La ciberseguridad ha dejado de ser un asunto técnico. Es un riesgo corporativo que los consejos de administración deben supervisar de forma directa y periódica. Cuando se produce un incidente, las consecuencias no se limitan a los sistemas informáticos: activan obligaciones de notificación, implican a reguladores, exponen a la organización a litigios y pueden derivar en responsabilidad personal de los directivos.
Este artículo explica por qué la ciberseguridad es una prioridad de gobierno corporativo y qué papel corresponde al consejo de administración en su gestión.
¿Qué significa la ciberseguridad en el gobierno corporativo?
La ciberseguridad en el gobierno corporativo es el conjunto de políticas, estructuras y mecanismos de supervisión que el consejo de administración establece para gestionar el riesgo digital de la organización. Incluye la definición del nivel de riesgo aceptable, la supervisión de los controles implantados, la garantía de cumplimiento normativo y la rendición de cuentas ante incidentes.
El Código de Buen Gobierno de la CNMV establece que la aprobación de una política de control y gestión de riesgos es una facultad indelegable del consejo, e incluye expresamente los riesgos tecnológicos entre los que deben identificarse y gestionarse.
El consejo no gestiona la ciberseguridad operativamente. Pero sí tiene la responsabilidad de garantizar que la organización cuenta con los recursos, los procesos y los controles adecuados para protegerse.
El marco regulatorio: NIS2 y DORA
Dos normativas europeas han transformado el tratamiento de la ciberseguridad en el gobierno corporativo:
Directiva NIS2
La Directiva (UE) 2022/2555 sobre seguridad de las redes y sistemas de información, conocida como NIS2, establece que los órganos de dirección de las entidades esenciales e importantes son directamente responsables del cumplimiento de las obligaciones de ciberseguridad. Su transposición al derecho nacional debía completarse antes de octubre de 2024.
Las implicaciones para los consejos son concretas:
- Los órganos de dirección deben aprobar y supervisar las medidas de gestión de riesgos de ciberseguridad.
- Deben seguir formación específica en ciberseguridad con regularidad.
- Pueden ser considerados personalmente responsables ante incumplimientos. Las sanciones para entidades esenciales pueden alcanzar los 10 millones de euros o el 2% del volumen de negocio mundial anual.
- Las entidades deben notificar los incidentes significativos a las autoridades competentes en un plazo máximo de 24 horas desde su detección.
DORA
El Reglamento DORA, en vigor desde enero de 2025 para el sector financiero, amplía estas obligaciones con requisitos específicos sobre la gestión de riesgos TIC, la resiliencia operativa, la notificación de incidentes y la supervisión de proveedores tecnológicos críticos. En este caso, la responsabilidad del consejo es también directa e intransferible.
Las amenazas más relevantes para el consejo
El panorama de amenazas evoluciona, pero algunas categorías concentran la mayor parte de los incidentes. Según el Informe de Amenazas de ENISA 2024, los ataques más frecuentes contra organizaciones europeas son:
- Ransomware: cifrado de sistemas y datos a cambio de rescate. Los ataques se han vuelto más selectivos y dirigidos a infraestructuras críticas.
- Phishing e ingeniería social: suplantación de identidad para obtener credenciales. Los consejeros y ejecutivos son objetivos prioritarios por el acceso privilegiado que tienen a información sensible.
- Ataques a la cadena de suministro: compromiso de proveedores TIC para acceder a sus clientes.
- Compromisos de datos en la nube: accesos no autorizados a repositorios documentales y plataformas colaborativas.
El coste medio de una brecha de seguridad alcanzó los 4,88 millones de dólares a nivel global en 2024, según el informe de IBM, su cifra más alta hasta la fecha. Las brechas que afectan a datos sensibles del consejo o de la alta dirección tienen un coste reputacional adicional que las estadísticas no capturan completamente.
