El rol del CEO y la alta dirección en la cultura de ciberseguridad: más allá de aprobar presupuestos
»Inicio»Articulos

El rol del CEO y la alta dirección en la cultura de ciberseguridad: más allá de aprobar presupuestos


Abril 2026 - Cultura organizacional y factor humano en ciberseguridad

Ningún programa de concientización, ninguna herramienta de seguridad y ningún CISO puede construir una cultura de ciberseguridad si la alta dirección no la encarna primero. La señal que da el liderazgo sobre qué importa en esta organización es la más poderosa — y la más difícil de falsificar.

En 2021, el CEO de Colonial Pipeline admitió ante el Congreso de Estados Unidos que la compañía no tenía un plan de respuesta a incidentes cuando el ataque de ransomware paralizó el suministro de combustible en la costa este del país. El oleoducto llevaba décadas operando. El presupuesto de TI era considerable. Nadie en la cúpula directiva había preguntado, en ninguna junta, qué pasaría si la operación era comprometida.

No es un caso de negligencia técnica. Es un caso de gobierno. La ciberseguridad nunca llegó a la agenda del CEO como una pregunta estratégica porque nadie en la dirección la consideraba suya.

Eso sigue ocurriendo. Todos los días. En organizaciones de todos los tamaños.

Lo que hace el liderazgo cuando no se involucra

Cuando el CEO y la alta dirección tratan la ciberseguridad como un tema técnico que se delega al área de TI o al CISO, la organización lee esa señal con precisión. Si no aparece en la agenda del comité ejecutivo, no es prioridad. Si el director general no pregunta sobre ella en las revisiones de negocio, no es urgente. Si la única conversación sobre ciberseguridad que sube a dirección es el presupuesto anual, el mensaje implícito es que la única participación esperada de la alta dirección es firmar el cheque.

Las consecuencias son predecibles. Los mandos medios no priorizan la seguridad porque no ven que sus superiores lo hagan. Los equipos operativos encuentran atajos para evitar controles que perciben como obstáculos sin peso institucional detrás. Y cuando ocurre un incidente, la dirección descubre que no tiene el contexto para tomar decisiones bajo presión porque nunca participó en construir la preparación.

La cultura de ciberseguridad no se construye con carteles en las paredes ni con módulos de e-learning. Se construye con comportamientos observables del liderazgo que la organización pueda imitar o que le genere costo no imitar.

SEÑAL DE LIDERAZGO Y SU EFECTO EN CASCADA Liderazgo no involucrado Alta dirección Aprueba presupuesto. No pregunta más. Mandos medios No priorizan. No es urgente arriba. Equipos operativos Evitan controles. Sin consecuencias. Resultado Cultura de riesgo ignorado Liderazgo activo Alta dirección Pregunta, participa, exige preparación. Mandos medios Priorizan. Saben que importa arriba. Equipos operativos Respetan controles. Tienen referente. Resultado Cultura de responsabilidad compartida
El efecto cascada de la señal de liderazgo: lo que hace la alta dirección define lo que hace el resto

Qué significa involucrarse en la práctica

Involucrarse no significa que el CEO se convierta en experto técnico. Significa que la ciberseguridad aparece en la agenda ejecutiva como un tema de negocio, no como un reporte técnico que alguien presenta y nadie cuestiona.

Hay comportamientos concretos que hacen visible ese involucramiento. El CEO que pregunta en cada revisión trimestral qué incidentes ocurrieron y qué se aprendió de ellos. El director de Operaciones que incluye en sus KPIs métricas de comportamiento seguro de su equipo. El director de Finanzas que revisa el alcance del seguro de ciberseguridad y pregunta qué escenarios no cubre. El Consejo que exige al CISO una presentación anual de postura de riesgo —no de inversiones tecnológicas— con el mismo rigor con que revisa el balance financiero.

Ninguno de esos comportamientos requiere conocimiento técnico. Requieren voluntad de tratar la ciberseguridad como lo que es: un riesgo de negocio con consecuencias operativas, financieras y reputacionales que la dirección debe entender y gestionar activamente.

Hay también un comportamiento que destruye la cultura con más eficiencia que cualquier amenaza externa: cuando la alta dirección pide excepciones a las políticas de seguridad que exige al resto de la organización. El VPN que el director general no quiere usar porque le resulta incómodo. El MFA que el equipo directivo tiene desactivado porque "enlentece el trabajo". Cada excepción hacia arriba es un mensaje hacia abajo: las reglas son para los demás.

¿Qué hacer al respecto?

