Analizando los nombramientos de nuevos CISOs publicados por esta revista en la última década, se repite con frecuencia el hecho de que el nuevo fichaje procede de un puesto similar dentro del mismo sector. En alguna ocasión es el resultado de una promoción interna, y, muy raramente, vemos incorporaciones procedentes de otra industria.

Veo dos principales razones para esta “sectorización de facto” de los roles de gestión de ciberseguridad. La primera es la amplia regulación existente en algunos sectores, como el sector financiero, próximamente impactado, por ejemplo, por DORA, la legislación europea de resiliencia operacional, o el mundo de las infraestructuras críticas nacionales, ligado a regulaciones como NIS2. Los expertos en seguridad con experiencia en el cumplimiento de estas regulaciones están mejor posicionados para seguir en dichos sectores.

La segunda razón es el conocimiento del negocio. Este argumento priorizaría naturalmente las promociones internas dentro de una misma empresa. Nadie mejor que un interno que “conozca la casa” para poder desarrollar una estrategia compatible con el consejo de dirección actual. Sin embargo, observamos que es más común el fichaje de un externo dentro del mismo sector que el de un interno. Estaría encantado de ser refutado con cifras reales y evidencias más científicas que el ejercicio de repasar los nombramientos reseñados por esta publicación. Quizás un estudio más detallado proporcione otras conclusiones.

Desde esta columna, mis irreverentes cavilaciones proponen un cambio de paradigma: si al buscar una nueva gestora, nuestro objetivo es encontrarla dentro del mismo sector, probemos a promocionar dentro de nuestras filas internas. Si, por el contrario, nos atrae más contratar a alguien externo, atrevámonos y contratemos profesionales de la ciberseguridad que trabajen en otros sectores muy distintos. A largo plazo, esta decisión puede ser un gran motor de innovación.