▷ Sabiduría semanal que puedes leer en pocos minutos. Añade nuestra revista gratuita a tu bandeja de entrada. Lee gratis nuestras revistas de Derecho empresarial, Emprender, Carreras, Liderazgo, Dinero, Startups, Políticas, Ecología, Ciencias sociales, Humanidades, Marketing digital, Ensayos, y Sectores e industrias.

Gobernanza Empresarial de la Ciberseguridad

por
▷ Lee Gratis Nuestras Revistas
Recibe gratis nuestras revistas de Derecho empresarial, Emprender, Marketing digital y SEO, Ensayos, Carreras, Liderazgo, Dinero, Políticas, Inversiones y startups, Ecología, Ciencias sociales, Derecho global, Humanidades, y Sectores e industrias, en Substack. Cancela cuando quieras.

Gobernanza Corporativa de la Ciberseguridad

Este elemento es una expansión del contenido de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre este tema. [aioseo_breadcrumbs] Véase más relativo a la Gobernanza Empresarial en la divulgación del riesgo de la Ciberseguridad. jefe de seguridad de la información (CISO)

Desafíos de la Gobernanza Corporativa de la Ciberseguridad

Desafío para los Consejos de Administración

El riesgo cibernético es difícil de caracterizar y medir

A diferencia de casi cualquier otro riesgo, el impacto del riesgo cibernético es difícil de medir y puede variar desde un mero inconveniente hasta una amenaza existencial. Un director dijo: “Las entradas y salidas de otros riesgos son bien conocidas. Se atribuye un impacto en dólares y una probabilidad. La ciberseguridad es un aspecto más efímero; hay muchas más conjeturas”. Otro director señaló que “las juntas directivas saben cómo tratar el riesgo en toda la empresa, es su función principal de supervisión”, pero reconoció que “este riesgo está surgiendo y las juntas directivas están lidiando con él”. ¿Cuál es el vector particular? ¿Cómo nos afectará?”

Los riesgos pueden originarse por las acciones de los empleados, los líderes de los poderosos estados-nación, y muchos actores intermedios.

Otros Elementos

Además, el riesgo cibernético siempre está cambiando: “El problema es que la ciberseguridad no tiene un único significado, y está en constante evolución”, señaló un director. “Necesitamos la capacidad de anticipar dónde puede estar la exposición al riesgo, y prepararnos para ello y protegernos contra él. No es estática”, dijo un director. Esto es frustrante para las juntas decididas a ejercer su deber de cuidado al más alto nivel. La confusión conceptual y la cartografía inexacta de los riesgos existentes y potenciales de las vulnerabilidades de una empresa pueden conducir, según advierten los expertos, a la subestimación del riesgo, el sesgo de confirmación, la “toma de riesgos basada en la aspiración” y el exceso de confianza por parte de la dirección y los directores.

¿Qué hace que el riesgo cibernético sea único?

Los directores compartieron puntos de vista variados y matizados sobre la naturaleza fundamental del riesgo cibernético. Algunos dijeron que el ciberriesgo podría ser manejado como otros riesgos dentro del marco de gestión de riesgos de una empresa. “Lo tratamos como tratamos la seguridad sobre cualquier activo: ¿tenemos el personal, los recursos y los procedimientos adecuados?”

Pero la mayoría de los directores subrayaron los factores que distinguen el ciber de otros riesgos… Véase también:

Uno de ellos destacó dos características únicas del riesgo cibernético: la falta de familiaridad de los directores con los problemas y la casi total dependencia de las empresas de Internet. “Los directores son analfabetos sobre la ciberseguridad y la dependencia de la compañía de la tecnología de la información. (Tal vez sea de interés más investigación sobre el concepto).Si, Pero: Pero el acceso de las empresas a Internet es fundamental para la entrega de valor, y todas las transacciones que dependen del acceso a Internet son intrínsecamente inseguras. Eso no es cierto en ningún otro aspecto del riesgo que los consejos de administración tratan”, dijo el director.

Otro director destacó la novedad de los peligros: “Para la mayoría de las empresas, es un nuevo riesgo asociado (véase qué es, su concepto jurídico; y también su definición como “associate” en derecho anglo-sajón, en inglés) con los negocios y la vida social del siglo XXI con el que la mayoría de los directores no crecieron. Hemos pasado del riesgo físico de daños a la empresa a uno que está siendo manipulado a distancia con herramientas más allá de la experiencia de la mayoría de los directores”.

