{"id":20976,"date":"2026-06-27T11:00:00","date_gmt":"2026-06-27T11:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/?p=20976"},"modified":"2026-07-12T21:28:09","modified_gmt":"2026-07-12T21:28:09","slug":"informes-del-consejo-de-supervision","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/es\/2026\/06\/27\/informes-del-consejo-de-supervision\/","title":{"rendered":"Cinco indicadores clave que el consejo de administraci\u00f3n realmente comprende"},"content":{"rendered":"<p style=\"color:#69d8ed;font-size:0.9em;margin:0 0 16px;padding:0;\">6 Min. tiempo de lectura<\/p>\n<p><strong>Un escenario t\u00edpico en una reuni\u00f3n del consejo de supervisi\u00f3n: cuarenta diapositivas, un mill\u00f3n de ataques bloqueados en un gr\u00e1fico de barras, un panel de control de cumplimiento en verde. El \u00f3rgano asiente y no hace preguntas. Tres meses despu\u00e9s, un proceso clave falla durante dos d\u00edas. Los mismos consejeros preguntan por qu\u00e9 nadie ten\u00eda el riesgo en el radar. El problema no era la falta de informes, sino el informe equivocado. Quien cuenta ataques bloqueados ofrece actividad. Quien hace visible el riesgo estrat\u00e9gico proporciona una base para la toma de decisiones. La diferencia determina si un CISO es tomado en serio.<\/strong><\/p>\n<div style=\"background:#003340;color:#fff;padding:32px 36px;margin:32px 0;border-radius:8px;\">\n<p style=\"margin:0 0 18px 0;font-size:0.95em;font-weight:800;text-transform:uppercase;letter-spacing:0.2em;color:#69d8ed;border-bottom:2px solid rgba(105,216,237,0.25);padding-bottom:12px;\">Lo m\u00e1s importante en resumen<\/p>\n<ul style=\"margin:0;padding-left:22px;color:rgba(255,255,255,0.92);line-height:1.6;\">\n<li><strong style=\"color:#69d8ed;\">La BSIG obliga a la direcci\u00f3n, no al \u00f3rgano:<\/strong> El p\u00e1rrafo 38 exige a la direcci\u00f3n ejecutiva implementar las medidas de gesti\u00f3n de riesgos y supervisar su aplicaci\u00f3n. No contempla un canal de reporting directo del CISO al consejo de supervisi\u00f3n.<\/li>\n<li><strong style=\"color:#69d8ed;\">La necesidad de informaci\u00f3n emana del derecho societario:<\/strong> El consejo de supervisi\u00f3n supervisa la gesti\u00f3n seg\u00fan el p\u00e1rrafo 111 de la AktG, y la direcci\u00f3n informa al menos trimestralmente sobre la situaci\u00f3n de la empresa. El riesgo cibern\u00e9tico forma parte de esta situaci\u00f3n.<\/li>\n<li><strong style=\"color:#69d8ed;\">Cinco m\u00e9tricas son suficientes:<\/strong> Eficacia del control, capacidad de recuperaci\u00f3n, estado de los proveedores externos, madurez de respuesta y un panorama de amenazas prospectivo. Cuatro muestran una tendencia, la quinta es una imagen situacional predictiva. Cada una tiene una relaci\u00f3n clara con el negocio.<\/li>\n<li><strong style=\"color:#69d8ed;\">Las m\u00e9tricas de volumen no pertenecen al \u00f3rgano:<\/strong> Ataques bloqueados, alarmas de firewall y marcas verdes generan una apariencia de seguridad sin relevancia para una decisi\u00f3n estrat\u00e9gica.<\/li>\n<\/ul>\n<\/div>\n<p style=\"font-size:0.88em;color:#b8c5ce;margin:20px 0 32px 0;border-top:1px solid rgba(230,227,218,0.12);border-bottom:1px solid rgba(230,227,218,0.12);padding:10px 0;\"><span style=\"color:#69d8ed;font-weight:700;text-transform:uppercase;font-size:0.72em;letter-spacing:0.14em;margin-right:14px;\">Relacionado:<\/span><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/06\/23\/cuales-derechos-de-decision-del-ciso-deben-estar-regulados-por-escrito\/\" style=\"color:#333;text-decoration:underline;\">Qu\u00e9 derechos de decisi\u00f3n del CISO deben regularse por escrito<\/a>&nbsp;&nbsp;<span style=\"color:#ccc;\">\/<\/span>&nbsp;&nbsp;<a href=\"https:\/\/www.securitytoday.de\/es\/2026\/06\/24\/ciso-a-tiempo-parcial-que-puede-estar-fuera-y-que-debe-permanecer-dentro\/\" style=\"color:#333;text-decoration:underline;\">CISO a tiempo parcial: qu\u00e9 puede externalizarse y qu\u00e9 debe permanecer interno<\/a><\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">\u00bfQu\u00e9 debe incluir el reporting de ciberseguridad para el consejo de supervisi\u00f3n?<\/h2>\n<p><strong>\u00bfQu\u00e9 es el reporting para el consejo en el contexto de la ciberseguridad?