Ofrecido por
En un entorno empresarial cada vez más expuesto a los riesgos digitales, la necesidad de establecer puentes entre el mundo técnico y el estratégico es más urgente que nunca. Las organizaciones ya no pueden limitarse a proteger su perímetro digital, deben ser capaces de traducir su postura de ciberseguridad en términos que comprendan todos los empleados, incluyendo la alta dirección, desde los comités de dirección hasta los consejos de administración.
Bajo esta premisa nació el proyecto KPIs de Ciberseguridad para la Alta Dirección, impulsado por un grupo de trabajo compuesto por reputados Chief Information Security Officer (CISO) y expertos en gestión del riesgo digital. El objetivo es tan ambicioso como necesario: diseñar un marco común de indicadores clave de rendimiento (KPIs) que permita medir, analizar y comunicar eficazmente la ciberseguridad en todo tipo de organizaciones, sectores y tamaños. Así nos lo explican en este artículo Sergio Padilla y Toni García, ambos Board Member de ISMS Forum, quienes reflexionan sobre la urgencia de una ciberseguridad firme en todos los ámbitos de la empresa.
Así como en el ámbito financiero resulta natural hablar de EBITDA, margen bruto o cash flow, este proyecto aspira a que en ciberseguridad podamos contar con una base compartida de indicadores comprensibles para todos. Que al hablar de "tiempo medio de respuesta ante incidentes", "porcentaje de cumplimiento normativo" o "nivel de madurez en concienciación", sepamos exactamente de qué se está hablando, y que dicha información tenga un reflejo directo en la estrategia de negocio y/o en el cumplimiento de los objetivos de una entidad.
El contexto regulatorio es cada vez más exigente. Normativas como la Directiva NIS2 o las recomendaciones del Código de Buen Gobierno en Ciberseguridad establecen obligaciones claras sobre supervisión, reporte y gobernanza. Pero más allá del cumplimiento, las organizaciones se enfrentan a una nueva realidad, la ciberseguridad ya no es un asunto técnico, sino un factor estratégico y reputacional.
"No se trata solo de medir, sino de comunicar de forma efectiva y estratégica"
En este nuevo escenario, los CISO deben dar un paso al frente y convertirse en traductores entre el mundo técnico de la ciberseguridad y el lenguaje del negocio. Y para ello, un lenguaje adecuado, unas capacidades de comunicación efectivas y contar con KPIs estandarizados es clave. Tal y como se destaca en el proyecto, "no se trata solo de medir, sino de comunicar de forma efectiva y estratégica".
La iniciativa se articuló a través de un workshop colaborativo celebrado en enero de 2025 en Valladolid, donde profesionales del sector compartieron experiencias reales y debatieron sobre los principales retos a la hora de reportar a la alta dirección. A través de dinámicas prácticas, los participantes definieron los elementos clave de una comunicación efectiva, de sus habilidades más y menos desarrolladas, las habitualmente conocidas como soft skills, así como de la importancia y fundamentos de un buen indicador y las mejores formas de presentarlos en cuadros de mando adaptados a distintos perfiles ejecutivos.
Uno de los aprendizajes más claros fue que menos es más. Si bien no se puede ni debe definir una única forma de reportar a la alta dirección, en general, no necesita decenas de métricas técnicas, sino pocos indicadores clave que sean relevantes, comprensibles y orientados a la acción. Además, se abordaron temas como el diseño visual de los reportes y la personalización por tipo de perfil (CEO, CFO, CIO, CDO, etc.).
El grupo de trabajo ha propuesto un modelo estructurado en tres fases:
Los KPIs se agrupan en categorías como gestión de incidentes, cumplimiento normativo, resiliencia y continuidad, y concienciación y capacitación. Cada uno incluye su objetivo, fórmula de cálculo, fuente de datos, frecuencia de medición y nivel de reporte (técnico, táctico o estratégico).
El impacto esperado del proyecto es doble. Por un lado, dotar a los CISO de herramientas para alinear su función con los objetivos del negocio, y por otro, facilitar a la alta dirección la comprensión del estado real de la ciberseguridad organizacional.
Actualmente, se ha publicado una validación con varios CISO de entidades de diferentes sectores, tanto públicas como privadas. Un white paper que plasma las conclusiones acompañándolas de plantillas de cuadros de mando y recomendaciones prácticas para su adopción.
Lo más interesante de esta iniciativa es su vocación de ser un estándar abierto y vivo, que pueda evolucionar con la realidad del sector. Al igual que ocurre en otros ámbitos como el financiero, contar con un lenguaje compartido permitirá comparar, mejorar y anticipar.
Porque si algo nos enseñan las crisis de seguridad más recientes es que la diferencia no está solo en la tecnología, sino en la capacidad de gobernar el riesgo con criterio, transparencia y visión de negocio, así como en la relevancia de que la alta dirección comprenda los riesgos y sea capaz de articular las palancas adecuadas para gestionarlo de forma eficiente.
La ciberseguridad necesita hablar el idioma de la alta dirección. Esto, que es una realidad desde hace mucho para muchas entidades, no lo es, aún, para la mayoría. Y este proyecto pretende reforzar y mejorar las capacidades de los líderes en ciberseguridad a la hora de reportar, para que todos, desde el CISO hasta el CEO, entiendan de qué se está hablando.
Aquí puedes descargar el estudio "CyberIndicatorsFramework: el CISO y la Alta Dirección".
Este estudio se ha podido realizar gracias la colaboración de ISMS Forum y Cisco, así como al programa de inversiones CDA "Country Digital Acceleration".
Producido por EcoBrands
