← Tornar al blog

Què és un vCISO i per què la teva pime en necessita un

2026-06-01 · vCISO · pimes · governança

Què és un vCISO i per què la teva pime en necessita un

La majoria de pimes tenen la seguretat que un atacant es troba, no la que es pensen que tenen. Hi ha un informàtic (intern o extern) que manté els sistemes en marxa, potser un antivirus i còpies de seguretat — però ningú que es faci responsable de la seguretat: ningú que sàpiga què hi ha exposat a internet, què s’hauria d’arreglar primer, o què respondre quan un client gran envia un qüestionari de seguretat de 80 preguntes.

Aquesta figura, a les grans empreses, és el CISO (Chief Information Security Officer). El problema és el sou: un CISO en plantilla costa una xifra de sis dígits l’any, i una empresa de 15 o 50 persones ni el pot pagar ni el tindria ocupat a jornada completa.

Un vCISO (virtual CISO) és exactament això: la direcció de seguretat com a servei, amb la dedicació que la teva empresa necessita.

Què fa un vCISO, en concret

No és consultoria per hores ni un informe puntual que es queda en un calaix. És una funció contínua:

Per què ara interessa a una pime

Fa cinc anys, una empresa de 30 treballadors podia viure d’esquena a tot això. Avui hi ha tres pressions que ho han canviat:

  1. La regulació ha baixat de mida d’empresa. La directiva NIS2 arrossega obligacions de gestió del risc a milers de pimes (directament o com a proveïdores d’empreses obligades), i l’ENS afecta qui treballa amb el sector públic.
  2. Els teus clients t’auditen. Cada cop més contractes venen amb qüestionari de seguretat o due diligence. No poder respondre’l bé costa vendes.
  3. La ciberassegurança ja no és un tràmit. Les asseguradores exigeixen controls concrets (MFA, còpies, resposta a incidents) i n’exigeixen evidència per assegurar-te o renovar-te la pòlissa.

A això cal sumar-hi el motiu de sempre: els atacants automatitzen, i una pime exposada és un objectiu tan vàlid com una gran empresa — amb menys capacitat d’absorbir l’impacte.

Com saber si el necessites

Tres preguntes ràpides:

Si la resposta a alguna d’aquestes és “ningú” o “l’informàtic, suposo”, tens la funció descoberta.

El model que defensem

A CynderLab creiem que per a una pime aquesta funció ha de ser contínua, sistemàtica i de quota fixa: monitorització permanent del que tens exposat, revisió humana de les troballes, un pla a 12 mesos i seguiment trimestral amb gerència. Sense informes de 200 pàgines que ningú llegeix, i sense sorpreses a la factura.

Si vols saber com es concretaria a la teva empresa, escriu-nos a hola@cynderlab.com i t’ho expliquem sense compromís.