<\/strong> El reporting para el consejo es la presentaci\u00f3n condensada y orientada a la toma de decisiones sobre la situaci\u00f3n de riesgo cibern\u00e9tico dirigida al \u00f3rgano de supervisi\u00f3n o control. Traduce el estado t\u00e9cnico de la seguridad en unas pocas m\u00e9tricas estrat\u00e9gicas con tendencia y relaci\u00f3n con el negocio, para que el \u00f3rgano pueda evaluar la eficacia de las medidas de seguridad sin caer en estad\u00edsticas operativas de conteo.<\/p>\n<p>El error m\u00e1s com\u00fan es confundir esfuerzo con informaci\u00f3n relevante. He visto informes que detallaban en treinta p\u00e1ginas cada regla de firewall y cada escaneo rechazado. Impresionante a la vista, pero in\u00fatil para tomar una decisi\u00f3n. Un consejo de supervisi\u00f3n no quiere saber cu\u00e1ntos ataques se han repelido. Quiere saber si la empresa sobrevivir\u00e1 a un ataque que logre penetrar. Esa es una pregunta distinta. Y requiere otras cifras.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Por qu\u00e9 la direcci\u00f3n responde y el consejo de supervisi\u00f3n necesita cifras igualmente<\/h2>\n<p>La situaci\u00f3n legal suele simplificarse en exceso. El art\u00edculo 38 de la BSIG, en vigor desde el 6 de diciembre de 2025, obliga a la direcci\u00f3n de instituciones especialmente importantes e importantes a implementar las medidas de gesti\u00f3n de riesgos seg\u00fan el art\u00edculo 30 y a supervisar su aplicaci\u00f3n. El apartado 3 exige adem\u00e1s que los miembros de la direcci\u00f3n asistan peri\u00f3dicamente a formaciones. Sin embargo, la BSIG no establece una v\u00eda de comunicaci\u00f3n directa del CISO al consejo de supervisi\u00f3n.<\/p>\n<p>El derecho a la informaci\u00f3n del \u00f3rgano surge en otro plano. El consejo de supervisi\u00f3n supervisa la gesti\u00f3n seg\u00fan el art\u00edculo 111 de la AktG; en el caso de la GmbH con consejo de supervisi\u00f3n, se aplica correspondientemente el art\u00edculo 52 de la GmbHG. En la sociedad an\u00f3nima, el consejo de administraci\u00f3n informa al consejo de supervisi\u00f3n, seg\u00fan el art\u00edculo 90 de la AktG, al menos trimestralmente sobre el desarrollo de los negocios y la situaci\u00f3n de la sociedad. En la GmbH con consejo de supervisi\u00f3n facultativo, el ritmo se deriva del derecho de informaci\u00f3n del \u00f3rgano y del reglamento de informaci\u00f3n, que en la pr\u00e1ctica suele ser tambi\u00e9n trimestral. Un riesgo cibern\u00e9tico que amenace la disponibilidad, integridad o confidencialidad de servicios cr\u00edticos para el negocio forma parte de esta situaci\u00f3n. De ello se desprende la necesidad de informaci\u00f3n estructurada, no una ley separada de reporting para el consejo.<\/p>\n<p>Para el CISO, esto tiene una consecuencia pr\u00e1ctica. Su informe se dirige formalmente a la direcci\u00f3n, que lo necesita para cumplir con su deber de supervisi\u00f3n seg\u00fan el art\u00edculo 38 y para rendir cuentas ante el consejo de supervisi\u00f3n. Un buen reporting permite a la direcci\u00f3n informar con competencia. Precisamente aqu\u00ed reside la palanca que muchos responsables de seguridad subestiman.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Cinco indicadores que sustentan una decisi\u00f3n<\/h2>\n<p>Los siguientes cinco indicadores cubren la necesidad estrat\u00e9gica de informaci\u00f3n. No se trata de una lista legalmente prescrita. Se derivan de las medidas m\u00ednimas del p\u00e1rrafo 30, apartado 2 de la BSIG y las traducen a un lenguaje que un \u00f3rgano de control conoce de otras \u00e1reas de riesgo.<\/p>\n<div style=\"overflow-x:auto;-webkit-overflow-scrolling:touch;margin:16px 0 32px 0;\">\n<table style=\"width:100%;min-width:640px;border-collapse:collapse;margin:0;font-size:0.95em;\">\n<thead>\n<tr style=\"border-bottom:2px solid #69d8ed;\">\n<th style=\"text-align:left;padding:10px 12px;\">Indicador<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">Qu\u00e9 responde<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">Sustituye el teatro de<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">Referencia BSIG<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Eficacia del control<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">\u00bfFunciona lo que hemos decidido?