La responsabilidad del consejo en materia de ciberseguridad
El consejo de administración no puede delegar íntegramente la responsabilidad de la ciberseguridad en el equipo técnico. Su papel específico incluye:
- Supervisión estratégica. El consejo debe recibir información periódica y comparable sobre el estado de la ciberseguridad de la organización: métricas de incidentes, resultado de las auditorías, estado de los planes de respuesta y nivel de dependencia de proveedores TIC críticos.
- Aprobación de políticas. La política de gestión de riesgos tecnológicos, incluyendo el nivel de riesgo aceptable y los planes de continuidad, debe ser aprobada formalmente por el consejo.
- Formación. NIS2 exige que los miembros del órgano de dirección sigan formación específica en ciberseguridad. El objetivo no es convertirlos en expertos técnicos, sino dotarles del criterio necesario para supervisar con rigor y formular las preguntas correctas.
- Respuesta ante incidentes. El consejo debe conocer el plan de respuesta y saber cuándo y cómo se activará su implicación directa.
El papel del CIO y el CISO en la gobernanza de la ciberseguridad
El Director de Sistemas de Información (CIO) y el Responsable de Seguridad de la Información (CISO) son los interlocutores técnicos del consejo en materia de ciberseguridad. Su función incluye:
- Traducir el panorama de riesgos técnicos en información accionable para el consejo.
- Implantar y mantener los controles de seguridad operativos.
- Diseñar y ejecutar los planes de respuesta ante incidentes.
- Mantener la vigilancia sobre las amenazas emergentes y los cambios en el entorno normativo.
El CIO y el CISO no sustituyen la supervisión del consejo: la facilitan. Un consejo que recibe información clara y estructurada de sus responsables técnicos puede tomar decisiones mejor fundamentadas y ejercer una supervisión más efectiva.
Lo que el consejo debe supervisar: lista de comprobación
| ÁREAS | PREGUNTAS CLAVE PARA EL CONSEJO |
| Política de riesgos TIC | ¿Está aprobada y actualizada? ¿Recoge el nivel de riesgo aceptable? |
| Incidentes | ¿Cuántos incidentes se han producido? ¿Cuál fue el tiempo de respuesta y el impacto? |
| Proveedores TIC | ¿Están identificados los proveedores críticos? ¿Se supervisan periódicamente? |
| Plan de respuesta | ¿Existe y está probado? ¿Sabe el consejo cuándo se le implica? |
| Formación | ¿Han recibido los consejeros formación específica en ciberseguridad? |
| Comunicaciones del consejo | ¿Los canales de comunicación interna del consejo son seguros? |
| Cumplimiento normativo | ¿Se cumplen los plazos de notificación de NIS2 o DORA según el sector? |
Herramientas de gobierno para una ciberseguridad efectiva
Las comunicaciones del consejo de administración contienen información de alto valor: órdenes del día, documentos estratégicos, posiciones ante operaciones corporativas o litigios. Si esos canales no son seguros, se convierten en un vector de ataque.
El módulo de Gestión de Consejos de la Suite DiliTrust está certificado bajo ISO 27001 y cumple con el RGPD. Los documentos se cifran en reposo con AES-256 y en tránsito con TLS. El acceso se controla mediante autenticación de doble factor y permisos granulares. Todas las acciones quedan registradas en una pista de auditoría completa, disponible para revisiones regulatorias.
Para conocer más sobre cómo reforzar la ciberseguridad del consejo con medidas prácticas, puede consultar también este artículo.
Los retos del Secretario General en materia de ciberseguridad incluyen garantizar que el consejo recibe métricas comparables y periódicas, y que las comunicaciones del órgano están protegidas en todo momento.
La ciberseguridad del consejo es también ciberseguridad de la empresa
Un consejo bien informado en materia de ciberseguridad toma mejores decisiones, supervisa con más criterio y responde con mayor rapidez ante los incidentes. La normativa europea convierte esta supervisión en una obligación formal. La tecnología adecuada hace que sea práctica y sostenible.
Descubra cómo la Suite DiliTrust protege las comunicaciones y documentos del consejo con los estándares de seguridad más exigentes.
