Las sesiones de consejo, cada vez más digitalizadas, representan hoy un nuevo frente de riesgo que exige atención inmediata. En este contexto, la responsabilidad fiduciaria de los consejeros se amplía para incluir la protección de los activos digitales, la información confidencial y la continuidad operativa de las organizaciones. La transformación digital ha redefinido la dinámica de los órganos de gobierno.
Las reuniones que antes se realizaban de manera presencial, respaldadas por documentación física, ahora se desarrollan en entornos virtuales que dependen de plataformas digitales, almacenamiento en la nube y dispositivos personales. Estos avances han incrementado la eficiencia y flexibilidad de las sesiones, pero también la exposición a amenazas que pueden comprometer la confidencialidad, integridad y disponibilidad de la información corporativa. Ante ello, los consejos enfrentan el reto de equilibrar la adopción tecnológica con mecanismos efectivos de control y protección.
El deber fiduciario de los consejeros implica actuar en el mejor interés de la organización y, en consecuencia, brindar protección a los activos financieros e intangibles, entre ellos, la información. En ese sentido, la gobernanza cibernética se ha consolidado como un componente esencial de la supervisión corporativa; su relevancia responde al aumento de la frecuencia y sofisticación de los ciberataques, a los estándares internacionales que demandan mayor involucramiento del consejo en la gestión del riesgo digital, así como al surgimiento de regulaciones que obligan a certificar el cumplimiento de políticas de seguridad de la información.
Cumplir con estas responsabilidades requiere contar con programas robustos de seguridad que garanticen la prevención, detección y respuesta oportuna ante incidentes. La regulación 500 del Departamento de Servicios Financieros del Estado de Nueva York (NYDFS, por sus siglas en inglés) establece la implementación de políticas de seguridad, capacitación continua, evaluaciones de riesgo, pruebas de penetración, controles de acceso, cifrado de información no pública y una certificación anual firmada por el presidente del consejo o un alto directivo.
De manera similar a la anterior, la Ley Modelo de Seguridad de Datos, desarrollada por la National Association of Insurance Commissioners (NAIC), incorpora requisitos equivalentes para el sector asegurador. Estos marcos normativos sirven como guía para fortalecer la supervisión del consejo, incluso en jurisdicciones donde aún no se han establecido exigencias legales formales.
El entorno de amenazas cibernéticas se ha intensificado notablemente. Durante la contingencia sanitaria de Covid-19, el Buró Federal de Investigaciones (FBI, por sus siglas en inglés) reportó un incremento del 300% en las denuncias de delitos informáticos, impulsado por el trabajo remoto, la desactualización de sistemas y el uso de redes domésticas sin protección. A esto se sumó la publicación de herramientas ofensivas por parte de grupos como Shadow Brokers y WikiLeaks, que revelaron vulnerabilidades no corregidas en millones de sistemas informáticos.
Este escenario demuestra que ninguna organización está exenta de sufrir un ataque, sin importar su tamaño o sector, y que la preparación ante estos eventos debe integrarse en la estrategia corporativa. La gestión de incidentes se complica cuando las organizaciones carecen de un plan de respuesta o de continuidad de negocio.
Es responsabilidad del consejo garantizar la existencia de estrategias adecuadas, roles definidos y procedimientos claros para la restauración de datos. La participación de los consejeros en ejercicios de simulación permite evaluar la efectividad de estos planes y fortalecer la resiliencia institucional. También se recomienda que el consejo reciba reportes periódicos sobre indicadores de riesgo, brechas detectadas y resultados de auditorías de ciberseguridad, a fin de asegurar un monitoreo constante y la mejora continua de los controles implementados.
Entre las prácticas recomendadas se encuentran la autenticación multifactorial en las plataformas de reunión, el uso de canales cifrados y herramientas certificadas para videoconferencias, así como la capacitación continua de los consejeros en riesgos digitales y manejo seguro de la información. Igualmente, resulta fundamental establecer políticas claras sobre el uso, resguardo y eliminación de documentos antes, durante y después de las sesiones; asimismo, se deben designar responsables específicos para la gestión segura de los materiales del consejo. Las organizaciones más avanzadas han comenzado a integrar comités especializados o consejeros con experiencia en ciberseguridad, lo cual permite elevar el nivel de supervisión y promover una cultura de prevención más sólida.
Los estándares internacionales ofrecen marcos de referencia útiles para orientar la gobernanza cibernética. La norma ISO/IEC 27001 es el estándar más reconocido para la gestión de la seguridad de la información, mientras que la ISO/IEC 27014 define lineamientos sobre gobernanza en esta materia. Adicionalmente, el NIST Cybersecurity Framework y las guías del Consejo de Examen de Instituciones Financieras Federales (FFIEC, por sus siglas en inglés) brindan criterios prácticos para identificar, proteger, detectar y responder a amenazas digitales. Adaptar estos modelos a las particularidades de cada organización ayuda a alinear la gestión tecnológica con los objetivos estratégicos y el apetito de riesgo corporativo.
La ciberseguridad en las sesiones de consejo no constituye una cuestión técnica aislada, sino una extensión natural de la responsabilidad fiduciaria. En un entorno digitalmente vulnerable, los consejeros deben participar activamente en la supervisión de los riesgos tecnológicos y asegurar la protección de la información estratégica, la continuidad operativa y la confianza de los grupos de interés. Incorporar la ciberseguridad como eje transversal de la estrategia corporativa fortalece la gobernanza, mejora la toma de decisiones y refuerza la resiliencia organizacional.
Hoy en día, los consejos de administración tienen la oportunidad (y la obligación) de liderar con visión digital, adoptando buenas prácticas, promoviendo una cultura de seguridad y asegurando que sus organizaciones estén preparadas para enfrentar los desafíos del presente y del futuro. Una gobernanza cibernética efectiva no sólo protege a la empresa frente a posibles ataques, sino que también se convierte en un factor de confianza ante inversionistas, clientes y reguladores. En la era digital, la diligencia no se mide únicamente por los resultados financieros, sino también por la capacidad de anticiparse y responder con responsabilidad a las amenazas tecnológicas.
La F1 muestra cómo la coordinación eficiente de un equipo puede transformar procesos críticos, enseñando a resolver problemas complejos en otras industrias.
Mauricio Brizuela Arce
La CURP biométrica es una muestra de la evolución para mejorar la identificación, pero enfrenta desafíos de ciberseguridad, privacidad y protección de datos.
Víctor Miguel Morales González
Gestionar adecuadamente el duelo por cerrar una empresa permite asimilar lo aprendido y proyectar los siguientes pasos en la trayectoria del fundador.
Mauricio Brizuela Arce
La auditoría interna en la cadena de suministro de una entidad es muy importante, pues es un proceso donde se involucra la gestión de personas y recursos.
Juan Rivero Medina
© 2026 Colegio de Contadores Públicos de México, A.C.
Directorio Contacto Aviso legal Acerca de Veritas
Inicia sesión o suscríbete para continuar leyendo.