Gobernanza de la ciberseguridad: la NIS 2 responsabiliza a los directivos

La Directiva NIS 2 sitúa la ciberseguridad en el centro de la gobernanza empresarial, al exigir a los órganos de dirección (comités de dirección, consejos de administración) que se impliquen activamente en la gestión de los riesgos digitales.

Hasta hace poco, la seguridad informática se consideraba a menudo una cuestión puramente técnica, delegada al CISO y al departamento informático. LaDirectiva NIS 2 cambia todo esto al precisar las obligaciones en materia de gobernanza: a partir de ahora, los órganos de dirección de las empresas afectadas deberán supervisar y validar las medidas de gestión de los ciberriesgos de su organización(Directiva NIS2: 5 claves). En pocas palabras, el comité de dirección o el consejo de administración deben comprometerse con la estrategia de ciberseguridad, aprobando las políticas de seguridad, asignando los recursos necesarios, supervisando los indicadores de riesgo, etc., y pueden ser considerados responsables en caso de fallo grave.

Un nuevo reto estratégico para los consejos de administración

La NIS 2 convierte la ciberseguridad en una cuestión de responsabilidad fiduciaria para los directores. Esto se traduce en varios requisitos importantes:

• Rendición de cuentas y deber de diligencia: Los directivos tienen ahora el deber de validar las medidas de gestión del riesgo cibernético y supervisar su aplicación(Directiva NIS2: 5 puntos clave). Ignorar la ciberseguridad podría considerarse un incumplimiento del deber de diligencia. En caso de incidente grave, las autoridades examinarán si la dirección ha tomado las medidas previas necesarias.
• Formación de directivos: La NIS 2 estipula que los miembros de los órganos de dirección deben recibiruna formación adecuada en ciberseguridad(Requisitos NIS2 | 10 Medidas mínimas a abordar) para comprender los problemas y las decisiones que deben tomarse. Se trata de un avance cultural importante: se espera que un CEO o director entienda conceptos como análisis de riesgos, planes de respuesta a incidentes, higiene informática, etc.
• Responsabilidad personal reforzada: La directiva prevé sanciones dirigidas directamente a los directivos en caso de negligencia demostrada. Por ejemplo, un directivo podría ser declarado persona non grata temporalmente (inhabilitado para ejercer funciones directivas) si su empresa ha incumplido gravemente sus obligaciones en materia de NIS 2(Directiva NIS2: 5 puntos clave a tener en cuenta). Además, como ya se ha mencionado, están en juego multas muy elevadas para la empresa (de hasta 10 millones de euros o el 2% del volumen de negocios)(Directiva NIS2: 5 puntos clave), que repercutirán en la gobernanza (los accionistas, el público y los socios responsabilizarán a la dirección de estas sanciones).

Para los CIO y los CISO, esto significa educar y conseguir que la alta dirección esté a bordo cuando se trata de cuestiones de ciberseguridad. El apoyo de la dirección no sólo es deseable, sino que es obligatorio por ley. Sin embargo, en la práctica, todavía hay una brecha: según una encuesta de Zscaler en 2023, solo el 32% de los directores de TI cree que el cumplimiento de NIS 2 ya es una prioridad para sus ejecutivos ([Infografía] NIS2: empresas entre la confianza y los desafíos). Y sólo uno de cada dos piensa que la alta dirección conoce bien los requisitos de la directiva ([Infografía] NIS2: las empresas entre la confianza y los retos). Esta conclusión ilustra un riesgo: si los responsables de la toma de decisiones no son plenamente conscientes de sus nuevas obligaciones, la empresa podría tardar en asignar los recursos e impulsar los cambios necesarios.

Implicaciones para las empresas :

La ciberseguridad debe elevarse a un nivel estratégico. Los consejos de administración deben incluir la gestión de los riesgos digitales en sus competencias, del mismo modo que los riesgos financieros, jurídicos u operativos. También estamos asistiendo a la aparición de comités de riesgos y cibernéticos en los consejos de administración, y al nombramiento de directores responsables de las cuestiones digitales. Algunas empresas también están optando por vincular la remuneración variable de sus ejecutivos a criterios de rendimiento en materia de ciberseguridad (por ejemplo, número de incidentes, nivel de cumplimiento de las auditorías, etc.). Estas prácticas, fomentadas por la NIS 2, pretenden garantizar que la ciberseguridad reciba el tono adecuadoen las altas esferas.

