Cinco indicadores clave que el consejo de administración realmente comprende
Un escenario típico en una reunión del consejo de supervisión: cuarenta diapositivas, un millón de ataques bloqueados en un gráfico de barras, un panel de control de cumplimiento en verde. El órgano asiente y no hace preguntas. Tres meses después, un proceso clave falla durante dos días. Los mismos consejeros preguntan por qué nadie tenía el riesgo en el radar. El problema no era la falta de informes, sino el informe equivocado. Quien cuenta ataques bloqueados ofrece actividad. Quien hace visible el riesgo estratégico proporciona una base para la toma de decisiones. La diferencia determina si un CISO es tomado en serio.
Lo más importante en resumen
- La BSIG obliga a la dirección, no al órgano: El párrafo 38 exige a la dirección ejecutiva implementar las medidas de gestión de riesgos y supervisar su aplicación. No contempla un canal de reporting directo del CISO al consejo de supervisión.
- La necesidad de información emana del derecho societario: El consejo de supervisión supervisa la gestión según el párrafo 111 de la AktG, y la dirección informa al menos trimestralmente sobre la situación de la empresa. El riesgo cibernético forma parte de esta situación.
- Cinco métricas son suficientes: Eficacia del control, capacidad de recuperación, estado de los proveedores externos, madurez de respuesta y un panorama de amenazas prospectivo. Cuatro muestran una tendencia, la quinta es una imagen situacional predictiva. Cada una tiene una relación clara con el negocio.
- Las métricas de volumen no pertenecen al órgano: Ataques bloqueados, alarmas de firewall y marcas verdes generan una apariencia de seguridad sin relevancia para una decisión estratégica.
Relacionado:Qué derechos de decisión del CISO deben regularse por escrito / CISO a tiempo parcial: qué puede externalizarse y qué debe permanecer interno
¿Qué debe incluir el reporting de ciberseguridad para el consejo de supervisión?
¿Qué es el reporting para el consejo en el contexto de la ciberseguridad? El reporting para el consejo es la presentación condensada y orientada a la toma de decisiones sobre la situación de riesgo cibernético dirigida al órgano de supervisión o control. Traduce el estado técnico de la seguridad en unas pocas métricas estratégicas con tendencia y relación con el negocio, para que el órgano pueda evaluar la eficacia de las medidas de seguridad sin caer en estadísticas operativas de conteo.
El error más común es confundir esfuerzo con información relevante. He visto informes que detallaban en treinta páginas cada regla de firewall y cada escaneo rechazado. Impresionante a la vista, pero inútil para tomar una decisión. Un consejo de supervisión no quiere saber cuántos ataques se han repelido. Quiere saber si la empresa sobrevivirá a un ataque que logre penetrar. Esa es una pregunta distinta. Y requiere otras cifras.
Por qué la dirección responde y el consejo de supervisión necesita cifras igualmente
La situación legal suele simplificarse en exceso. El artículo 38 de la BSIG, en vigor desde el 6 de diciembre de 2025, obliga a la dirección de instituciones especialmente importantes e importantes a implementar las medidas de gestión de riesgos según el artículo 30 y a supervisar su aplicación. El apartado 3 exige además que los miembros de la dirección asistan periódicamente a formaciones. Sin embargo, la BSIG no establece una vía de comunicación directa del CISO al consejo de supervisión.
El derecho a la información del órgano surge en otro plano. El consejo de supervisión supervisa la gestión según el artículo 111 de la AktG; en el caso de la GmbH con consejo de supervisión, se aplica correspondientemente el artículo 52 de la GmbHG. En la sociedad anónima, el consejo de administración informa al consejo de supervisión, según el artículo 90 de la AktG, al menos trimestralmente sobre el desarrollo de los negocios y la situación de la sociedad. En la GmbH con consejo de supervisión facultativo, el ritmo se deriva del derecho de información del órgano y del reglamento de información, que en la práctica suele ser también trimestral. Un riesgo cibernético que amenace la disponibilidad, integridad o confidencialidad de servicios críticos para el negocio forma parte de esta situación. De ello se desprende la necesidad de información estructurada, no una ley separada de reporting para el consejo.
Para el CISO, esto tiene una consecuencia práctica. Su informe se dirige formalmente a la dirección, que lo necesita para cumplir con su deber de supervisión según el artículo 38 y para rendir cuentas ante el consejo de supervisión. Un buen reporting permite a la dirección informar con competencia. Precisamente aquí reside la palanca que muchos responsables de seguridad subestiman.
