Si una auditoría de ethical hacking te hace sentir seguro, detente y respira: acabas de cubrir solo uno –y no el más complejo– de los retos de seguridad. Las brechas que exponen a tu compañía no se limitan al perímetro técnico; anidan en la estrategia, la cultura, los procesos y el gobierno corporativo. Este artículo resume por qué la alta dirección tecnológica debe mirar la ciberseguridad como un proceso sistémico de gestión de riesgos y gobernanza, apoyado en marcos y reguladores clave como NIST CSF 2.0, la AEPD, la nueva legislación chilena y las normas de la CMF.

1. El falso sentido de seguridad del ethical hacking

Un pentest revela vulnerabilidades tácticas: puertos abiertos, configuraciones débiles, credenciales fáciles de adivinar. Pero no cubre:

• Riesgos derivados de terceros y cadena de suministro.
• Exposición reglamentaria por tratamiento indebido de datos.
• Falta de supervisión del Directorio sobre ciber-resiliencia.
• Riesgos emergentes (IA generativa, cuántica, ESG digital).

Sin gobierno ni gestión integrada, los hallazgos del pentest se convierten en una lista de tareas pendientes… hasta el próximo incidente.

2. Gobierno y riesgo: el núcleo de la resiliencia

La versión 2.0 del NIST Cybersecurity Framework amplió su alcance a todas las organizaciones e incorporó la nueva función GOVERN –la “G” de GRC–, que exige que las decisiones de ciberseguridad se tomen y midan al más alto nivel nist.gov.
Un programa sólido debe:

1. Definir apetito de riesgo y métricas accionables (KRI/KPI).
2. Integrar ciberseguridad en planes estratégicos y presupuesto.
3. Alinear roles: Directorio, segunda línea (Riesgo/Compliance) y tercera línea (Auditoría).
4. Mantener procesos de mejora continua y pruebas de crisis (ej. table-top).

3. Gobierno corporativo: de la estrategia al board

• Roles claros: asigna responsabilidades a nivel C-suite (CRO, CISO) y en comités (Comité de Riesgos TI).
• Políticas y estándares: adopta marcos como COBIT o COSO para alinear seguridad con la estrategia de negocio.
• Reportes efectivos: informa al directorio con dashboards de riesgo, KPIs de incidentes y avances de mejora continua.

4. Hoja de ruta para CIOs, CTOs y CDOs

1. Diagnóstico 360°
   Completa tu pentest con mapeo de riesgos, madurez y cumplimiento.
2. Gobierno formal
   Crea un Comité de Ciberseguridad con reporting directo al Directorio.
3. Políticas vivas y cultura
   Establece políticas basadas en NIST CSF 2.0 y en la guía de la AEPD; socialízalas con capacitación periódica.
4. Gestión de proveedores
   Clasifica terceros, exige evidencias (SOC 2, ISO 27001) y realiza red-teaming colaborativo.
5. Monitoreo y respuesta 24/7
   Implementa SOC interno o servicio MDR; prueba planes DR/BCP dos veces al año.
6. Métricas al negocio
   Informa al Directorio en lenguaje de riesgo: pérdida máxima estimada, exposición regulatoria y ROI de controles.