Otro director dijo que las muchas posibles motivaciones para los ciberataques hacían más difícil la planificación de la defensa. Este director planteó la posibilidad de que “alguien entre en sus sistemas, pase varios años allí, y la empresa nunca entienda por qué. Y cuando se descubre, se enfrenta a una ventisca de litigios, aunque no hay ningún daño manifiesto a ningún consumidor”.

Y luego está el asunto de la pura escala del riesgo. Un director habló de impactos que van desde “un deterioro significativo” a “una pérdida paralizante de la ventaja competitiva”. Otro observó: “Los riesgos son existenciales, dependiendo de su negocio, incluso en la fabricación”.

El aspecto de “cisne negro” de las amenazas cibernéticas hace que el manejo del riesgo cibernético sea particularmente difícil. Los ciberprofesionales y las juntas directivas son conscientes de que un evento cibernético importante (incluidos los más impactantes y catastróficos) podría muy bien provenir de una dirección sorprendente o imprevista”. Eso hace que los fallos de la defensa cibernética en algunos casos – posiblemente los más importantes – no sean un fallo de rigor operacional sino más bien un fallo de imaginación.

Sin embargo, muchas infracciones no provocan ningún daño financiero u operacional inmediato. Es difícil identificar una empresa u organización gubernamental (o, en ocasiones, de la Administración Pública, si tiene competencia) importante que haya dejado de existir como resultado de un ciberataque.

Puntualización

Sin embargo, se puede hacer mucho daño: un ataque relativamente simple puede detener las operaciones de una empresa entera por períodos prolongados y causar la pérdida de cientos de millones de dólares.

¿Quién gestionará el riesgo cibernético?

Muchos directores reconocen que debido a que el riesgo cibernético es nuevo y está evolucionando rápidamente, los procesos de supervisión de su junta son inmaduros. Incluso las juntas que tienen la capacidad de supervisar riesgos financieros complejos, como las de los grandes bancos, todavía están aprendiendo cómo supervisar mejor la seguridad cibernética en sus empresas, dada la interminable demanda de tecnología y conectividad por parte de los clientes y los directivos.

Hasta hace poco, muchos altos ejecutivos y directores externos tendían a suponer que la gestión del riesgo cibernético podía delegarse a los profesionales de la tecnología de la información (TI) de una empresa.

Puntualización

Sin embargo, como cada vez está más claro que los ataques presentan riesgos potencialmente existenciales, estos altos dirigentes están tratando de involucrarse más profundamente en los asuntos cibernéticos. “Las juntas directivas sienten ahora un profundo sentido de urgencia por ejercer un papel central en la mejora de las posturas y los resultados de la seguridad cibernética de la empresa”, dice el informe sobre la gobernanza resistente, en el que se observa que “el riesgo cibernético ya no se limita a un conjunto de decisiones operacionales que deben dejarse únicamente en manos de la dirección de la tecnología de la información”. Un director advirtió: “Si limitamos la ciberseguridad a sólo la TI, nos estamos dejando vulnerables porque a medida que la interfaz entre la TI y la tecnología operativa se vuelve borrosa -a través del movimiento a la nube, los sistemas autónomos, la automatización de procesos, los grandes datos, las interfaces entre empresas- no es sólo la TI en sí misma… A medida que nuestros procesos empresariales y los procesos de terceros proveedores evolucionan, ese riesgo dinámico es el que no estamos bien preparados para gestionar”.

Los directores suelen tener una experiencia más limitada que los altos directivos en la supervisión de estos nuevos riesgos… Véase también:

Uno comentó: “La gente se lanza a esta terminología y no tiene mucha idea, o peor aún, creen que saben”.

Informaciones

Los directores están dispuestos a profundizar su comprensión aprendiendo por qué sus compañías están usando sistemas particulares, cómo esos sistemas se conectan al negocio, y cómo la tecnología introduce vulnerabilidades.

A los directores también les preocupa que sus propias habilidades, tanto colectivas como individuales, no puedan seguir el ritmo de las ciberamenazas en rápida evolución. (Tal vez sea de interés más investigación sobre el concepto). “Incluso si tienes experiencia a bordo”, señaló un director, “si no estás practicando, rápidamente estarás fuera de la práctica”. ¿Cómo nos aseguramos de que como grupo estamos pensando en los temas para poder hacer las preguntas correctas en el momento adecuado? ¿Cómo sabemos siquiera lo que queremos ver en el tablero?”

