Gobernar también es proteger.

Por Raúl González, Socio-director de Risk, Governance & Compliance. 

La ciberseguridad ha dejado de ser un asunto exclusivo del área de sistemas. Hoy, constituye una prioridad estratégica que debe integrarse a la gobernanza organizacional. En Ecuador, por ejemplo, los ciberataques aumentaron un 30 % durante 2024. El país ocupa el tercer lugar en América Latina con mayor nivel de riesgo, con un incremento del 4,9 % respecto al año anterior y una tasa de exposición del 51,9 %. Estas cifras reflejan una tendencia regional que exige respuestas decididas desde la alta dirección.

Hace poco, en una conversación con un alto ejecutivo de una reconocida organización, coincidimos en una preocupación que se ha vuelto cada vez más evidente: muchas juntas directivas aún no dimensionan con claridad los riesgos cibernéticos a los que están expuestas sus empresas. En un entorno profundamente digitalizado, esta falta de visión puede tener consecuencias directas sobre la continuidad operativa, la reputación corporativa y la confianza de clientes, socios e inversionistas.

Para afrontar este escenario, las juntas directivas deben asumir un rol activo en la supervisión y gestión del ciber riesgo. No basta con delegar esta responsabilidad. Es necesario establecer una colaboración estructurada con el CISO, desarrollar mecanismos formales de gobernanza y promover una cultura organizacional resiliente. 

Acciones concretas desde el directorio 

Además, es fundamental establecer un canal de comunicación directo y regular con el CISO. La participación de este rol en las reuniones del directorio permite informar sobre amenazas emergentes, incidentes recientes, brechas regulatorias y niveles de preparación ante potenciales ataques. Si bien la frecuencia puede variar según el tamaño y naturaleza de la organización, se recomienda una periodicidad mínima trimestral. 

También se debe promover la capacitación continua de los miembros del directorio. Comprender las tendencias en ciberseguridad, los riesgos asociados a nuevas tecnologías y las implicaciones de cumplimiento normativo es esencial para una supervisión efectiva. 

La junta directiva, como órgano de gobierno, debe liderar además iniciativas que promuevan la concienciación en todos los niveles de la organización, garantizar que existan planes actualizados de gestión de incidentes, y asegurar el cumplimiento de las normativas de protección de datos. La privacidad de la información y la innovación tecnológica deben ser vistas no solo como desafíos, sino como oportunidades para fortalecer la confianza y la ventaja competitiva. 

Una agenda estratégica con el CISO 

Uno de los pasos sugeridos a seguir es la conformación de un comité especializado en ciberseguridad. Según proyecciones de Gartner, para 2025 el 40 % de las juntas directivas en el mundo habrán creado comités dedicados a supervisar este ámbito. Esta tendencia responde a la necesidad de abordar la ciberseguridad como un tema transversal, que afecta tanto a la operación como a la reputación corporativa. 

La participación del directorio en la gestión de la ciberseguridad no debe ser simbólica ni reactiva. Requiere estructura, conciencia, y una colaboración estrecha con quienes lideran la seguridad desde lo técnico. Solo así se podrán tomar decisiones oportunas que protejan los activos más críticos de la organización frente a un entorno cada vez más incierto. 

Las reuniones entre el CISO y la alta dirección deben enfocarse en temas como: 

• Presentación de resumen actualizado del panorama de amenazas, tanto globales como del sector. 

• Evaluación de la efectividad de las medidas implementadas. 

• Revisión de incidentes recientes y aprendizajes derivados. 

• Estado del cumplimiento regulatorio y nuevas obligaciones legales. 

• Evaluación del presupuesto de seguridad en relación con el nivel de riesgo. 

• Validación y actualización de los planes de respuesta y continuidad operativa. 

Actualmente, a nivel global, el 83 % de los CISOs ya participa de forma periódica en reuniones del directorio. Este dato refleja una evolución en la comprensión del ciber riesgo como un tema de agenda estratégica. 

La ciberseguridad contribuye de forma directa a la sostenibilidad y al desempeño de las organizaciones en el entorno digital actual. La participación activa de la alta dirección permite incorporar la seguridad de la información en la estrategia corporativa, fortaleciendo la cultura organizacional resiliente y preparada para enfrentar amenazas cibernéticas. Una comunicación fluida con el CISO y la gestión anticipada de los riesgos permiten al directorio proteger los activos clave de la empresa, mantener la confianza de clientes y socios, y asegurar la continuidad operativa dentro del marco normativo vigente.