<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Casillas verdes de compliance, diapositivas de certificados<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">P\u00e1rrafo 30, apartado 2, n\u00famero 6 (evaluaci\u00f3n de eficacia)<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Capacidad de recuperaci\u00f3n<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">\u00bfCon qu\u00e9 rapidez se reanudan los procesos clave tras una ca\u00edda?<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">\u00abLas copias de seguridad funcionan\u00bb sin prueba de recuperaci\u00f3n<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">P\u00e1rrafo 30, apartado 2, n\u00famero 3 (operaci\u00f3n, backup, gesti\u00f3n de crisis)<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Estado de terceros proveedores<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">\u00bfQu\u00e9 dependencias cr\u00edticas no han sido evaluadas?<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">N\u00famero total de contratos SaaS activos<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">P\u00e1rrafo 30, apartado 2, n\u00famero 4 (seguridad de la cadena de suministro)<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Madurez de respuesta<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">\u00bfPudimos actuar bajo presi\u00f3n?<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">N\u00famero de ataques bloqueados, volumen de alarmas<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">P\u00e1rrafo 30, apartado 2, n\u00famero 2 (gesti\u00f3n de incidentes)<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Situaci\u00f3n de amenazas (Forward-Look)<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">\u00bfQu\u00e9 iniciativa cambia nuestro riesgo?<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Matriz de riesgos est\u00e1tica, lista CVE sin contexto<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">P\u00e1rrafo 30, apartado 2, n\u00famero 1 (an\u00e1lisis de riesgos)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<p><strong>Eficacia del control.<\/strong> La proporci\u00f3n de controles cr\u00edticos para el negocio que alcanzan un umbral de eficacia definido, presentada con la variaci\u00f3n respecto al trimestre anterior y las tres mayores brechas abiertas, junto con la fecha prevista de cierre. Ejemplos incluyen la cobertura con autenticaci\u00f3n multifactor en cuentas privilegiadas, el cumplimiento del plazo de parcheo en sistemas expuestos a internet o la cobertura de registro. El \u00f3rgano reconoce aqu\u00ed el mismo patr\u00f3n de verificaci\u00f3n que en los controles internos del \u00e1mbito financiero. El sem\u00e1foro es secundario; la tendencia es lo que importa.<\/p>\n<p><strong>Capacidad de recuperaci\u00f3n.<\/strong> Para procesos empresariales cr\u00edticos definidos, el tiempo de reinicio alcanzado en ejercicios o incidentes reales y la p\u00e9rdida m\u00e1xima de datos tolerada, adem\u00e1s de la fecha del \u00faltimo ejercicio exitoso de recuperaci\u00f3n. Este indicador traduce la resiliencia t\u00e9cnica en tiempo de inactividad empresarial, una magnitud que cualquier consejo de supervisi\u00f3n conoce de la producci\u00f3n o la log\u00edstica. El n\u00famero de copias de seguridad exitosas no dice nada si la recuperaci\u00f3n nunca se ha probado.<\/p>\n<p><strong>Estado de terceros proveedores.<\/strong> La proporci\u00f3n de proveedores cr\u00edticos con evaluaci\u00f3n de riesgos actualizada, los hallazgos de alto riesgo abiertos y una indicaci\u00f3n de concentraci\u00f3n cuando un \u00fanico proveedor soporta varias funciones clave. Los terceros proveedores son dependencias estrat\u00e9gicas. La dependencia es un lenguaje que un \u00f3rgano de control entiende. C\u00f3mo un riesgo en la cadena de suministro se convierte en un programa gestionable lo he descrito con m\u00e1s detalle en otro lugar.<\/p>\n<p><strong>Madurez de respuesta.