El CISO que quiere construir una cultura de ciberseguridad real necesita primero conseguir que la alta dirección entienda el riesgo en su propio lenguaje. No vulnerabilidades ni CVEs: impacto en continuidad operativa, exposición regulatoria, costo de un incidente en términos de días de operación perdidos y reputación con clientes. Esa traducción es parte del trabajo del CISO, y es tan estratégica como cualquier decisión tecnológica.

Los simulacros de incidente a nivel directivo — tabletop exercises donde el CEO y los directores deben tomar decisiones bajo un escenario hipotético de ataque — son una de las herramientas más efectivas para generar esa comprensión. No porque los directivos aprendan a responder técnicamente, sino porque descubren en carne propia qué decisiones les corresponden, qué información necesitan para tomarlas, y qué pasa cuando no está disponible. Después de un buen tabletop, el CEO no vuelve a ver el plan de respuesta a incidentes como un documento que firma el CISO.

La pregunta que vale hacerse

¿Cuándo fue la última vez que el CEO de tu organización hizo una pregunta sobre ciberseguridad que no fuera sobre el presupuesto? Si no hay una respuesta reciente, ya sabes dónde empieza el trabajo cultural más importante.

Acciones inmediatas

  • Lleva al próximo comité ejecutivo un escenario de impacto, no un reporte técnico. En lugar de presentar vulnerabilidades o inversiones, presenta un escenario concreto: "si un ransomware paralizara nuestros sistemas de facturación por cinco días, esto es lo que perdemos y esto es lo que haríamos". Ese formato activa la atención directiva de manera que ningún dashboard técnico logra.
  • Revisa si los miembros de la alta dirección tienen excepciones activas a políticas de seguridad. MFA desactivado, dispositivos sin gestión centralizada, acceso a sistemas críticos sin revisión reciente. Si existen, son el primer lugar donde demostrar que la política aplica a todos, empezando por arriba. El CISO que no puede defender esa conversación con el CEO difícilmente construirá cultura.
  • Agenda un tabletop exercise de nivel directivo en los próximos 90 días. No hace falta un proveedor externo para empezar: un escenario de dos horas donde el equipo directivo recorre las decisiones de un incidente hipotético revela brechas de gobierno y de comunicación que ningún diagnóstico técnico detecta. El valor está en la conversación, no en la sofisticación del ejercicio.
  • Propón que el Consejo o el Comité Ejecutivo reciba una presentación anual de postura de riesgo de ciberseguridad. No de presupuesto ni de inversiones tecnológicas: de riesgo. ¿Cuáles son los tres escenarios de mayor impacto para la organización? ¿Qué tan preparados estamos para cada uno? ¿Qué ha mejorado respecto al año anterior? Esa cadencia institucionaliza la ciberseguridad como tema de gobierno, no de TI.
  • Identifica a un aliado en la alta dirección que entienda el riesgo y pueda amplificarlo internamente. No siempre es el CEO el primer movimiento. Un director de Finanzas que ha visto el costo de un incidente o un director de Operaciones con exposición a riesgo OT pueden ser los primeros en llevar el tema al nivel correcto. La cultura se construye también horizontalmente en la cúpula.

Si tu organización necesita estructurar la conversación de ciberseguridad a nivel directivo o realizar un ejercicio de simulación de incidentes para la alta dirección, podemos ayudarte. Contáctanos en https://tbsek.mx/contacto/.

También te puede interesar

Descubre más contenido de ciberseguridad que puede ser útil para tu organización

Categorías:
Amenazas y tendenciasRespuesta a incidentesTecnologías de ciberseguridad
Amenazas y tendencias
El CISO no falla en ciberseguridad por lo técnico, falla por la comunicación

El CISO no falla en ciberseguridad por lo técnico, falla por la comunicación
Respuesta a incidentes
Carreras no técnicas dentro de la ciberseguridad: oportunidades más allá de la programación

Carreras no técnicas dentro de la ciberseguridad: oportunidades más allá de la programación
Tecnologías de ciberseguridad
Cómo preparar a tu equipo para actuar rápido ante un ataque de ransomware

Cómo preparar a tu equipo para actuar rápido ante un ataque de ransomware
Amenazas y tendencias
Del CISO técnico al CISO estratégico: una transición inevitable

Del CISO técnico al CISO estratégico: una transición inevitable

¿Buscas más contenido especializado en ciberseguridad?

Ver todos los artículos

Transforma tu seguridad digital hoy

No esperes a ser víctima de un ciberataque. Nuestro equipo de expertos está listo para implementar la estrategia de ciberseguridad que tu empresa necesita para operar con confianza.

Inteligencia de amenazas real
Implementación ágil
Soporte especializado
Comenzar ahora
Endpoint
Cloud
Network
Email