La ciberseguridad ya no se limita a las tecnologías de la información. Genera riesgos normativos, consecuencias para la reputación y responsabilidad a nivel directivo. Por lo que cada incidente cibernético se convierte rápidamente en un asunto legal. No porque el departamento jurídico gestione la infraestructura, sino porque la ciberseguridad está ahora en el centro de la gobernanza.
Durante años, la ciberseguridad se enmarcó en un requisito técnico dirigido por los CIO y los CISO. Se centraba en sistemas, controles y planes de respuesta. Este enfoque ya no refleja la realidad. Hoy en día, un incidente cibernético desencadena inmediatamente una reacción en cadena:
En resumen, cuando el impacto se extiende a toda la empresa, la responsabilidad no puede recaer únicamente en el departamento de IT.
La ciberseguridad y el Derecho están conectados a través de la gobernanza
En un reciente artículo de liderazgo intelectual sobre la gobernanza de la información, Rupali, responsable de experiencia jurídica y alianzas en Norteamérica de DiliTrust, hizo una observación crítica: las empresas no funcionan con datos. Funcionan con inteligencia. Y la inteligencia depende de la disciplina, la estructura y la responsabilidad.
Pues bien, la ciberseguridad opera dentro de ese mismo principio. Porque los controles de seguridad sólo son tan sólidos como el entorno de información que protegen. Si una organización no comprende qué datos posee, dónde residen, a quién pertenecen o por qué se conservan, ninguna sofisticación técnica puede eliminar la exposición.
No se puede proteger lo que no se comprende.
R
Aquí es donde la ciberseguridad y el ámbito jurídico se cruzan. El liderazgo jurídico aporta visibilidad sobre las obligaciones de privacidad, novedades normativas, compromisos contractuales y riesgos de litigios. Esta perspectiva empresarial es esencial en un panorama de amenazas marcado por los constantes cambios tecnológicos y el creciente control.
La ciberseguridad sin gobernanza es reactiva. La ciberseguridad alineada con el liderazgo jurídico se convierte en defendible.
Por qué ha cambiado: los ciberriesgos son riesgos para el valor de la empresa
El paso de la preocupación técnica al imperativo de la gobernanza ya está en marcha.
Los analistas del sector de Gartner identificaron la transformación de la gobernanza como un tema estratégico determinante en su informe Top Trends in Cybersecurity for 2026 (Principales tendencias en ciberseguridad para 2026). Ese cambio refleja una realidad más amplia: las organizaciones ahora evalúan el riesgo cibernético en términos que los ejecutivos y los consejos entienden mejor, es decir, el valor para los accionistas*. El informe indica que el 93% de los consejeros considera el ciber riesgo una amenaza para el valor de los accionistas. Y el 98% espera que esa amenaza aumente en los próximos dos años.
Hoy en día, los consejos de administración ya no preguntan si los cortafuegos están actualizados. La atención se ha desplazado a la supervisión eficaz y la defensa de la exposición.
Además, los reguladores están aumentando las expectativas. Las nuevas normativas imponen plazos estrictos para la presentación de informes y amplían la responsabilidad de los ejecutivos. Una vez más, esto demuestra que, en el entorno actual, las decisiones en materia de ciberseguridad acarrean consecuencias jurídicas.
La tecnología emergente amplía la exposición jurídica
A medida que las nuevas tecnologías se imponen en el lugar de trabajo, esta interdependencia entre datos y seguridad se hace aún más visible con la inteligencia artificial.
Al mismo tiempo, las organizaciones están desplegando rápidamente la IA generativa, a menudo antes de que los modelos de gobernanza estén totalmente maduros. Los empleados experimentan con herramientas que procesan información sensible al margen de la supervisión formal, lo que crea riesgos. Con las nuevas tecnologías, los datos también fluyen en diferentes direcciones a través de los sistemas. Y esto dificulta su supervisión y control.
En algún momento de la historia, estas cuestiones se consideraron problemas puramente de seguridad, pero hoy plantean cuestiones más amplias:
El departamento jurídico ocupa una posición estratégica para definir los límites dentro de los cuales debe gestionarse ese riesgo.
Por lo tanto, la ciberseguridad y el departamento jurídico deben funcionar como uno solo y gestionar conjuntamente los riesgos de la empresa. De lo contrario, los esfuerzos de seguridad pueden reducir las vulnerabilidades técnicas dejando intacta la exposición normativa y contractual.
El papel del liderazgo jurídico en la estrategia de ciberseguridad
Replantear la ciberseguridad como una responsabilidad compartida no resta importancia al CIO o al CISO sino que reconoce una tendencia más amplia: que la resiliencia de la empresa requiere un liderazgo integrado.
La dirección jurídica desempeña un papel fundamental a la hora de determinar la propensión al riesgo, alinear la estrategia cibernética con las obligaciones normativas y garantizar que las prácticas de datos sean defendibles. El director jurídico está en una posición única para conectar la ciberseguridad con la gobernanza, la supervisión del consejo y la responsabilidad corporativa.
Tal y como lo describe Rupali Patel, la gobernanza de la información es un modelo operativo empresarial más que una política única; la ciberseguridad debe entenderse del mismo modo. En última instancia, la ciberseguridad no es un programa o preocupación técnica independiente, sino que forma parte de la arquitectura de riesgos más amplia de la organización.
Fuentes:
* Principales tendencias en ciberseguridad para 2026, 14 de enero 2026- ID G00840672