Una amplia variedad de estructuras de supervisión

Debido a que los riesgos cibernéticos son tan novedosos y evolucionan tan rápidamente, los consejos de administración de las grandes empresas han desarrollado muchas estructuras diferentes para supervisarlos. Un director dijo: “Con lo que luchamos es, ¿dónde termina la gestión y comienza la junta desde una perspectiva de gobierno, cuando se trata de la ciberseguridad? Hay muchas preguntas en torno a saber a qué reaccionar, cómo reaccionar y cómo hacerlo a tiempo. Piensas en los estados financieros, y está claro cuál es nuestro papel como junta; para algo como la ciberseguridad, no lo es”.

Otro director preguntó: “¿Cómo sabría una junta si lo que está escuchando vale la pena el tiempo que toma escucharlo? La dirección no tiene más conocimientos que los consejos. La dirección y los consejos quieren saber qué es lo correcto. ¿Cómo sé que es lo correcto? ¿Cómo sé que lo estoy haciendo de la manera correcta? ¿Cuál es la variación de más/menos con la que debería estar de acuerdo? ¿Cómo se lo demuestro a otras personas?”

Los modelos que usan las tablas continúan evolucionando. Un director describió cómo, después de una gran brecha, su comité de auditoría decidió dedicar la primera hora de cada reunión del comité a asuntos cibernéticos: “Invitamos a todos los miembros de la junta que quieran asistir. Varios lo hacen, algunos por teléfono”.

Los miembros estuvieron de acuerdo en que el consejo en pleno tiene la responsabilidad última de la ciberseguridad, pero discutieron varios modelos para poner en práctica esa supervisión.

La supervisión por parte del comité de auditoría

Muchas juntas delegan la supervisión sustancial a su comité de auditoría, que normalmente discute el tema de la cibernética en cada reunión. (Tal vez sea de interés más investigación sobre el concepto). “Lo ciber es lo suficientemente importante como para que toda la junta se exponga”, dijo un director, “y lo hacen a través del comité de auditoría, que tiene la responsabilidad principal de todas las cosas de riesgo, incluyendo ciber. El consejo en pleno es invitado una vez al año a una larga discusión dirigida por personal clave de la compañía.” Algunos directores, sin embargo, estaban preocupados de que añadir la supervisión de la ciberseguridad a las ya abarrotadas agendas de los comités de auditoría no siempre fuera efectivo, y que la cibernética pudiera verse desplazada por otros temas.

▷ Lo último (en 2026)
▷ Si te gustó este texto o correo, considera compartirlo con tus amigos. Si te lo reenviaron por correo, considera suscribirte a nuestras publicaciones por email de Derecho empresarialEmprenderDineroMarketing digital y SEO, Ensayos, PolíticasEcologíaCarrerasLiderazgoInversiones y startups, Ciencias socialesDerecho globalHumanidades, Startups, y Sectores económicos, para recibir ediciones futuras.

La supervisión por parte de otros comités existentes

Una junta consideró las responsabilidades existentes del comité y terminó delegando la supervisión de la seguridad cibernética en su comité de nombramientos y gobernanza. “Comenzó con una mirada fundacional a la carga de trabajo de la junta, las obligaciones fiduciarias de la junta, cómo se asignaban en la junta en pleno y en los comités. Luego examinamos los riesgos en Qs y Ks, cualitativos y cuantitativos. Intentamos equilibrar la carga de trabajo del comité. Parecía que la nominación y el gobierno y los asuntos públicos serían buenos para la ciberseguridad. Después de hacer esa asignación, repensamos la composición de los comités para asegurarnos de que teníamos los miembros adecuados para el papel de cada comité y esta cuestión de la superposición de miembros”.

La supervisión de un comité de ciberseguridad

Algunos consejos han creado comités especiales de ciberseguridad. Estos pueden tener sentido para las empresas con intereses estratégicos en la tecnología de la información o para aquellas que se beneficiarían de un fuerte enfoque de gobernanza en la ciberseguridad y el ciberriesgo.
..
Supervisión por parte de toda la junta
Algunas juntas no delegan la supervisión de los riesgos cibernéticos. Un director informó que la seguridad cibernética “se presenta ante la junta cinco veces al año”. Debatimos si tener un comité cibernético o alojarlo en el comité de riesgos; decidimos en el consejo.” Otro dijo que la junta en pleno “discute sobre cibernética varias veces al año, [con temas particulares que se cubren] en una cadencia de 18 meses a dos años”. Recorremos todos los aspectos de la ciberseguridad para aumentar la alfabetización y la comprensión de la dependencia que tiene la empresa, el estado de la infraestructura, los nuevos enfoques, las nuevas estrategias. Le da visibilidad a la junta. Luego miramos el entorno más amplio. ¿A qué se enfrenta todo el mundo? ¿A qué nos enfrentamos?”