Cinco indicadores que sustentan una decisión
Los siguientes cinco indicadores cubren la necesidad estratégica de información. No se trata de una lista legalmente prescrita. Se derivan de las medidas mínimas del párrafo 30, apartado 2 de la BSIG y las traducen a un lenguaje que un órgano de control conoce de otras áreas de riesgo.
| Indicador | Qué responde | Sustituye el teatro de | Referencia BSIG |
|---|---|---|---|
| Eficacia del control | ¿Funciona lo que hemos decidido? | Casillas verdes de compliance, diapositivas de certificados | Párrafo 30, apartado 2, número 6 (evaluación de eficacia) |
| Capacidad de recuperación | ¿Con qué rapidez se reanudan los procesos clave tras una caída? | «Las copias de seguridad funcionan» sin prueba de recuperación | Párrafo 30, apartado 2, número 3 (operación, backup, gestión de crisis) |
| Estado de terceros proveedores | ¿Qué dependencias críticas no han sido evaluadas? | Número total de contratos SaaS activos | Párrafo 30, apartado 2, número 4 (seguridad de la cadena de suministro) |
| Madurez de respuesta | ¿Pudimos actuar bajo presión? | Número de ataques bloqueados, volumen de alarmas | Párrafo 30, apartado 2, número 2 (gestión de incidentes) |
| Situación de amenazas (Forward-Look) | ¿Qué iniciativa cambia nuestro riesgo? | Matriz de riesgos estática, lista CVE sin contexto | Párrafo 30, apartado 2, número 1 (análisis de riesgos) |
Eficacia del control. La proporción de controles críticos para el negocio que alcanzan un umbral de eficacia definido, presentada con la variación respecto al trimestre anterior y las tres mayores brechas abiertas, junto con la fecha prevista de cierre. Ejemplos incluyen la cobertura con autenticación multifactor en cuentas privilegiadas, el cumplimiento del plazo de parcheo en sistemas expuestos a internet o la cobertura de registro. El órgano reconoce aquí el mismo patrón de verificación que en los controles internos del ámbito financiero. El semáforo es secundario; la tendencia es lo que importa.
Capacidad de recuperación. Para procesos empresariales críticos definidos, el tiempo de reinicio alcanzado en ejercicios o incidentes reales y la pérdida máxima de datos tolerada, además de la fecha del último ejercicio exitoso de recuperación. Este indicador traduce la resiliencia técnica en tiempo de inactividad empresarial, una magnitud que cualquier consejo de supervisión conoce de la producción o la logística. El número de copias de seguridad exitosas no dice nada si la recuperación nunca se ha probado.
Estado de terceros proveedores. La proporción de proveedores críticos con evaluación de riesgos actualizada, los hallazgos de alto riesgo abiertos y una indicación de concentración cuando un único proveedor soporta varias funciones clave. Los terceros proveedores son dependencias estratégicas. La dependencia es un lenguaje que un órgano de control entiende. Cómo un riesgo en la cadena de suministro se convierte en un programa gestionable lo he descrito con más detalle en otro lugar.
Madurez de respuesta. Para incidentes y ejercicios relevantes – no alarmas cotidianas – , cuentan tres aspectos: el tiempo hasta la contención, si las vías de escalada funcionaron y el estado de implementación de las medidas derivadas de las revisiones posteriores. Como indicador de gobernanza, puede añadirse el estado de las obligaciones de notificación según el párrafo 32 de la BSIG. La pregunta central tras un incidente grave no es cuántos ataques se repelieron, sino si el equipo pudo gestionar el que logró penetrar.
Situación de amenazas como Forward-Look. El único indicador prospectivo del conjunto, y a la vez el más importante. Es menos un número que una imagen estructurada de la situación. ¿Qué iniciativas empresariales en curso modifican el panorama de riesgos, como una migración a la nube, la introducción de IA o una actualización de ERP? ¿Qué nuevos escenarios de amenaza afectan al sector clave? Por cada entrada, el impacto esperado, la contramedida prevista y el punto en el que el órgano decide sobre el apetito de riesgo, el presupuesto o un requisito de aprobación. En muchas reuniones domina la retrospectiva de programas ya finalizados. El Forward-Look debe prepararse conscientemente; de lo contrario, faltará. Un buen CISO cierra activamente esta brecha.
Qué no tiene cabida en el órgano de supervisión
Tan importante como la selección de los cinco indicadores clave es la disciplina de descartar el resto. Las métricas operativas pertenecen al informe del CISO para la dirección, al equipo de seguridad y al panorama operativo. En el órgano de supervisión causan daño, porque consumen atención sin permitir tomar decisiones.
Los ataques bloqueados y las alertas de firewall son meras cifras de volumen. Aumentan con el tamaño de la empresa y no dicen nada sobre su eficacia. Las cifras de parches sin referencia a un plazo acordado son actividad sin baremo. Un cuadro de mando de cumplimiento en verde o un certificado reciente demuestran que un proceso fue auditado en algún momento, no que una medida de control esté funcionando hoy. Quien muestra estos indicadores genera una apariencia de seguridad que se desmorona ante el primer incidente real.