<\/strong> Para incidentes y ejercicios relevantes &#8211; no alarmas cotidianas &#8211; , cuentan tres aspectos: el tiempo hasta la contenci\u00f3n, si las v\u00edas de escalada funcionaron y el estado de implementaci\u00f3n de las medidas derivadas de las revisiones posteriores. Como indicador de gobernanza, puede a\u00f1adirse el estado de las obligaciones de notificaci\u00f3n seg\u00fan el p\u00e1rrafo 32 de la BSIG. La pregunta central tras un incidente grave no es cu\u00e1ntos ataques se repelieron, sino si el equipo pudo gestionar el que logr\u00f3 penetrar.<\/p>\n<p><strong>Situaci\u00f3n de amenazas como Forward-Look.<\/strong> El \u00fanico indicador prospectivo del conjunto, y a la vez el m\u00e1s importante. Es menos un n\u00famero que una imagen estructurada de la situaci\u00f3n. \u00bfQu\u00e9 iniciativas empresariales en curso modifican el panorama de riesgos, como una migraci\u00f3n a la nube, la introducci\u00f3n de IA o una actualizaci\u00f3n de ERP? \u00bfQu\u00e9 nuevos escenarios de amenaza afectan al sector clave? Por cada entrada, el impacto esperado, la contramedida prevista y el punto en el que el \u00f3rgano decide sobre el apetito de riesgo, el presupuesto o un requisito de aprobaci\u00f3n. En muchas reuniones domina la retrospectiva de programas ya finalizados. El Forward-Look debe prepararse conscientemente; de lo contrario, faltar\u00e1. Un buen CISO cierra activamente esta brecha.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Qu\u00e9 no tiene cabida en el \u00f3rgano de supervisi\u00f3n<\/h2>\n<p>Tan importante como la selecci\u00f3n de los cinco indicadores clave es la disciplina de descartar el resto. Las m\u00e9tricas operativas pertenecen al informe del CISO para la direcci\u00f3n, al equipo de seguridad y al panorama operativo. En el \u00f3rgano de supervisi\u00f3n causan da\u00f1o, porque consumen atenci\u00f3n sin permitir tomar decisiones.<\/p>\n<p>Los ataques bloqueados y las alertas de firewall son meras cifras de volumen. Aumentan con el tama\u00f1o de la empresa y no dicen nada sobre su eficacia. Las cifras de parches sin referencia a un plazo acordado son actividad sin baremo. Un cuadro de mando de cumplimiento en verde o un certificado reciente demuestran que un proceso fue auditado en alg\u00fan momento, no que una medida de control est\u00e9 funcionando hoy. Quien muestra estos indicadores genera una apariencia de seguridad que se desmorona ante el primer incidente real.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">El ritmo: informe trimestral de situaci\u00f3n, excepci\u00f3n inmediata<\/h2>\n<p>La Ley de Seguridad de la Informaci\u00f3n (BSIG) no establece una frecuencia de reporting para el \u00f3rgano de supervisi\u00f3n. El ritmo se deriva del derecho societario. En la sociedad an\u00f3nima, el consejo de administraci\u00f3n informa seg\u00fan el p\u00e1rrafo 90 de la Ley de Sociedades An\u00f3nimas (AktG) al menos trimestralmente sobre la situaci\u00f3n, mientras que en la sociedad de responsabilidad limitada (GmbH) se desprende un ritmo comparable del derecho de informaci\u00f3n y el reglamento interno. El reporting de ciberseguridad se ajusta a este esquema. El informe trimestral muestra el valor actual y la tendencia de cada indicador, y el informe anual a\u00f1ade la madurez estrat\u00e9gica del programa. En caso de un incidente grave o una decisi\u00f3n de TI de gran alcance, se aplica la v\u00eda de urgencia que el p\u00e1rrafo 90 de la AktG habilita a trav\u00e9s del presidente del consejo de supervisi\u00f3n.<\/p>\n<p>Una nota sobre el sector financiero. Para las empresas sujetas a DORA, el reglamento es la norma m\u00e1s espec\u00edfica. El \u00f3rgano de direcci\u00f3n define, aprueba y supervisa all\u00ed el marco para la gesti\u00f3n de riesgos de las tecnolog\u00edas de la informaci\u00f3n y la comunicaci\u00f3n. Sus miembros est\u00e1n sujetos, seg\u00fan el art\u00edculo 5, apartado 4 de DORA, a una obligaci\u00f3n de formaci\u00f3n propia. DORA endurece as\u00ed, sobre todo, la gobernanza y los flujos de informaci\u00f3n hacia el \u00f3rgano de direcci\u00f3n. Los cinco indicadores clave siguen siendo v\u00e1lidos, el ritmo frente al consejo de supervisi\u00f3n se mantiene seg\u00fan el derecho societario y se complementa con las expectativas de la supervisi\u00f3n financiera.