La ciberseguridad dejó de ser un asunto técnico para convertirse en una responsabilidad directa de la alta dirección. En un escenario regulatorio cada vez más exigente, los directorios enfrentan hoy nuevos deberes, riesgos y responsabilidades personales que obligan a replantear su rol frente a la gestión del riesgo digital y la fortaleza del negocio.
Durante años, la ciberseguridad fue considerada un asunto técnico, delegado casi por completo a las áreas de TI. Hoy, ese paradigma quedó atrás. La creciente digitalización de los servicios críticos y la entrada en vigor de la Ley Marco de Ciberseguridad han redefinido de manera sustantiva el rol de los directorios, especialmente en aquellas organizaciones catalogadas como Operadores de Importancia Vital (OIV).
La sola calificación como OIV —independientemente de que la nómina definitiva pueda ajustarse— introduce a la empresa en un régimen regulatorio más exigente, con estándares reforzados de cumplimiento y un marco sancionatorio significativamente más severo. Este escenario eleva, de forma directa, el nivel de responsabilidad que recae sobre cada uno de los directores.
La ciberseguridad como riesgo estratégico del negocio
Para los directorios, el principal cambio es conceptual: la ciberseguridad deja de ser un riesgo operativo y pasa a integrarse al corazón del riesgo estratégico del negocio. En organizaciones que prestan servicios esenciales o tienen impacto sistémico, una falla de seguridad no solo implica una interrupción tecnológica, sino también efectos económicos, regulatorios y reputacionales de gran magnitud.
Desde esta perspectiva, el deber de diligencia exige que los directores comprendan cómo la empresa gestiona sus riesgos digitales, qué nivel de exposición real enfrenta y si las medidas adoptadas son proporcionales a la criticidad de sus operaciones. No basta con recibir reportes genéricos: es necesario exigir información clara, actualizada y accionable.
Supervisión activa y toma de decisiones informadas
El marco legal actual obliga a los directorios a ejercer una supervisión efectiva sobre los sistemas de gestión de ciberseguridad, los planes de continuidad operativa y los mecanismos de respuesta y reporte de incidentes. Esto implica verificar que la organización cumpla con las obligaciones específicas establecidas por la Ley 21.663 y que dichas obligaciones estén correctamente integradas con otros requerimientos normativos vigentes.
Un desafío frecuente es la superposición de exigencias regulatorias provenientes de distintas leyes. Si estas no se coordinan adecuadamente, pueden generar brechas en la gestión de incidentes o inconsistencias en los procesos de reporte, que terminan debilitando la postura de seguridad de la empresa en lugar de fortalecerla.
Lealtad, criterio y priorización del interés social
Otro elemento clave es el deber de lealtad. En contextos de presión presupuestaria o de corto plazo, puede resultar tentador postergar inversiones en ciberseguridad o minimizar su alcance. Sin embargo, en empresas clasificadas como OIV, estas decisiones pueden entrar en conflicto directo con el interés social de la organización y con las obligaciones legales que pesan sobre ella.
La resistencia operativa y la protección de los servicios críticos no son opcionales. Reducir costos a expensas de la seguridad puede traducirse, en caso de un incidente, en sanciones regulatorias, pérdidas patrimoniales significativas y un daño reputacional difícil de revertir.
Responsabilidad individual en un entorno normativo más estricto
Uno de los aspectos más relevantes —y a menudo subestimados— es que el incumplimiento de estos deberes no afecta únicamente a la empresa como persona jurídica. En determinadas circunstancias, puede configurarse responsabilidad civil individual de los directores, especialmente si se acredita negligencia, falta de supervisión o desatención frente a riesgos conocidos.
Además, la tendencia legislativa apunta a un endurecimiento progresivo del marco sancionatorio. La coexistencia de normas sobre delitos informáticos, delitos económicos, responsabilidad penal de las personas jurídicas, protección de datos personales y ciberseguridad crea un escenario en el que un solo incidente puede activar múltiples regímenes de responsabilidad, tanto civiles como penales.
Un cambio estructural en el gobierno corporativo
El mensaje es claro: el gobierno corporativo está cambiando. Los directorios ya no pueden mantenerse al margen de la ciberseguridad ni tratarla como un asunto exclusivamente técnico. Comprender el marco regulatorio, exigir controles adecuados y tomar decisiones informadas se ha vuelto parte esencial del rol directivo.
En este nuevo contexto, la preparación, la vigilancia activa y la integración de la ciberseguridad en la estrategia del negocio marcarán la diferencia entre organizaciones que logran adaptarse y aquellas que quedan expuestas a riesgos legales y operativos cada vez más difíciles de gestionar.
Si necesitas ayuda para enfrentar este nuevo escenario, en Lockbits te podemos guiar. Contáctanos en https://lockbits.cl/contacto/
- Share:
