La ciberseguridad ya no puede entenderse como un tema exclusivamente técnico ni como una tarea aislada del área de TI. Hoy forma parte de la continuidad operacional, del cumplimiento normativo, de la reputación de marca y de la capacidad de una empresa para crecer con confianza. En ese contexto, hablar de gobernanza de ciberseguridad significa definir quién toma decisiones, quién responde por los riesgos, quién ejecuta los controles y cómo se supervisa todo ese trabajo.
Muchas organizaciones en Chile y Latinoamérica han avanzado en la contratación de servicios tecnológicos, soporte administrado, infraestructura cloud, monitoreo de seguridad o desarrollo de software. Sin embargo, todavía es frecuente encontrar una confusión peligrosa: creer que al contratar un proveedor externo se transfiere por completo la responsabilidad sobre la seguridad. Eso no ocurre. Un proveedor puede operar herramientas, implementar controles, monitorear alertas y asesorar técnicamente, pero la responsabilidad final sobre el riesgo del negocio sigue estando en la empresa.
Por eso, la gobernanza de ciberseguridad es un tema central para gerentes generales, gerentes de operaciones, líderes de tecnología, responsables de cumplimiento y también para proveedores tecnológicos. Cuando los roles no están claros, aparecen vacíos: accesos sin control, decisiones críticas sin aprobación, incidentes mal gestionados, contratos ambiguos, incumplimientos regulatorios y expectativas que no coinciden con la realidad del servicio.
En este artículo revisaremos qué es la gobernanza de ciberseguridad, por qué importa, cuáles son las responsabilidades del gerente y cuáles corresponden al proveedor, además de las buenas prácticas para construir una relación efectiva y madura entre ambas partes.
¿Qué significa gobernanza de ciberseguridad?
La gobernanza de ciberseguridad es el conjunto de decisiones, políticas, responsabilidades, procesos y mecanismos de supervisión que permiten dirigir y controlar cómo una organización protege su información, sus sistemas y sus operaciones frente a amenazas digitales.
No se trata solo de instalar antivirus, firewalls o plataformas de monitoreo. La gobernanza responde preguntas más estratégicas:
- ¿Qué riesgos de ciberseguridad está dispuesta a aceptar la empresa?
- ¿Quién aprueba inversiones en seguridad?
- ¿Qué activos son críticos para el negocio?
- ¿Cómo se priorizan los controles?
- ¿Quién debe actuar frente a un incidente?
- ¿Cómo se mide el desempeño del proveedor?
- ¿Qué obligaciones contractuales existen respecto a confidencialidad, continuidad y respuesta?
En otras palabras, la gobernanza conecta la seguridad con la estrategia del negocio. Permite que la empresa no reaccione de forma improvisada, sino que gestione sus riesgos con criterios claros.
Por qué este tema importa a nivel gerencial
En muchas empresas, la ciberseguridad todavía se delega completamente al área técnica. El problema es que los impactos de un incidente no son solo técnicos. Un ataque puede detener ventas, afectar la atención a clientes, exponer datos sensibles, generar multas, dañar la reputación y comprometer relaciones comerciales.
Por eso, la gerencia no necesita convertirse en experta en herramientas de seguridad, pero sí debe asumir un rol activo en la dirección del riesgo. La alta administración define prioridades, asigna presupuesto, aprueba políticas, exige reportes y toma decisiones cuando hay que equilibrar seguridad, costos, velocidad y continuidad operacional.
Cuando la gerencia se involucra, la ciberseguridad deja de ser un gasto reactivo y se transforma en una capacidad de gestión. Esto es especialmente relevante en procesos de transformación digital, migración a cloud computing, automatización de procesos, integración con terceros y desarrollo de software a medida, donde la superficie de ataque crece rápidamente.
La responsabilidad del gerente no se delega
Uno de los errores más comunes es pensar que un contrato con un proveedor de tecnología equivale a transferir la responsabilidad sobre la seguridad. En realidad, lo que se puede delegar es la ejecución de ciertas tareas, pero no la responsabilidad final sobre el negocio, los datos y el cumplimiento.
El gerente, o la dirección de la empresa, sigue siendo responsable de:
1. Definir el apetito de riesgo
Toda empresa acepta ciertos riesgos y rechaza otros. No todas necesitan el mismo nivel de protección, pero todas deben decidir conscientemente qué nivel de exposición es tolerable. Esa definición no puede recaer solo en el proveedor, porque depende del impacto que tendría un incidente sobre el negocio.