<\/p>\n<p>Al final, un buen reporting para el consejo es un ejercicio de traducci\u00f3n. Pocos datos, cada uno con una tendencia o un panorama de situaci\u00f3n y una frase sobre el negocio, cada uno con una recomendaci\u00f3n clara. Esto supone menos material que las habituales cuarenta diapositivas y, sin embargo, mucho m\u00e1s impacto. La s\u00edntesis crea espacio para las preguntas relevantes. Y las buenas preguntas son lo que un CISO quiere llevarse de la reuni\u00f3n con el consejo de supervisi\u00f3n.<\/p>\n<h2 style=\"padding-top:64px;margin-bottom:20px;\">Preguntas frecuentes<\/h2>\n<p class=\"st-faq-hint\">Cada pregunta est\u00e1 cerrada. Al escribir se desbloquea la respuesta.<\/p>\n<details>\n<summary><strong>\u00bfQu\u00e9 indicadores espera un consejo de supervisi\u00f3n del CISO?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">La ley no especifica una lista fija. En la pr\u00e1ctica, cinco indicadores estrat\u00e9gicos son relevantes: la eficacia de los controles cr\u00edticos, la capacidad de recuperaci\u00f3n de los procesos cr\u00edticos para el negocio, el estado de riesgo de los proveedores cr\u00edticos de terceros, la madurez de la respuesta ante incidentes y una situaci\u00f3n prospectiva de amenazas y cambios. Cada uno deber\u00eda mostrar tendencias y relevancia para el negocio.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfCu\u00e1ntas veces deber\u00eda tratarse el riesgo cibern\u00e9tico en el consejo de supervisi\u00f3n?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">La BSIG 2025 no especifica una frecuencia para el consejo. En la sociedad an\u00f3nima, el consejo de administraci\u00f3n informa al consejo de supervisi\u00f3n al menos trimestralmente sobre la situaci\u00f3n de la empresa, seg\u00fan el p\u00e1rrafo 90 del AktG; en la GmbH con consejo de supervisi\u00f3n, se deriva un ritmo similar del derecho de informaci\u00f3n y la orden de informaci\u00f3n. Los informes cibern\u00e9ticos se basan en esto: trimestralmente para la situaci\u00f3n y la tendencia, inmediatamente en caso de incidentes significativos o decisiones estrat\u00e9gicas de TI.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfQu\u00e9 exige el p\u00e1rrafo 38 de la BSIG a la direcci\u00f3n?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">El p\u00e1rrafo 38 obliga a la direcci\u00f3n de las instituciones especialmente importantes e importantes a implementar las medidas de gesti\u00f3n de riesgos seg\u00fan el p\u00e1rrafo 30 y a supervisar su implementaci\u00f3n. Adem\u00e1s, los miembros de la direcci\u00f3n deben participar regularmente en capacitaciones seg\u00fan el apartado 3. El BSIG no especifica un camino de informe directo del CISO al consejo de supervisi\u00f3n. El CISO informa a la direcci\u00f3n. El consejo de supervisi\u00f3n obtiene su informaci\u00f3n a trav\u00e9s de su obligaci\u00f3n de informar seg\u00fan la ley de sociedades.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfQu\u00e9 indicadores son inadecuados para la presentaci\u00f3n de informes ante el consejo?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Inadecuados son las m\u00e9tricas operativas basadas en volumen sin referencia al negocio: ataques bloqueados, alertas de firewall, n\u00fameros de parche sin contexto de plazo, as\u00ed como simples casillas de verificaci\u00f3n de cumplimiento o pruebas de certificados sin evidencia de efectividad. Generan la impresi\u00f3n de actividad, pero no proporcionan al consejo una base para una decisi\u00f3n estrat\u00e9gica sobre el riesgo.<\/p>\n<\/details>\n<p><!--ST-LOWER-CARDS lang=de--><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">Recomendaciones de lectura de la redacci\u00f3n<\/h3>\n<p><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/06\/23\/cuales-derechos-de-decision-del-ciso-deben-estar-regulados-por-escrito\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/ciso-mandat-entscheidungsrechte-eskalation-cover-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">Recomendaci\u00f3n de lectura<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Qu\u00e9 derechos de decisi\u00f3n del CISO deben estar regulados por escrito<\/span><\/span><\/a><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/security-stack-konsolidierung-controls-nis2-paragraf-30-cover-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">Recomendaci\u00f3n