- Por Alexis Campos, CEO y fundador de Grupotech.
Hay una conversación que necesitamos tener con más frecuencia en las salas de directorio chilenas. No es una conversación técnica. Es una conversación sobre riesgo, sobre continuidad del negocio y sobre la responsabilidad de quienes toman decisiones estratégicas.
Durante años, la ciberseguridad fue una línea en el presupuesto de tecnología. Algo que el equipo de TI gestionaba, que el gerente general aprobaba sin preguntarse demasiado para qué servía, y que el directorio veía como un costo operativo menor. Esa época terminó.
No terminó porque la tecnología cambió, aunque también cambió. Terminó porque las consecuencias de un incidente de seguridad ya no son recuperables con un fin de semana de trabajo del equipo técnico. Son potencialmente devastadoras: pérdida de datos de clientes, paralización de operaciones, sanciones regulatorias, daño reputacional que puede tardar años en reconstruirse, y en algunos casos, el fin del negocio.
Las preguntas que debería estar haciendo su directorio hoy
Si mañana sufrieran un ataque de ransomware que paralizara las operaciones por dos semanas, ¿cuánto perdería la empresa? No en términos técnicos. En términos financieros concretos.
¿Qué datos de clientes, proveedores o empleados están en los sistemas de la empresa? ¿Qué obligaciones legales tiene la organización si esos datos se ven comprometidos? ¿Quién está a cargo de tomar decisiones en las primeras horas de un incidente?
¿Cuándo fue la última vez que alguien intentó activamente vulnerar sus sistemas para encontrar las fallas antes que un atacante?
Estas no son preguntas de TI. Son preguntas de gobierno corporativo. Y si el directorio no puede responderlas con certeza, hay un vacío de gestión que ningún antivirus puede llenar.
Cómo presentar el riesgo en lenguaje ejecutivo
El primer paso para que la ciberseguridad suba al directorio es cambiar el lenguaje. Los gerentes de TI hablan de vulnerabilidades, de CVEs, de parches y de configuraciones. Los directores hablan de riesgo, de impacto financiero y de probabilidad.
La traducción es posible y necesaria. Una vulnerabilidad crítica no mitigada en el sistema de gestión de clientes no es un problema técnico. Es un riesgo de exposición de datos que, bajo la Ley 21.663, puede derivar en sanciones de hasta 40.000 UTM y en la obligación de notificar a todos los afectados. Ese número sí tiene relevancia en una sala de directorio.
Del mismo modo, la inversión en ciberseguridad no debería presentarse como un gasto, sino como una prima de seguro con retorno calculable. Una empresa que gasta anualmente en protección activa evita incidentes cuyo costo promedio de recuperación en Chile supera varias veces esa inversión.
El cambio de rol que se necesita
Las organizaciones más maduras en materia de ciberseguridad no son necesariamente las que tienen más presupuesto. Son las que tienen claridad sobre quién es responsable de qué. Hay una persona, sea el CISO, el Virtual CISO o el gerente general en empresas más pequeñas, que lleva el tema al directorio con regularidad, que traduce el estado de la seguridad en indicadores comprensibles y que tiene mandato para actuar.
Sin ese rol, la ciberseguridad se gestiona reactivamente. Se invierte después de un incidente, no antes. Se improvisa durante la crisis en lugar de ejecutar un plan.
La Ley Marco establece que los directorios de operadores de infraestructura crítica son responsables de garantizar estándares de seguridad. Pero la responsabilidad estratégica no debería ser solo una obligación legal. Debería ser una práctica de buen gobierno.
Su empresa no necesita ser un banco para merecer que el directorio se pregunte seriamente: ¿estamos protegidos? ¿Qué pasaría si no lo estuviéramos?