Basado en la experiencia de varios autores, mis opiniones, perspectivas y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características en 2026 o antes, y el futuro de esta cuestión):

Otro director informó: “Toda nuestra junta establece las prioridades y la estrategia para el ciber. ¿Cuál es la estrategia para la forma en que pensamos acerca de la cibernética en la empresa? ¿Dónde toca a la empresa? ¿Cómo pensamos en ella? ¿Quién piensa en ello, dónde se sienta y a quién informa?” Muchos estuvieron de acuerdo con un director que dijo, “Tiene que haber discusiones de toda la junta. No importa qué comité se designe, debe haber tiempo para la junta completa.”

Es probable que las “mejores” estructuras sean específicas para cada empresa. Independientemente de las estructuras que utilicen, los consejos de administración deben asegurarse de que cumplen las responsabilidades de supervisión que exigirán los reguladores y los tribunales. Estos aspectos caben ser considerados:xxx

  • Informes que van al consejo en pleno.
  • Sesiones de inmersión profundas dedicadas a la ciberseguridad, en un comité designado o en la junta. Es la cantidad de enfoque y tiempo que el comité necesita para asegurar una comprensión real del riesgo.
  • La educación en materia de ciberseguridad, en todos los ámbitos.
  • Riesgo, capacidad y madurez. La expectativa es que la junta escuche los resultados de las evaluaciones y las formas en que la dirección está abordando cualquier laguna.
  • Intervención de Terceros: Cada vez más, los expertos externos vienen a informar directamente a las juntas, no sólo a través de la gestión.

Estas apuestas de la mesa son requisitos mínimos, y las expectativas son mucho más altas cuando una empresa se enfrenta a un incidente significativo.

Interacciones complejas entre los directores y la gerencia

En muchas áreas de riesgo, los directores han encontrado formas prácticas de asegurarse de que la dirección es consciente de las exposiciones y ha puesto en marcha mecanismos de mitigación y recuperación. (Tal vez sea de interés más investigación sobre el concepto) (se puede analizar algunas de estas cuestiones en la presente plataforma online de ciencias sociales y humanidades). Fomentar esta confianza nunca es fácil en una gran empresa mundial, pero la mayoría de los directores y comités -de riesgos y de auditoría, por ejemplo- saben con qué ejecutivos tienen que dialogar.

📬Si este tipo de historias es justo lo que buscas, y quieres recibir actualizaciones y mucho contenido que no creemos encuentres en otro lugar, suscríbete a este substack. Es gratis, y puedes cancelar tu suscripción cuando quieras:

Qué piensas de este contenido? Estamos muy interesados en conocer tu opinión sobre este texto, para mejorar nuestras publicaciones. Por favor, comparte tus sugerencias en los comentarios. Revisaremos cada uno, y los tendremos en cuenta para ofrecer una mejor experiencia.

En segundo lugar, incluso cuando el riesgo puede ser enfocado bajo el CISO, muchos directores se preocupan por la complacencia o la indecisión de pasar malas noticias.

El riesgo cibernético es lo suficientemente penetrante como para que la seguridad de una junta rara vez provenga de respuestas a preguntas simples. Un director señaló que para que una junta cumpla con su responsabilidad de supervisión se requiere “no sólo hacer preguntas específicas, sino desarrollar una visión adicional de la fortaleza de la organización”. Esto puede implicar el cuestionamiento de las habilidades de los gerentes a un nivel mucho más profundo de lo que es usual para la junta.

Los directores que se centran en el riesgo cibernético necesitan hacer algo más que crear confianza y establecer vías de comunicación fáciles; necesitan afinar constantemente sus habilidades porque la transformación digital de las grandes empresas parece ser incesante, y el riesgo cibernético está cambiando constantemente. “Es un tema dinámico”, dijo un director. “Un comité de gobierno necesita pensar en dónde vamos, no sólo en dónde estamos hoy.”

En algunos casos, la aparición de nuevas tecnologías y nuevos riesgos lleva a las juntas a cambiar sus modelos de supervisión de los riesgos cibernéticos.

Datos verificados por: Chris

[rtbs name=”gobernanza-corporativa-internacional”] [rtbs name=”ciberseguridad”] [rtbs name=”riesgos”]

Recursos

[rtbs name=”informes-jurídicos-y-sectoriales”][rtbs name=”quieres-escribir-tu-libro”]

Notas y Referencias

Véase También

Comité de auditoría, Supervisión de la Junta, Consejos de Administración, Ciberseguridad, Divulgación, Supervisión, Riesgo, Gestión de riesgos, Supervisión de riesgos

▷ Esperamos que haya sido de utilidad. Si conoces a alguien que pueda estar interesado en este tema, por favor comparte con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.
▷ Lee Gratis Nuestras Publicaciones
,Si este contenido te interesa, considera recibir gratis nuestras publicaciones por email de Derecho empresarial, Emprender, Dinero, Políticas, Ecología, Carreras, Liderazgo, Ciencias sociales, Derecho global, Marketing digital y SEO, Inversiones y startups, Ensayos, Humanidades, y Sectores económicos, en Substack.