Mejores prácticas de gobernanza cibernética para CIO/CIO

¿Cómo pueden los CIO y los CISO apoyar a sus empresas en esta evolución? He aquí algunas de las mejores prácticas para reforzar la gobernanza cibernética:

• Sensibilizar a la alta dirección: Organice sesiones de formación o información específicas para los altos directivos. Presénteles ejemplos concretos de ataques, los riesgos que entrañan y, por supuesto, las obligaciones legales (por ejemplo, obligación de notificar los incidentes en un plazo de 72 horas, riesgo de sanciones personales). Puede ser útil realizar un cibersimulacro (ejercicio de simulación de crisis) que incluya a los altos directivos, para que se enfrenten a las decisiones que deben tomar en caso de ataque. La ANSSI, por ejemplo, ofrece ejercicios nacionales(CyberEx) que pueden servir de modelo para ejercicios internos.
• Clarificar funciones y responsabilidades: Actualizar la gobernanza interna para formalizar el papel de cada uno. Designe a un responsable de ciberseguridad a nivel de comité ejecutivo (a menudo el CISO que informa al CIO, o directamente al CEO en algunas organizaciones). Asegúrese de que esta persona tiene acceso regular al consejo de administración (participación en los comités de auditoría/riesgos, presentación de un informe cibernético en cada reunión del consejo, etc.). Documente la responsabilidad del Consejo en materia de ciberseguridad en su carta de gobierno corporativo, para confirmar esta nueva situación.
• Introduzca informes cibernéticos regulares para el consejo: proporcione periódicamente a la dirección indicadores claros sobre el estado de la seguridad de la SI. Por ejemplo: número de intentos de ataque bloqueados, nivel de exposición a vulnerabilidades críticas, avances en el plan de acción NIS 2, comparación con un punto de referencia (puntuación de madurez). Estos informes deben ser didácticos y evitar la jerga, para que los no especialistas puedan entenderlos. La idea es crear un diálogo constructivo entre el CISO y el consejo, para que los altos directivos puedan hacer preguntas, cuestionar los planes y tomar decisiones de inversión informadas.
• Alinear la ciberseguridad con los objetivos empresariales: Para captar la atención de la dirección, vincule la ciberseguridad con los retos empresariales de la empresa. Por ejemplo, señale que la confianza de los clientes depende de su capacidad para proteger sus datos y servicios (una brecha importante puede ahuyentar a los clientes y dañar la marca). Señale también que, en algunas licitaciones, un alto nivel de seguridad se ha convertido en un criterio de selección. Al establecer el vínculo entre ciberseguridad y rendimiento, ayudará a la dirección a ver estos gastos no como un puro coste, sino como una inversión estratégica (protección del volumen de negocio, ventaja competitiva, etc.).
• Implicar al consejo en la ciberestrategia: en lugar de presentar la ciberseguridad como una cuestión de cumplimiento técnico, anime a la dirección a verla como parte de la estrategia de la empresa. Por ejemplo, discutael apetito de riesgo cibernético con el Consejo: ¿hasta qué punto está dispuesta la empresa a asumir riesgos digitales para innovar? ¿Qué situaciones son inaceptables (interrupción de la producción, robo de propiedad intelectual, etc.)? Esta reflexión estratégica ayudará a orientar la inversión (gastamos donde no queremos absolutamente ningún daño) y a crear una cultura del riesgo compartida de arriba abajo.
• Formalizar una política de gobernanza de la seguridad: lo ideal sería que la forma de gobernar la ciberseguridad estuviera por escrito. Algunas empresas elaboran un documento como la «Carta de Gobernanza de la Seguridad», que detalla la estructura de dirección (comités, funciones de cada uno), los procedimientos de información, los indicadores controlados, etc. Este documento, aprobado por la dirección, se envía después a todos los empleados. Este documento, aprobado por la dirección, formaliza el compromiso de la dirección. También es un documento de apoyo en caso de auditoría (demuestra que el tema se toma en serio al más alto nivel).

En resumen, la NIS 2 fomenta la sinergia entre los CISO, los departamentos de TI y la alta dirección. El CISO debe convertirse en un socio de negocios, capaz de comunicarse con la alta dirección en su propio idioma, para ayudarles a tomar decisiones informadas. Para la alta dirección, esto significa integrar la ciberseguridad en la definición misma del éxito de la empresa, del mismo modo que la seguridad física o el cumplimiento legal. Este cambio en la gobernanza es sin duda uno de los efectos más estructurantes (y positivos) del NIS 2 en las empresas europeas.