Por ejemplo, una empresa que procesa datos sensibles de clientes o que depende de una operación 24/7 tendrá una tolerancia al riesgo distinta a la de una organización con procesos menos críticos. La gerencia debe establecer ese marco para que las decisiones técnicas tengan sentido.
2. Aprobar políticas y prioridades
Las políticas de acceso, uso de dispositivos, respaldo, clasificación de información, gestión de incidentes y continuidad operativa deben contar con respaldo ejecutivo. Si la gerencia no las valida ni las impulsa, es difícil que se cumplan de forma consistente.
Además, la dirección debe priorizar. No todo puede hacerse al mismo tiempo. La empresa necesita decidir si primero fortalecerá identidades, respaldos, segmentación de red, protección de endpoints, seguridad cloud o capacitación de usuarios. Esa priorización debe responder al riesgo del negocio, no solo a la preferencia técnica del momento.
3. Asignar recursos y presupuesto
La ciberseguridad requiere inversión en personas, procesos, herramientas y servicios. Si la gerencia exige altos niveles de protección pero no asigna presupuesto suficiente, se genera una brecha entre expectativa y capacidad real.
La gobernanza madura exige que la dirección entienda que la seguridad no es un proyecto puntual, sino una práctica continua. Eso implica financiar evaluaciones, mejoras, monitoreo, pruebas, capacitación y actualización tecnológica.
4. Exigir métricas y supervisión
La gerencia debe pedir visibilidad. No basta con confiar en que “todo está funcionando”. Es necesario revisar indicadores como:
- Estado de vulnerabilidades críticas
- Cumplimiento de respaldos
- Tiempo de respuesta a incidentes
- Disponibilidad de sistemas críticos
- Nivel de actualización de activos
- Resultados de auditorías o evaluaciones
- Riesgos abiertos y planes de remediación
Estas métricas permiten supervisar al proveedor y también evaluar la madurez interna de la organización.
5. Impulsar una cultura de seguridad
Muchos incidentes comienzan con errores humanos: contraseñas débiles, phishing, uso indebido de accesos, intercambio inseguro de información o falta de reporte oportuno. La gerencia tiene un rol clave en instalar una cultura donde la seguridad sea parte del trabajo diario y no una obligación molesta.
Esto incluye apoyar campañas de concientización, exigir cumplimiento de políticas y dar el ejemplo en el uso responsable de la información.
6. Tomar decisiones en momentos críticos
Durante un incidente relevante, hay decisiones que exceden lo técnico: comunicar o no a clientes, activar planes de continuidad, detener ciertos servicios, involucrar asesores legales, informar a reguladores o redefinir prioridades operativas. Esas decisiones corresponden a la empresa, no al proveedor.
El proveedor puede recomendar y ejecutar acciones, pero la conducción del impacto de negocio es responsabilidad de la gerencia.
Qué responsabilidades sí puede asumir el proveedor
Un proveedor especializado cumple un rol fundamental en la implementación y operación de la ciberseguridad. Su valor está en aportar experiencia, metodología, capacidad técnica, herramientas y continuidad operativa. Sin embargo, su alcance debe estar claramente definido.
Entre las responsabilidades que habitualmente puede asumir un proveedor se encuentran:
1. Evaluar el estado de seguridad
El proveedor puede realizar diagnósticos, levantamiento de brechas, análisis de vulnerabilidades, revisión de configuraciones, evaluación de riesgos y propuestas de mejora. Este trabajo ayuda a la empresa a entender su situación actual y priorizar acciones.
2. Diseñar e implementar controles
Dependiendo del servicio contratado, el proveedor puede desplegar soluciones de protección de endpoints, firewalls, autenticación multifactor, respaldos, monitoreo, segmentación, hardening de servidores, seguridad en la nube y otros controles técnicos.
También puede apoyar la integración de buenas prácticas de seguridad en proyectos de desarrollo de software o modernización tecnológica.
3. Operar servicios de seguridad administrada
Muchas empresas externalizan parte de la operación de seguridad para ganar capacidad de monitoreo y respuesta. En ese caso, el proveedor puede encargarse de tareas como:
- Monitoreo de eventos y alertas
- Gestión de vulnerabilidades
- Administración de plataformas de seguridad
- Revisión de logs
- Soporte ante incidentes
- Gestión de respaldos y recuperación
- Actualización de controles y configuraciones
Eso sí, estas tareas deben estar respaldadas por acuerdos de nivel de servicio claros.