Contenidos Relacionados:

  1. Riesgos de la Salud Digital: Este texto se ocupa de los riesgos de la salud digital, incluyendo sus desventajas y aspectos como las ciberamenazas y el rol del paciente como consumidor móvil de servicios sanitarios. La visión de una clínica inteligente en la que los datos del paciente en tiempo real llegan al lugar antes que el paciente, en la que ya no son necesarios los mostradores de facturación y en la que los consejos de tratamiento y prevención se basan en un espectro totalmente nuevo de medidas biofísicas y socioeconómicas es realmente convincente, pero también está plagada de peligros. Los datos pueden ser mal utilizados y mal interpretados. El sesgo inconsciente puede deslizarse en cualquier análisis de datos bien intencionado. Más allá de los dispositivos digitales, la inteligencia artificial se ve como una revolución en la atención sanitaria impulsada por la esperanza de que los algoritmos que se ejecutan en los sistemas de registros médicos electrónicos predigan cuándo un paciente se está volviendo séptico o que la inteligencia artificial libere a los médicos de las tareas tediosas. Mucho de esto se está cumpliendo, pero también hay una lista creciente de peligros potenciales, como la confianza en las "cajas negras", los prejuicios raciales y la mala ejecución técnica. Los peligros para la privacidad, la ciberseguridad y la seguridad física de las tecnologías que permiten la existencia y la efectividad de los los asistentes virtuales son cada vez más conocidos y comprendidos, y la aplicación de estos dispositivos a los casos de uso sanitario debe abordarse con cuidado. Para que los dispositivos sanitarios alcancen su potencial para los pacientes, es necesario comprender sus riesgos en el contexto de todo el ecosistema conectado. En este texto también se detallan las oportunidades y los peligros de los pacientes como consumidores de salud móvil, con un enfoque específico en los daños potenciales y las mitigaciones correspondientes. Véase también: , , .
  2. Riesgos de la Cultura Corporativa: Una cultura corporativa fuerte y positiva es un activo clave y puede producir muchos beneficios significativos, mientras que una cultura débil o rota erosiona ese activo y crea graves riesgos para la marca y la reputación, e incluso para toda la empresa. Las responsabilidades de los directores con respecto a la supervisión de los riesgos se extienden al riesgo de la cultura, y se alienta a los consejos de administración a que cumplan esta responsabilidad con prontitud y frecuencia. Véase también: , , .
  3. Supervisión Corporativa de la Inteligencia Artificial: Como en muchos otros aspectos de la tecnología, la IA se está volviendo indispensable para las empresas que se centran en el crecimiento a largo plazo y la generación de valor. La IA también está aumentando el impacto de los riesgos de los datos y generando nuevos riesgos, como los de las consecuencias imprevistas. Una supervisión y orientación adecuadas por parte de la junta puede ayudar a identificar, evaluar y gestionar esos riesgos. Véase también: , , .
  4. Productos de Ciberseguridad: Productos de CiberseguridadEste elemento es una profundización de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre este tema. [aioseo_breadcrumbs] Algún autor sostiene que quienes escriben el código de software generalmente toman precauciones inadecuadas para garantizar que el código la escritura (su redacción) está libre de defectos (o, más precisamente, de que [...] Véase también: , , .
  5. Privacidad Digital: Internet es genial, hasta que alguien hackea sus cuentas o viola su privacidad. Este informe ofrece una visión completa y actualizada de los principales problemas y riesgos relacionados con la privacidad en línea y explica cómo contrarrestar esos riesgos con soluciones que todo el mundo necesita conocer. Se analizan los problemas de privacidad en la economía digital desde una perspectiva económica. La digitalización de la economía con datos como nuevo recurso crítico requiere la adaptación del marco jurídico pertinente. Por lo que se refiere a la política de competencia, la política de los consumidores y la política de protección de datos, la cuestión es cómo pueden contribuir a subsanar las deficiencias del mercado en relación con los derechos a la intimidad y las preferencias de las personas en materia de intimidad, y cómo puede desarrollarse un enfoque regulador más integrado. La nueva economía de la privacidad ayuda a explicar los complejos problemas de equilibrio entre los beneficios y los costos (o costes, como se emplea mayoritariamente en España) de la privacidad y la divulgación. Véase también: , , .