El ritmo: informe trimestral de situación, excepción inmediata
La Ley de Seguridad de la Información (BSIG) no establece una frecuencia de reporting para el órgano de supervisión. El ritmo se deriva del derecho societario. En la sociedad anónima, el consejo de administración informa según el párrafo 90 de la Ley de Sociedades Anónimas (AktG) al menos trimestralmente sobre la situación, mientras que en la sociedad de responsabilidad limitada (GmbH) se desprende un ritmo comparable del derecho de información y el reglamento interno. El reporting de ciberseguridad se ajusta a este esquema. El informe trimestral muestra el valor actual y la tendencia de cada indicador, y el informe anual añade la madurez estratégica del programa. En caso de un incidente grave o una decisión de TI de gran alcance, se aplica la vía de urgencia que el párrafo 90 de la AktG habilita a través del presidente del consejo de supervisión.
Una nota sobre el sector financiero. Para las empresas sujetas a DORA, el reglamento es la norma más específica. El órgano de dirección define, aprueba y supervisa allí el marco para la gestión de riesgos de las tecnologías de la información y la comunicación. Sus miembros están sujetos, según el artículo 5, apartado 4 de DORA, a una obligación de formación propia. DORA endurece así, sobre todo, la gobernanza y los flujos de información hacia el órgano de dirección. Los cinco indicadores clave siguen siendo válidos, el ritmo frente al consejo de supervisión se mantiene según el derecho societario y se complementa con las expectativas de la supervisión financiera.
Al final, un buen reporting para el consejo es un ejercicio de traducción. Pocos datos, cada uno con una tendencia o un panorama de situación y una frase sobre el negocio, cada uno con una recomendación clara. Esto supone menos material que las habituales cuarenta diapositivas y, sin embargo, mucho más impacto. La síntesis crea espacio para las preguntas relevantes. Y las buenas preguntas son lo que un CISO quiere llevarse de la reunión con el consejo de supervisión.
Preguntas frecuentes
Cada pregunta está cerrada. Al escribir se desbloquea la respuesta.
¿Qué indicadores espera un consejo de supervisión del CISO?
La ley no especifica una lista fija. En la práctica, cinco indicadores estratégicos son relevantes: la eficacia de los controles críticos, la capacidad de recuperación de los procesos críticos para el negocio, el estado de riesgo de los proveedores críticos de terceros, la madurez de la respuesta ante incidentes y una situación prospectiva de amenazas y cambios. Cada uno debería mostrar tendencias y relevancia para el negocio.
¿Cuántas veces debería tratarse el riesgo cibernético en el consejo de supervisión?
La BSIG 2025 no especifica una frecuencia para el consejo. En la sociedad anónima, el consejo de administración informa al consejo de supervisión al menos trimestralmente sobre la situación de la empresa, según el párrafo 90 del AktG; en la GmbH con consejo de supervisión, se deriva un ritmo similar del derecho de información y la orden de información. Los informes cibernéticos se basan en esto: trimestralmente para la situación y la tendencia, inmediatamente en caso de incidentes significativos o decisiones estratégicas de TI.
¿Qué exige el párrafo 38 de la BSIG a la dirección?
El párrafo 38 obliga a la dirección de las instituciones especialmente importantes e importantes a implementar las medidas de gestión de riesgos según el párrafo 30 y a supervisar su implementación. Además, los miembros de la dirección deben participar regularmente en capacitaciones según el apartado 3. El BSIG no especifica un camino de informe directo del CISO al consejo de supervisión. El CISO informa a la dirección. El consejo de supervisión obtiene su información a través de su obligación de informar según la ley de sociedades.
¿Qué indicadores son inadecuados para la presentación de informes ante el consejo?
Inadecuados son las métricas operativas basadas en volumen sin referencia al negocio: ataques bloqueados, alertas de firewall, números de parche sin contexto de plazo, así como simples casillas de verificación de cumplimiento o pruebas de certificados sin evidencia de efectividad. Generan la impresión de actividad, pero no proporcionan al consejo una base para una decisión estratégica sobre el riesgo.
Recomendaciones de lectura de la redacción
Recomendación de lecturaQué derechos de decisión del CISO deben estar regulados por escritoRecomendación de lecturaQué controles no deben eliminarse al reducir herramientasRecomendación de lecturaNIS2 tras el plazo: comienza ahora la supervisión del BSI
Más del MBF Media Netzwerk
Digital ChiefsLa geopolítica impacta en la hoja de ruta de los centros de datos: qué deben asegurar ahora los CIOMyBusinessFutureLey de IA de la UE: qué debe etiquetar la mediana empresacloudmagazinXFS4IoT y la nube: el cajero automático se convierte en plataforma





