridad se plantean cambiar de trabajo y el 99 % hace horas extras cada semana.

La exposición legal también está aumentando. Varios casos recientes han enfrentado a los CISO a responsabilidades personales por violaciones de seguridad, lo que aumenta la presión sobre un puesto y un sector ya caracterizados por un alto nivel de estrés y recursos limitados. La permanencia media de un CISO, que según el informe se sitúa entre 18 y 26 meses según múltiples estimaciones del sector, refleja lo insostenible que se ha vuelto este puesto en muchas organizaciones.

A esto se suma la escasez global de talento en ciberseguridad. Solo en EE. UU. hay más de 500 000 puestos de ciberseguridad sin cubrir, y la brecha a nivel mundial alcanza los millones. Incluso las organizaciones que cuentan con CISO pueden no tener la capacidad suficiente para ejecutar sus estrategias de seguridad de manera efectiva.

Por qué los MSP y los MSSP se perfilan como la mejor solución

El informe señala una solución clara que está surgiendo en todo el sector: los proveedores de servicios gestionados (MSP) y los proveedores de servicios de seguridad gestionados (MSSP) pueden ser el multiplicador de fuerzas para el liderazgo en seguridad.

Estos proveedores ya gestionan la columna vertebral operativa de la seguridad de muchas empresas, y su proximidad a los entornos de los clientes, junto con su capacidad para ofrecer servicios 24/7, los coloca en una posición única para extenderse a la gobernanza, la supervisión y la toma de decisiones estratégicas de seguridad.

Como afirma el informe: «Al igual que la detección y respuesta gestionadas (MDR) demostraron que las operaciones de seguridad se escalan mejor a través de los servicios, el liderazgo en seguridad se escala mejor a través de los partners».

Levy se hace eco de esto en una visión más amplia del futuro del sector: «Tenemos la oportunidad de crear la próxima generación de MSP y MSSP a través de este modelo híbrido en el que humanos y agentes trabajan juntos... para cientos de millones de empresas que, de otro modo, no tendrían acceso a ello».

Cómo Sophos CISO Advantage cubre el vacío de liderazgo

Para ayudar a abordar la escasez global de experiencia en CISO, Sophos adquirió Arco Cyber a principios de este año para crear CISO Advantage, un conjunto de capacidades diseñadas para llevar el conocimiento, el criterio y la disciplina de los líderes de seguridad de primer nivel a cualquier organización, tenga o no un CISO dedicado.

CISO Advantage permite a los proveedores ofrecer gobernanza, cumplimiento normativo y gestión estratégica de riesgos. El servicio se adapta a organizaciones de cualquier nivel de madurez, desde pymes con recursos limitados hasta entornos empresariales complejos.

Sophos trabaja para democratizar el acceso al liderazgo de nivel CISO y garantiza que la orientación estratégica, tradicionalmente reservada a las empresas más grandes, resulte accesible para millones de otras empresas.

El Informe CISO 2026 muestra que las organizaciones ya no pueden confiar en los modelos tradicionales de liderazgo en seguridad para seguir el ritmo de la escala y la sofisticación de las amenazas actuales. Tanto si eres una gran empresa que se enfrenta al agotamiento y a la escasez de talento, como si eres una pyme que intenta proteger su negocio sin recursos específicos, la necesidad de una orientación a nivel de CISO adaptable y escalable nunca ha sido tan urgente. Para comprender plenamente las tendencias que están redefiniendo el riesgo cibernético y entender cómo están respondiendo empresas como la tuya descarga el informe completo.