  6. Políticas sobre Ciberseguridad: Con un enfoque práctico, este texto tiene gran valor, creemos, para los profesionales y organizaciones legales. Abarca tanto las normas como su aplicación práctica, lo que ayuda a garantizar que los asesores y las organizaciones cuenten con políticas y procedimientos efectivos para hacer frente a la seguridad cibernética. Los temas incluyen: Amenazas y vulnerabilidades, Privacidad y seguridad en el lugar de trabajo y en el entorno construido, Importancia de la política y orientación en las comunicaciones digitales, Informes detallados de los especialistas de la industria, Redes, sociales y seguridad informática, Derecho internacional e interacción entre Estados, Seguridad de datos y clasificación, Organizaciónes de protección, y Seguridad cibernética: causa y cura. Véase también: , , .
  7. Políticas Nacionales de Controles Criptográficos: Este texto se ocupa de las políticas nacionales de controles criptográficos, de la seguridad informática y de la ciberseguridad, a nivel gubernamental. Este texto está estructurado en varias secciones. En la primera sección se traza un mapa del panorama de las ciberamenazas en Brasil, que incluye las dimensiones de la política de defensa, la preocupación por el ciberterrorismo y la ciberdelincuencia. Traza los cambios en las preocupaciones por las amenazas desde la creación inicial de la infraestructura cibernética del gobierno y señala cómo se ajustó lentamente para responder a las amenazas de alto impacto/baja probabilidad, en lugar de centrarse en las de alta probabilidad. En segundo lugar, el texto presenta una visión general del panorama institucional de la ciberseguridad y la criptografía, así como los principales conceptos de los documentos nacionales sobre ciberseguridad y criptografía del país que han contribuido a estructurar el panorama contemporáneo de regulación y control de los poderes ejecutivo y legislativo nacional. A continuación, traza los retos y las oportunidades de la acción política, concluyendo con el diagnóstico de que uno de los principales retos a los que se enfrentan quienes se dedican a la elaboración de políticas de ciberseguridad y criptografía es la escasa alineación entre la estrategia y las amenazas reales. En una de las secciones identificamos las concepciones dominantes de las ciberamenazas a nivel nacional y rastreamos la aparición y el cambio en la percepción de los riesgos y las amenazas a la luz de los cambios en el contexto sociopolítico. Sostenemos que el desarrollo institucional de la ciberseguridad y la criptografía en algunos países estuvo marcado por preocupaciones específicas relacionadas con amenazas externas como el espionaje y la injerencia extranjera. Sin embargo, la creciente inestabilidad política de finales de 2015 en adelante, combinada con la rápida digitalización de la sociedad, creó nuevas condiciones para un cambio en la percepción de las amenazas. Esto no significa necesariamente que hayan surgido nuevas amenazas, sino que las percepciones de riesgo/amenazas ya existentes relacionadas con la ciberdelincuencia pudieron emerger en este contexto particular. Es más, arroja luz sobre las percepciones de amenaza que compiten y, a veces, se complementan. Véase también: , , .
  8. Negociación con Hackers: Este texto se centra también en cómo negociar con los hackers de ransomware. A algunos les resulta muy satisfactoria la energía del gato y el ratón que supone ser más listo que los sindicatos criminales. Véase también: , , .
  9. Huella Digital: Este texto se ocupa de la forma silenciosa en que los anunciantes rastrean su navegación. Las cookies están en vías de desaparición, pero no se hace lo suficiente con respecto a las huellas digitales del navegador. ¿De qué se trata? En los últimos años, los principales navegadores, como Safari y Firefox, han restringido esta práctica. Incluso Chrome se ha dado cuenta de que las cookies son una pesadilla para la privacidad. Pero suprimirlas sólo pone fin a un tipo de rastreo en línea: otros son posiblemente peores. La huella digital, que implica la recopilación de información detallada sobre la configuración del navegador o del teléfono, entra en esta categoría. El método de rastreo está en gran medida oculto, no hay mucho que se pueda hacer para detenerlo, y los reguladores han hecho poco para limitar la forma en que las empresas lo utilizan para seguirle en Internet. Véase también: , , .
Los de arriba son los elementos relacionados con este contenido de la presente plataforma digital de ciencias sociales.

