Escribe Nazly Borrero Vásquez sobre la gobernanza en seguridad de la información

Nazly Borrero Vásquez, distinguida como una de las 100 mujeres líderes de México, columnista de www.globalbuenosaires.com.ar, escribe sobre la gobernanza en seguridad de la información .

Es  Ingeniera Informática, cuenta con estudios en las especializaciones y diplomados en Gerencia Estratégica, Derecho Informático, Maestra en Ciberseguridad con la UTH Florida, posee certificaciones internacionales en Protección de Datos Personales, Auditoria Forense, ISO27001 Seguridad de la Información, Perito Ciberjudicial.

También ese autora de los libros “Fronteras Invisibles de la Ciberseguridad”, “A un Click de Enredarse Recargado 1 y 2”, “Clickea y Procede Mejor” y “Cadena Inmutable: Homologación y Forensia en la Era Digital” y  “Cyber Artificial. Conectando las Fuerzas Digitales de Protección”.

LA GOBERNANZA EN SEGURIDAD DE LA INFORMACIÓN: UN PILAR ESTRATÉGICO PARA LA PROTECCIÓN DE LOS DATOS, LA INTELIGENCIA ARTIFICIAL Y LA RESILIENCIA

La gobernanza en seguridad de la información es el conjunto de políticas, procesos, controles y estructuras de decisión que permiten dirigir, supervisar y controlar la protección de los activos de información de una organización. Su propósito principal es asegurar que la seguridad esté alineada con los objetivos del negocio, gestionando adecuadamente los riesgos y garantizando el cumplimiento de las regulaciones aplicables.

Uno de los aspectos más relevantes de esta gobernanza es la protección de los datos personales. Actualmente, las empresas recopilan grandes volúmenes de información relacionada con clientes, proveedores, empleados y socios comerciales. Esta información puede incluir nombres, direcciones, números telefónicos, correos electrónicos, datos biométricos, información médica o hábitos de consumo. Una filtración o uso indebido de estos datos no solo puede generar pérdidas económicas, sino también afectar gravemente la reputación de la organización y la confianza de los usuarios.

La implementación de una adecuada gobernanza permite establecer políticas claras sobre la recolección, almacenamiento, tratamiento, transferencia y eliminación de datos personales. Asimismo, facilita el cumplimiento de normativas nacionales e internacionales relacionadas con la privacidad y protección de datos, reduciendo riesgos legales y fortaleciendo la transparencia corporativa.

Otro componente fundamental es la protección de la información financiera de la organización. Los estados financieros, presupuestos, inversiones, registros contables y proyecciones económicas representan información altamente sensible que puede ser utilizada por ciberdelincuentes para cometer fraudes, extorsiones o espionaje corporativo.

La gobernanza de seguridad establece controles de acceso basados en privilegios, mecanismos de cifrado, monitoreo continuo y segregación de funciones para evitar accesos no autorizados. Además, promueve una cultura organizacional donde la confidencialidad, integridad y disponibilidad de la información financiera se convierten en responsabilidades compartidas entre las áreas de tecnología, finanzas, auditoría y dirección ejecutiva.

En los últimos años, la rápida adopción de herramientas basadas en Inteligencia Artificial ha generado nuevos desafíos para las organizaciones. Muchas empresas están utilizando sistemas de IA para automatizar procesos, analizar grandes volúmenes de datos, mejorar la atención al cliente y apoyar la toma de decisiones. Sin embargo, pocas cuentan con una regulación interna que establezca criterios claros sobre su uso seguro y responsable.

La ausencia de una gobernanza de IA puede generar riesgos significativos. Por ejemplo, modelos de inteligencia artificial pueden procesar información sensible sin controles adecuados, generar decisiones sesgadas, producir resultados incorrectos o exponer información confidencial a terceros. Además, el uso indiscriminado de herramientas de IA generativa puede provocar fugas de información estratégica cuando los colaboradores introducen datos corporativos en plataformas externas sin autorización.

