En el pasado, la seguridad de la información en las organizaciones se administraba desde los departamentos de tecnología, sin incluirse en las conversaciones estratégicas de los consejos de dirección. Sin embargo, este enfoque ha cambiado radicalmente.
En el actual contexto geopolítico y con el avance acelerado de la digitalización, las empresas se enfrentan a una exposición a riesgos cada vez más sofisticados y globales. Hoy en día, cualquier compañía (independientemente de su tamaño o sector) está sujeta a consecuencias que van más allá del ámbito técnico: los ciberataques pueden generar impactos reputacionales, legales, económicos e incluso amenazar su propia supervivencia.
Una obligación normativa que impulsa el cambio
La Directiva NIS2 marca un antes y un después en la gestión de la ciberseguridad corporativa. Por primera vez, los consejos de administración y la alta dirección serán responsables de garantizar la seguridad digital. Este mandato no trata solo de evitar sanciones económicas significativas (que pueden alcanzar hasta el 2 % de la facturación global o hasta 10 millones de euros), sino también fomentar un papel activo en la gestión del ciberriesgo.
La directiva exige que los consejeros estén informados, capacitados y participen activamente en la toma de decisiones en materia de seguridad. Este cambio normativo refuerza la tendencia observada en informes recientes. Por ejemplo, el Instituto Nacional de Ciberseguridad (INCIBE) reportó más de 96.000 incidentes en España en 2024, lo que representa un incremento del 15 % en comparación al año anterior.
Seguridad como ventaja competitiva: ¿está preparado su consejo?
Las compañías más resilientes han entendido que la ciberseguridad no es un costo, sino una inversión. Están incorporando la seguridad en el diseño de sus procesos, productos y servicios. También están formando a sus directivos, revisando sus planes de continuidad y, muy especialmente, están incorporando perfiles expertos en seguridad de la información en sus órganos de gobierno.
“La ciberseguridad ya no es únicamente un asunto técnico, es una cuestión decisiva que requiere liderazgo”
Un consejo de administración que lidere la estrategia de seguridad proyecta robustez, confianza y transparencia frente inversores, clientes y socios. Los interrogantes que deberían plantearse incluyen:
- ¿Existe una estrategia de seguridad alineada con los objetivos de negocio?
- ¿Se han protegido los activos y procesos críticos de la organización?
- ¿Dispone el consejo de información acerca de los riesgos actuales y emergentes?
- ¿Reciben los consejeros formación para entender el contexto de amenazas?
- ¿Cómo se mide y reporta la efectividad de las políticas de ciberseguridad al consejo?
Si todavía no se han tenido en cuenta algunos de estos factores, es momento de meditar: la ciberseguridad ya no es únicamente un asunto técnico, es una cuestión decisiva que requiere liderazgo.
En conclusión, la ciberseguridad se ha transformado en un componente fundamental de la estrategia corporativa. Evolucionar lo táctico a estratégico significa ir más allá de la protección de sistemas: implica construir confianza, prestigio y resiliencia.
Contar con una estrategia de negocio se da por sentado. ¿Por qué no ocurre lo mismo con la de seguridad? La verdadera pregunta es: ¿está su consejo preparado para transformar la seguridad en una ventaja competitiva?