12 comentarios en «Gobernanza Empresarial de la Ciberseguridad»

  1. El aumento de la velocidad, la miniaturización y la potencia de la informática, así como la conectividad de miles de millones de dispositivos, ha provocado cambios profundos incluso en las empresas industriales más básicas. “Nos estamos convirtiendo rápidamente en una empresa tecnológica”, dijo un director de una de esas empresas industriales. “Si Amazon fuera dueña de nuestra compañía, ¿cómo nos reinventaría?” Tecnologías como la impresión 3D, la comunicación 5G, la realidad aumentada y la inteligencia artificial ofrecen oportunidades atractivas a los líderes de las grandes empresas mundiales. Al mismo tiempo, introducen riesgos sin precedentes, a diferencia de casi todos los que los consejos de administración han encontrado hasta ahora. El director continuó: “Es una conversación diferente en la sala de juntas de la que hemos tenido en el pasado. Un ciberataque podría acabar con una cantidad significativa del valor de nuestra empresa. El hipo equivocado podría causar un efecto dominó en toda nuestra economía.

    Responder

  2. Otro director señaló que, si bien la supervisión de la ciberseguridad suele recaer por defecto en el comité de auditoría, éste no “se crea teniendo en cuenta los conocimientos especializados en materia de ciberseguridad, por lo que no está clara su capacidad para llevar a cabo la gobernanza de la ciberseguridad”. Lo que debería ocurrir es un debate enérgico en el comité de gobernanza sobre las alternativas. Ese debate debería dar lugar a una orientación clara sobre la forma en que se gobernará la ciberdelincuencia. En mi experiencia, cinco juntas de empresas públicas, cuatro de las cuales no se presentaron al comité de auditoría; una de ellas tiene un comité de tecnología, algo muy común en los grandes bancos de importancia mundial”.

    Responder

  3. Otro director informó de que la supervisión de la ciberseguridad pertenecía al comité de riesgos de una empresa, mientras que en otra era con un subcomité de tecnología. “Todavía estamos navegando cómo incluir otros comités: riesgo más auditoría, riesgo más finanzas, etc. ¿Quién necesita escuchar? Diferentes elementos pertenecen a diferentes comités”, dijo el director.

    Responder

  4. Una de las juntas que eligió establecer un comité de seguridad cibernética es la de General Motors. La presidenta del comité, dijo que la junta examinó sus productos, consideró un futuro de coches sin conductor y la Internet de las cosas, y se dio cuenta, señalando que su objetivo número uno es la seguridad de todos los que usan productos y servicios de GM asegurándonos de que estamos construyendo productos tan cibernéticos y a prueba de manipulaciones como sea posible. Para entender los desafíos asociados con el logro del objetivo, la junta estableció un comité para examinar la cibernética a través de GM. El comité pasó el primer año entendiendo y evaluando el entorno cibernético; definiendo el enfoque y las herramientas a utilizar para medir el progreso e identificar áreas de mejora; y desarrollando las mejores técnicas para informar a la junta en inglés. Nuestro segundo año se dedicó a institucionalizar las mejores prácticas y pruebas para comprender mejor dónde se podrían fortalecer los programas cibernéticos. Este año el comité cibernético se ha trasladado al comité de riesgos como parte de la cartera de riesgos más amplia.

    La presidenta del comité dijo que el comité de seguridad cibernética “tomó prestado libremente del comité de auditoría para el proceso y el flujo” y que actúa como un comité de auditoría en el sentido de que funciona como los ojos y oídos de la seguridad cibernética para validar lo que se informa.

    Responder

  5. En los últimos 10 años, era evidente que tanto como la fuerza del negocio dependía de la buena gente y la calidad del riesgo, también dependía de la calidad de la TI. Lo más importante es que creemos que si se habla de la TI, que es una fusión de tecnología y personas y funciones y responsabilidades, realmente se está hablando de una actividad operativa, no sólo de una actividad habilitadora. La TI es el alma de las empresas de mansajería, por ejemplo, como lo es para los bancos y otras empresas que se apoyan en una infraestructura digital sustancial y extendida, por lo que es necesario que la junta directiva la supervise. La ciberseguridad es un subconjunto de esa supervisión. No queríamos dedicarle menos tiempo al tema.

    Responder

  6. La naturaleza del riesgo está cambiando, y somos rápidos en adoptar el aprendizaje de la máquina y la inteligencia artificial, tal vez la más avanzada de nuestra industria. La junta de mi empresa se preocupó de que las pruebas de seguridad de los sistemas de control industrial fueran inmaduras: No estamos totalmente cómodos con que podamos probar y evaluar a un nivel de alta calidad, dada la sofisticación de los sistemas que tenemos en marcha. El grupo de trabajo reúne a expertos externos y busca establecer indicadores de rendimiento de la ciberseguridad. Estamos luchando. Podemos terminar con una auditoría híbrida y una estructura SGE [salud, seguridad, medio ambiente] para manejar este riesgo. Alguien tiene que permanecer en la vanguardia.

