Los 25 puntos que un consejo debe verificar para dormir tranquilo
Ser consejero hoy ya no es entender balances, sino saber gobernar el riesgo digital.
Bajo marcos como NIS2, DORA o NIST CSF 2.0, los órganos de gobierno deben rendir cuentas de su supervisión sobre la ciberseguridad y demostrar diligencia debida ante accionistas, reguladores y clientes.
La siguiente lista recoge 25 puntos críticos, ordenados por prioridad, que todo Consejo de Administración debe verificar para poder afirmar con tranquilidad que está ejerciendo su deber fiduciario en materia de ciberseguridad.
Checklist de Debida Diligencia en Ciberseguridad
(Del más crítico al menos crítico)
1. Gobernanza y responsabilidad
Designación formal del responsable de ciberseguridad (CISO) y su dependencia jerárquica adecuada (reportando a CEO o Consejo).
Política de ciberseguridad aprobada por el Consejo, con revisión anual y trazabilidad de las decisiones.
Marco normativo aplicable identificado: NIS2, DORA, ENS, ISO 27001, etc., y plan de cumplimiento asociado.
Evaluación anual de madurez de ciberseguridad basada en un marco reconocido (NIST, ISO, CIS, etc.).
Informe periódico al Consejo (mínimo trimestral) con indicadores de riesgo, incidentes y evolución de controles.
2. Riesgo y resiliencia
Mapa de riesgos tecnológicos y cibernéticos integrado en el mapa global de riesgos corporativos.
Análisis de impacto en negocio (BIA) actualizado y vinculado a escenarios de cibercrisis.
Planes de continuidad y recuperación ante desastres (BCP/DRP) probados al menos una vez al año.
Seguro cibernético (cyber insurance) con cobertura adecuada y revisión legal de exclusiones.
Evaluación de la exposición de terceros críticos y cadena de suministro digital.
3. Protección técnica y cumplimiento
Inventario actualizado de activos tecnológicos y datos críticos.
Gestión de vulnerabilidades con parches críticos aplicados en menos de 30 días.
Controles de acceso basados en el principio de mínimo privilegio y autenticación multifactor.
Monitorización continua (SOC, SIEM o MDR) con capacidad de detección temprana.
Cumplimiento del RGPD y protección de datos personales con supervisión del DPO.
4. Personas y cultura
Programa anual de concienciación y simulaciones de phishing para toda la plantilla.
Formación específica en ciberseguridad para el Consejo y la Alta Dirección.
Procedimientos de alta y baja de empleados con control de accesos y retirada de credenciales.
Código ético actualizado con mención explícita a la seguridad de la información.
Canal de denuncia y respuesta ante comportamientos sospechosos o negligentes.
5. Preparación y respuesta ante incidentes
Plan de respuesta a incidentes cibernéticos aprobado y probado.
Simulacros de crisis (table-top) con participación del Consejo y comunicación corporativa.
Mecanismo de notificación a autoridades competentes (INCIBE, AEPD, sectoriales, etc.).
Procedimiento de comunicación pública y reputacional en caso de ciberincidente.
Revisión post-incidente (lecciones aprendidas) y ajustes en políticas y controles.
Cómo usar este checklist
El Consejo no necesita ser técnico, pero sí debe exigir evidencia verificable de cada uno de estos puntos.
Puede delegar la ejecución, no la responsabilidad.
Recomendación:
-
Solicitar un informe anual independiente que evalúe los 25 puntos.
-
Integrar los resultados en el Informe de Gobierno Corporativo o de Sostenibilidad (ESG).
-
Alinear la supervisión de ciberseguridad con el Comité de Auditoría o Riesgos.
Conclusión
La ciberseguridad ya no es un asunto del departamento de IT: es una materia de gobierno y diligencia fiduciaria.
Un Consejo que domina estos 25 puntos no solo cumple, lidera con responsabilidad y resiliencia.
