Menú
Domingo, 07 de Septiembre de 2025
Diario de Economía de la Región de Murcia
OPINIÓNLa importancia de la gestión de riesgos de seguridad para el consejo de dirección
  • Buscar
Domingo, 07 de Septiembre de 2025
Diario de Economía de la Región de Murcia

DIARIO DE ECONOMÍA DE LA REGIÓN DE MURCIA

Francisco Luis de Andrés Pérez

La importancia de la gestión de riesgos de seguridad para el consejo de dirección


En el entorno empresarial actual, la seguridad de la información es un aspecto crítico que debe ser comprendido y gestionado adecuadamente por el consejo de dirección de cualquier organización. A continuación, se detallan los puntos clave que los directivos deben conocer sobre los riesgos de seguridad, las estrategias para su tratamiento y las regulaciones vigentes en España.


Conocimiento de los riesgos de seguridad


El consejo de dirección debe estar informado sobre los riesgos de seguridad que enfrenta la organización utilizando metodologías que permitan identificar de cada uno de los riesgos, cuál es su valor en cuanto a riesgo inherente, riesgo residual y riesgo objetivo. La identificación y evaluación de estos riesgos son fundamentales para proteger los activos de la empresa y garantizar la continuidad del negocio.


Estrategias para el tratamiento de riesgos


Una vez identificados los riesgos, es crucial implementar estrategias efectivas para su tratamiento:


•    Mitigación: Reducir la probabilidad o el impacto de los riesgos.

 

•    Transferencia: Contratar seguros o externalizar servicios.

 

•    Aceptación: Asumir el riesgo cuando el costo de mitigarlo es mayor que el impacto potencial (**)

•    Evitar: Cambiar procesos o tecnologías para eliminar el riesgo.


Análisis de riesgos de usuarios y proveedores


•    Los usuarios y proveedores son considerados los eslabones más débiles en la cadena de seguridad. Es esencial realizar un análisis exhaustivo de los riesgos asociados a estos actores, incluyendo la formación en ciberseguridad de los empleados o las campañas de simulación de phishing, y para la evaluación de riesgos a proveedores, lo más efectivo hasta la fecha son los cuestionarios de seguridad y herramientas TPRM.


Dificultad para comprender las metodologías de riesgos

 

•    Las metodologías de análisis de riesgos pueden ser complejas. Es importante utilizar modelos claros que identifiquen para cada uno de los riesgos los tres factores necesarios: Vulnerabilidad, Amenaza y Consecuencias. Hay muchas metodologías en el mercado, pero muy pocas hacen correctamente este análisis centrándose en definir los impactos. Mi recomendación es la utilización del modelo del Departamento de Defensa de los Estados Unidos, conocido como DOD-RIO. Si se logra llevar a cualquiera de estos factores a cero, el riesgo no se materializará.

 

[Img #9012]


Regulaciones de seguridad en España


En España, existen varias regulaciones que obligan a las empresas a gestionar sus riesgos de seguridad, sin embargo, estamos en un año muy activo en cuanto a nuevas regulaciones que va a revolucionar el mundo de la ciberseguridad: 


•    Aprobación en las próximas semanas del Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad que transpone la Directiva NIS 2 y refuerza la protección de las redes y sistemas de información.


•    En vigor, Reglamento de Resiliencia Operacional Digital (DORA) establece requisitos rigurosos para la gestión de riesgos tecnológicos y la continuidad operativa de las entidades financieras y aseguradoras, así como de sus proveedores de servicios. Cumplir con estos requisitos es esencial para garantizar la resiliencia operativa y la ciberseguridad en el sector financiero.


Responsabilidades solidarias de los equipos directivos


Las nuevas leyes establecen responsabilidades solidarias para los equipos directivos, quienes pueden ser responsables de las consecuencias de no implementar adecuadamente las medidas de seguridad necesarias. Es fundamental que los directivos comprendan estas responsabilidades y actúen en consecuencia.


Contratación de personal calificado


Tradicionalmente las áreas de tecnología (IT) han asumido las funciones relacionadas con la ciberseguridad, sin embargo, esto es un gran error porque por un lado no permite la autonomía necesaria en cuanto a roles y se comparten presupuestos, dejando a veces la ciberseguridad como algo accesorio o residual, y por otro lado, el personal de IT no tiene en la mayoría de los casos, conocimiento profundo sobre los dominios de la ciberseguridad. Si hablamos de ciberseguridad en entorno industrial (OT) sería aún más complejo.


Esto hace que sea altamente recomendable que las empresas cuenten con un responsable de seguridad de la información (CISO) con los conocimientos y experiencia necesarios para proteger a la empresa de ciberataques. Este profesional debe estar capacitado para identificar y gestionar los riesgos de seguridad.


Problemas de actuación reactiva y presupuestos reducidos


Uno de los problemas más importantes en las empresas es que solo actúan de forma reactiva, dejando su presupuesto en ciberseguridad muy reducido. Cuando sufren un ataque, resolver el problema cuesta mucho más de lo que podrían haber invertido anualmente. La proactividad en la gestión de riesgos es esencial para evitar estos problemas.


Auditorías y certificaciones


Las auditorías de certificación del ENS e ISO 27001, en ocasiones, no son efectivas debido a que se oculta a los auditores todo lo posible para salir airosos con el certificado con el menor número de “fallos” posible.
Sin embargo, los certificados de seguridad pueden proporcionar una falsa sensación de seguridad si no se obtienen y mantienen adecuadamente. Es fundamental verificar el alcance de las certificaciones de los proveedores y solicitar informes de auditoría externos anuales, pero no es suficiente porque se trata únicamente de una 'foto fija' y necesitaremos evidencias de su cumplimiento.


Entorno geopolítico y comercial


Por último, en un entorno de guerra comercial, guerra convencional y muchas tensiones geopolíticas a nivel global, es necesario que las empresas se protejan adecuadamente ya que pueden ser fácilmente víctimas colaterales de acciones encubiertas por parte de otros estados, lo que subraya la importancia de una gestión de riesgos de seguridad robusta.


Conclusión


La gestión de riesgos de seguridad es una responsabilidad crítica para el consejo de dirección. Implementar estrategias efectivas, cumplir con las regulaciones vigentes, contratar personal calificado y utilizar metodologías claras son pasos esenciales para proteger la organización y asegurar su continuidad en el mercado. La seguridad de la información no solo protege los activos de la empresa, sino que también fortalece la confianza de los clientes y socios comerciales, lo que es vital para el éxito a largo plazo. Debemos incorporar la ciberseguridad en nuestras organizaciones como parte de nuestra propuesta de valor diferencial en lugar de un coste.
 

(**) En ocasiones puede ser valorado como negligencia si asumen riesgos que ponen en riesgo datos sensibles o la actividad del negocio.

 

Linkedin: Francisco Luis de Andrés Pérez

Con tu cuenta registrada

Escribe tu correo y te enviaremos un enlace para que escribas una nueva contraseña.

Volver a acceder