    Responder

  7. Este tipo de riesgo representa un conjunto único de competencias, y esto lo he oído de más de un director. No todos los comités de auditoría o comités de riesgo tienen las habilidades necesarias para enfrentar el tema. Y está evolucionando.

    Responder

  8. ¿Cómo te aseguras de que lo que recibes de la dirección es correcto?. Las luces del salpicadero son todas verdes hasta que de repente se vuelven rojas. El director de una gran consultoría pidió que se hicieran comprobaciones adicionales sobre el juicio de un CISO y consideró que éstas deberían ocurrir a un nivel inferior al del tablero. “En un caso”, dijo, “la auditoría interna sospechó que el CISO estaba demasiado confiado, pero ¿dónde estaban los controles internos?”

    Responder

  9. Los directores en la reunión de mi asociación sugirieron que trabajar con la dirección en cuestiones cibernéticas es menos sencillo. Por ejemplo, la mayoría de los bancos son capaces de identificar quién tiene autoridad para conceder créditos y rastrear el riesgo de crédito hasta decisiones específicas. Los riesgos cibernéticos, en cambio, son difíciles de aislar: aparecen durante el diseño del producto, en el uso de terceros por parte de una empresa y cada vez que un empleado de cualquier parte de la empresa responde a un mensaje de phishing. “Con el Internet de las cosas”, dijo un director, “la gente pone las cosas en sus sistemas; ¿quién sabe cuánto tenemos?”

    Responder

  10. Desafortunadamente, no hay una respuesta correcta ni una buena respuesta aquí. Es muy circunstancial. Debes empezar con la pregunta, ¿cuál es el riesgo que la seguridad cibernética representa para la organización? La ciberseguridad es un tipo de riesgo diferente; puede afectar a diferentes negocios de maneras diferentes, por lo que se gestiona y gobierna de forma diferente. Las industrias reguladas tienen sus propios matices; las empresas de infraestructura crítica tienen los suyos.

    Responder

  11. “Cuando hay una intrusión”, dijo un miembro, “te ocupas de cosas que nunca se te ocurrieron”. Así que parte del ejercicio es conseguir unas cuantas capas más allá de lo que se informa, para entender cómo la gerencia piensa acerca de estos problemas.”

    Los directores discutieron cómo perseguían este difícil objetivo. Uno de ellos describió un intenso conjunto de interacciones con los ejecutivos a través de una institución global: “Hago medias jornadas con la gente; pronto estaré en uno de nuestros centros de fusión cibernética”. La misma empresa proporcionó cuentas de correo electrónico corporativo para los miembros de la junta para que la administración pudiera comunicarse con ellos de una manera segura y de confianza. Sin embargo, no todos los equipos de gestión acogen con agrado una supervisión tan enérgica, y algunos lo experimentan como una falta de confianza. “Es más difícil cuando las empresas son sensibles a que la junta se inmiscuya en la supervisión”, señaló un director.

    Responder

  12. “Los comités deben estar atentos a los temas emergentes”, dijo un director, citando la rápida adopción por parte de la empresa de la inteligencia artificial y el aprendizaje automático. “Cuando el comité de auditoría supervisó el ciber, no muchos pensaban en falsificar los algoritmos. Ahora, necesitamos una discusión anual sobre si necesitamos un comité de tecnología o de riesgos”. Varios directores estaban ansiosos por encontrar formas de evaluar las capacidades actuales de sus juntas. “El Marco de Seguridad Cibernética del NIST [Instituto Nacional de Estándares y Tecnología] es un facilitador”, señaló un director, “pero es sólo una manera de iniciar una conversación, no una cura para todo”.

    Responder

Foro de la Comunidad: ¿Estás satisfecho con tu experiencia? Por favor, sugiere ideas para ampliar o mejorar el contenido, o cómo ha sido tu experiencia:

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

▷ Recibe gratis nuestras revistas de Derecho empresarial, Emprender, Carreras, Dinero, Políticas, Ecología, Liderazgo, Marketing digital, Startups, Ensayos, Ciencias sociales, Derecho global, Humanidades, y Sectores económicos, en Substack. Cancela cuando quieras.

Este elemento se divide en las siguientes secciones y subsecciones:

Index

Descubre más desde Plataforma de Derecho y Ciencias Sociales

Suscríbete ahora para seguir leyendo y obtener acceso al archivo completo.

Seguir leyendo