4. Asesorar en cumplimiento y buenas prácticas
Un proveedor con experiencia puede orientar a la empresa en marcos de referencia, políticas, procedimientos, segregación de funciones, controles mínimos y documentación necesaria para auditorías o exigencias regulatorias.
No reemplaza la responsabilidad legal o ejecutiva de la organización, pero sí puede ser un socio relevante para estructurar el modelo de gestión.
5. Apoyar la respuesta a incidentes
Ante un evento de seguridad, el proveedor puede contener, investigar, recopilar evidencia técnica, restaurar servicios y recomendar acciones de remediación. Su rapidez y experiencia pueden marcar una gran diferencia.
Sin embargo, para que esa respuesta sea efectiva, deben existir protocolos previos: contactos definidos, niveles de escalamiento, criterios de severidad y autorizaciones claras.
La línea divisoria: responsabilidad versus ejecución
Una forma simple de entender la relación entre gerente y proveedor es distinguir entre responsabilidad de negocio y ejecución operativa.
La empresa define el riesgo aceptable, aprueba políticas, decide prioridades, autoriza inversiones y asume el impacto final. El proveedor ejecuta tareas técnicas, entrega visibilidad, recomienda mejoras y opera dentro del alcance contratado.
Cuando esta línea divisoria no está documentada, aparecen conflictos frecuentes:
- La empresa cree que el proveedor “debía evitar” cualquier incidente
- El proveedor indica que no tenía autorización para aplicar ciertos cambios
- No existe claridad sobre quién debía revisar accesos o respaldos
- Los tiempos de respuesta esperados no estaban formalizados
- Se asume cobertura 24/7 cuando el contrato no la contempla
La gobernanza busca precisamente evitar estas zonas grises.
Qué debe quedar definido en el contrato y en el modelo operativo
Para que la relación funcione, no basta con una propuesta comercial general. La empresa y el proveedor deben aterrizar la gobernanza en documentos y rutinas concretas.
Alcance del servicio
Debe especificarse qué activos, sistemas, sedes, usuarios o plataformas están cubiertos. También qué tareas están incluidas y cuáles no. Por ejemplo, no es lo mismo monitorear alertas que responder activamente a incidentes, ni administrar infraestructura que definir políticas de acceso.
Roles y responsables
Conviene establecer una matriz de responsabilidades. Esto permite identificar quién aprueba, quién ejecuta, quién informa y quién supervisa cada proceso relevante: altas y bajas de usuarios, gestión de vulnerabilidades, respaldos, cambios críticos, incidentes, restauración, revisiones periódicas y auditorías.
Niveles de servicio
Los SLA deben indicar tiempos de atención, escalamiento, ventanas de soporte, severidades y compromisos de disponibilidad. Sin estos parámetros, es difícil exigir desempeño o comparar expectativas con resultados.
Gestión de incidentes
Es clave definir cómo se clasifica un incidente, quién debe ser notificado, en qué plazo, qué acciones puede ejecutar el proveedor sin autorización previa y qué decisiones requieren aprobación de la empresa.
Accesos y privilegios
Si el proveedor administrará sistemas críticos, deben establecerse reglas de acceso, trazabilidad, uso de cuentas privilegiadas, revisión periódica y revocación oportuna. Este punto es especialmente sensible porque muchos riesgos provienen de accesos excesivos o mal controlados.
Protección de datos y confidencialidad
El contrato debe contemplar obligaciones sobre tratamiento de información, resguardo de datos, uso de subcontratistas, almacenamiento, transferencia y eliminación segura. Esto es esencial cuando el proveedor accede a información sensible o entornos productivos.
Reportabilidad y comités de seguimiento
La gobernanza necesita instancias formales de revisión. Reuniones mensuales o trimestrales permiten revisar indicadores, incidentes, riesgos, cambios relevantes y planes de mejora. Sin seguimiento, la relación se vuelve reactiva.
Errores comunes en la gobernanza de ciberseguridad
Incluso empresas con buenos proveedores pueden fallar si su modelo de gobernanza es débil. Estos son algunos errores habituales:
Pensar que la seguridad es solo un problema de TI
La seguridad impacta al negocio completo. Si la dirección no participa, las decisiones se toman sin contexto estratégico.