La respuesta de Smart Global Governance para una mejor gobernanza cibernética

Las soluciones de Smart Global Governance han sido diseñadas para promover la integración de la ciberseguridad en la gobernanza empresarial. En particular, la suite «Information Security Officer » y los módulos de dirección estratégica de Smart Global Governance proporcionan a los CIO/CIO y a los altos directivos las herramientas que necesitan para colaborar eficazmente en la gestión de los riesgos cibernéticos.

En concreto, Smart Global Governance crea un puente entre el ámbito técnico y el nivel directivo:

• Cuadros de mando ejecutivos a medida: La plataforma transforma los datos técnicos de seguridad en KPI empresariales que los altos ejecutivos pueden comprender. Por ejemplo, se puede hacer un seguimiento de un índice global de cibermadurez, del porcentaje de avance del plan NIS 2, del número de riesgos críticos tratados frente a los que quedan por tratar, etc. Estos indicadores se actualizan en tiempo real en función de las acciones realizadas en la herramienta (auditorías, incidentes, planes). De este modo, el Director General o el Director Financiero pueden consultar en cualquier momento un resumen de la exposición al riesgo de la empresa, lo que facilita la inclusión del tema en el orden del día de los comités de dirección.
• Gestión de responsabilidades y planes de acción: Smart Global Governance le ayuda a formalizar claramente quién es responsable de qué en materia de ciberseguridad. El módulo de gobernanza le permite asignar funciones (por ejemplo, gestor del plan de continuidad, patrocinador de la seguridad en el consejo, etc.) y supervisar la aplicación de las responsabilidades. Es fácil demostrar que «sí, la dirección validó esta política en esta fecha», porque todo queda registrado en la herramienta. En caso de rotación de la dirección, la continuidad está asegurada: el recién llegado ve inmediatamente sus responsabilidades en materia de ciberseguridad y el historial de decisiones.
• Flujos de validación: ¿Necesita que la dirección apruebe una nueva política de SI o una inversión en seguridad? La plataforma incluye flujos de trabajo de validación electrónica. El CISO puede enviar un documento o una solicitud a través de la herramienta, el director correspondiente recibe una notificación y puede aprobarla o comentarla en unos pocos clics. Esto crea una interacción fluida y documentada entre los niveles operativo y de toma de decisiones. Se acabaron las aprobaciones informales por correo electrónico que se pierden: todo está centralizado.
• Informes automatizados para los órganos de dirección: en vísperas de una reunión del comité de auditoría o del consejo de administración, el CISO puede generar automáticamente un informe resumido a partir de Smart Global Governance, que cubra los puntos necesarios (por ejemplo, los incidentes ocurridos durante el trimestre y las medidas correctoras, el estado de cumplimiento de la normativa, los planes de reducción de riesgos en curso, etc.). Estos informes personalizables ahorran un tiempo valioso y garantizan que la información transmitida a la junta directiva esté actualizada y sea precisa. Algunos de nuestros clientes han reducido en un 40% el tiempo dedicado a preparar sus comités gracias a esta automatización.
• Visión holística a través del ecosistema modular: La fuerza de Smart Global Governance reside también en su enfoque integrado. Los módulos de Riesgo, Cumplimiento, Auditoría y otros comparten la misma base de datos. Por ejemplo, un riesgo identificado durante una auditoría técnica puede incluirse automáticamente en el cuadro de mandos de riesgos presentado al Consejo. Del mismo modo, una decisión estratégica adoptada por el Consejo (por ejemplo, aumentar el presupuesto cibernético en un X%) puede traducirse en objetivos en el módulo del plan de acción y supervisarse operativamente. Esta continuidad digital evita la pérdida de información entre la alta dirección y los equipos operativos.

Con Smart Global Governance, los CIO y los CISO disponen de una poderosa palanca para implicar a sus directivos. La plataforma se dirige tanto a los técnicos como a los estrategas: para los primeros, ofrece el nivel de detalle y rigor que esperan, mientras que para los segundos, proporciona una visión sintética. Al estructurar la cibergobernanza y facilitar la comunicación vertical, Smart Global Governance ayuda a su empresa a responder al espíritu de la NIS 2: ciberseguridad gestionada al más alto nivel, factor de confianza y resiliencia para toda la organización.