de lectura<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Qu\u00e9 controles no deben eliminarse al reducir herramientas<\/span><\/span><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/06\/16\/nis2-despues-del-plazo-comienza-la-supervision-del-bsi\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/06\/nis2-aufsichtsphase-bsi-pflichten-deutschland-cover-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">Recomendaci\u00f3n de lectura<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">NIS2 tras el plazo: comienza ahora la supervisi\u00f3n del BSI<\/span><\/span><\/a><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">M\u00e1s del MBF Media Netzwerk<\/h3>\n<p><a href=\"https:\/\/www.digital-chiefs.de\/geopolitik-datacenter-roadmap-lieferketten-capex-cio\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-geopolitik-datacenter-roadmap-lieferkett-8054517-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#e8828d;margin-bottom:5px;\">Digital Chiefs<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">La geopol\u00edtica impacta en la hoja de ruta de los centros de datos: qu\u00e9 deben asegurar ahora los CIO<\/span><\/span><\/a><a href=\"https:\/\/mybusinessfuture.com\/eu-ai-act-2026-kennzeichnungspflichten-mittelstand\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-eu-ai-act-2026-kennzeichnungspflichten-m-35346140-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#aa8ac2;margin-bottom:5px;\">MyBusinessFuture<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Ley de IA de la UE: qu\u00e9 debe etiquetar la mediana empresa<\/span><\/span><\/a><a href=\"https:\/\/www.cloudmagazin.com\/2026\/06\/16\/xfs4iot-cloud-geldautomat-plattform-synaforce\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-xfs4iot-cloud-geldautomat-plattform-syna-61345494.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#0bb7fd;margin-bottom:5px;\">cloudmagazin<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">XFS4IoT y la nube: el cajero autom\u00e1tico se convierte en plataforma<\/span><\/span><\/a><!--\/ST-LOWER-CARDS--><\/p>\n","protected":false},"excerpt":{"rendered":"Cu\u00e1les cinco m\u00e9tricas clave debe informar un CISO al consejo de administraci\u00f3n y por qu\u00e9 los ataques bloqueados no reflejan el estado real de los riesgos\u2026","protected":false},"author":50,"featured_media":18201,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"Informe del Comit\u00e9 de Seguridad de la Informaci\u00f3n","_yoast_wpseo_title":"Cinco indicadores clave que el consejo de administraci\u00f3n realmente comprende","_yoast_wpseo_metadesc":"El CISO debe informar al Consejo de Administraci\u00f3n sobre cinco m\u00e9tricas clave y por qu\u00e9 los ataques bloqueados no reflejan el riesgo real.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/ciso-board-reporting-kennzahlen-aufsichtsrat-cover-hero.jpg","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/ciso-board-reporting-kennzahlen-aufsichtsrat-cover-hero.jpg","_yoast_wpseo_twitter-image-id":0,"evm_cvss":0,"evm_risk":0,"evm_casefile":"","evm_primary_cve":"","evm_external_preview_token":"","evm_external_preview_expires":"","_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":[],"footnotes":""},"categories":[258],"tags":[],"class_list":["post-20976","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-strategie-governance"],"evm_reading_time_minutes":13,"wpml_language":"es","wpml_translation_of":18200,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/20976","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/users\/50"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/comments?post=20976"}],"version-history":[{"count":9,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/20976\/revisions"}],"predecessor-version":[{"id":22052,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/20976\/revisions\/22052"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media\/18201"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media?parent=20976"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/categories?post=20976"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/tags?post=20976"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}