Por esta razón, resulta indispensable que las organizaciones desarrollen políticas específicas de gobernanza de Inteligencia Artificial. Estas políticas deben definir los casos de uso permitidos, los niveles de autorización requeridos, los controles de privacidad, los mecanismos de supervisión humana y los criterios de evaluación de riesgos asociados a cada solución implementada. La IA debe ser vista como una herramienta de apoyo y no como un sustituto absoluto de la toma de decisiones humanas.

Un elemento igualmente importante dentro de la gobernanza es la capacidad de respuesta ante incidentes de seguridad. Ninguna organización está completamente exenta de sufrir un ciberataque, una filtración de información o una interrupción de sus servicios tecnológicos. La diferencia entre una crisis controlada y un desastre corporativo radica en la preparación previa y la capacidad de reacción.

Contar con un Plan de Respuesta a Incidentes permite identificar rápidamente los eventos de seguridad, contener las amenazas, minimizar el impacto operacional y restaurar los servicios afectados en el menor tiempo posible. Dicho plan debe contemplar procedimientos claros para la detección, análisis, contención, erradicación, recuperación y documentación de incidentes.

Además, es fundamental que las organizaciones realicen simulacros periódicos para evaluar la efectividad de sus protocolos y fortalecer la coordinación entre las diferentes áreas involucradas. La gestión de incidentes no debe recaer exclusivamente en el departamento de tecnología; requiere la participación activa de áreas legales, comunicación corporativa, recursos humanos, dirección ejecutiva y gestión de riesgos.

A pesar de la creciente digitalización, todavía existen numerosas organizaciones que no han implementado una estructura formal de gobernanza en seguridad de la información. En muchos casos, las decisiones relacionadas con la protección de los datos son tomadas de manera reactiva, sin una estrategia definida y sin el respaldo de la alta dirección. Esta situación incrementa considerablemente la exposición a riesgos operativos, financieros y reputacionales.

Asimismo, una de las mayores debilidades observadas en diversas empresas es la falta de auditorías especializadas sobre los controles de seguridad y el uso de tecnologías emergentes como la Inteligencia Artificial. Sin procesos de auditoría periódicos, resulta difícil determinar si las políticas existentes son efectivas, si los controles están funcionando adecuadamente o si existen vulnerabilidades que podrían ser explotadas por actores maliciosos.

Las auditorías permiten evaluar el cumplimiento normativo, verificar la madurez de los controles implementados, identificar brechas de seguridad y generar planes de mejora continua. También proporcionan evidencia objetiva para la toma de decisiones estratégicas y fortalecen la confianza de clientes, inversionistas y organismos reguladores.

Las buenas prácticas internacionales recomiendan que la gobernanza en seguridad de la información se apoye en marcos reconocidos como ISO 27001, NIST Cybersecurity Framework, COBIT e ISO 42001 para la gestión de sistemas de Inteligencia Artificial. Estos estándares ofrecen lineamientos estructurados que ayudan a las organizaciones a desarrollar modelos de gestión más eficientes, medibles y sostenibles.

La verdadera transformación digital no consiste únicamente en adoptar nuevas tecnologías, sino en gestionarlas de manera responsable y segura. La gobernanza permite precisamente lograr ese equilibrio entre innovación y control, garantizando que los beneficios tecnológicos no se conviertan en nuevas fuentes de riesgo.

La gobernanza en seguridad de la información representa un componente esencial para la supervivencia y competitividad de las organizaciones modernas. Su implementación fortalece la protección de los datos personales, resguarda la información financiera, regula el uso responsable de la Inteligencia Artificial, mejora la capacidad de respuesta ante incidentes y promueve una cultura de seguridad basada en la mejora continua. Las organizaciones que adopten una visión estratégica de la gobernanza estarán mejor preparadas para enfrentar los desafíos del entorno digital actual, proteger la confianza de sus usuarios y construir un futuro más seguro, resiliente e innovador.