Contratar herramientas sin definir procesos
Una plataforma por sí sola no resuelve nada si no hay responsables, procedimientos y seguimiento.
No revisar periódicamente el alcance del proveedor
El negocio cambia, aparecen nuevas aplicaciones, se migra a la nube, se suman integraciones o crece el equipo. Si el alcance del servicio no se actualiza, quedan activos fuera de control.
No exigir evidencia ni métricas
Confiar ciegamente en reportes informales impide detectar brechas y medir resultados.
No preparar la respuesta a incidentes
Improvisar durante una crisis aumenta el impacto. La coordinación entre empresa y proveedor debe definirse antes del incidente.
Delegar decisiones críticas sin marco de autoridad
El proveedor puede recomendar, pero no debería asumir decisiones de negocio que corresponden a la empresa.
Cómo construir una gobernanza más madura
La buena noticia es que no se necesita una estructura compleja para empezar. Una gobernanza efectiva puede construirse de forma gradual.
1. Identificar activos y procesos críticos
Antes de hablar de controles, la empresa debe saber qué necesita proteger con mayor prioridad: sistemas comerciales, ERP, correo, datos de clientes, plataformas e-commerce, ambientes cloud, respaldos o procesos operativos esenciales.
2. Definir responsables internos
Aunque exista un proveedor externo, siempre debe haber un dueño interno del riesgo, un responsable de coordinar y un nivel ejecutivo que supervise.
3. Formalizar políticas mínimas
Accesos, contraseñas, respaldos, uso de dispositivos, gestión de incidentes y clasificación de información son bases necesarias.
4. Establecer una matriz de responsabilidades con el proveedor
Esto reduce ambigüedades y mejora la coordinación diaria.
5. Medir y revisar
La gobernanza madura se apoya en reportes periódicos, indicadores y planes de mejora. Lo que no se mide, no se gestiona.
6. Integrar la seguridad en la transformación digital
Cada nuevo proyecto tecnológico debe considerar seguridad desde el inicio. Esto aplica a migraciones cloud, automatización de procesos, integraciones con terceros y desarrollo de software.
El rol del proveedor como socio estratégico
Un buen proveedor no solo ejecuta tareas técnicas. También ayuda a traducir riesgos complejos en decisiones comprensibles para la gerencia. Aporta orden, visibilidad y experiencia para que la empresa avance con mayor madurez.
Eso implica hablar en términos de impacto de negocio, priorización, continuidad y cumplimiento, no solo en lenguaje técnico. Cuando el proveedor actúa como socio estratégico, facilita que la organización tome mejores decisiones y no simplemente que compre más tecnología.
Pero para que esa relación funcione, la empresa también debe involucrarse. La gobernanza no se terceriza por completo. Se construye en conjunto, con responsabilidades diferenciadas y objetivos compartidos.
Conclusión
La gobernanza de ciberseguridad es, en esencia, una disciplina de gestión. Su propósito no es eliminar todo riesgo, algo imposible, sino asegurar que la empresa entienda sus exposiciones, tome decisiones informadas y coordine adecuadamente a sus equipos y proveedores.
El gerente tiene la responsabilidad de dirigir: definir prioridades, aprobar políticas, asignar recursos, supervisar resultados y decidir frente a impactos de negocio. El proveedor tiene la responsabilidad de ejecutar con excelencia: evaluar, implementar, operar, alertar y acompañar técnicamente dentro del alcance acordado.
Cuando ambos roles están claros, la organización gana control, reduce incertidumbre y mejora su capacidad de respuesta. Cuando no lo están, la ciberseguridad se vuelve una suma de supuestos, vacíos y reacciones tardías.
En un entorno donde los riesgos digitales crecen junto con la transformación digital, contar con una gobernanza clara ya no es opcional. Es una condición básica para operar con confianza, proteger la continuidad del negocio y aprovechar la tecnología de forma segura.
Si tu empresa necesita ordenar roles, definir responsabilidades con su proveedor o fortalecer su modelo de seguridad, en HDTI podemos ayudarte a evaluar brechas y diseñar una gobernanza de ciberseguridad alineada al negocio.
Conversemos sobre cómo implementar controles, métricas y procesos claros para reducir riesgos y mejorar la toma de decisiones en tu organización.