CTIF

Sección V · V.3

Riesgo tecnológico y resiliencia digital

El riesgo tecnológico y la resiliencia digital constituyen, junto con la gobernanza del dato y de la inteligencia artificial, el núcleo defensivo del perímetro funcional de la comisión. La comisión de auditoría supervisa el marco general de control interno y de gestión de riesgos; la comisión de tecnología e innovación ejerce la supervisión especializada y de profundidad técnica, aportando el criterio técnico cualificado del que aquella no dispone por su mandato y composición. Reparto que articula supervisión en dos niveles, sin duplicidad.

V.3.2 Marco de gestión del riesgo tecnológico

La comisión supervisa que la sociedad disponga de un marco formalizado de gestión del riesgo tecnológico alineado con su marco general de gestión de riesgos y proporcionado a su perfil de exposición:

  1. Taxonomía explícita del riesgo tecnológico —ciberseguridad, continuidad operativa, dependencias de proveedores, obsolescencia, riesgo del dato, riesgo de la IA, riesgo regulatorio tecnológico, riesgo de propiedad intelectual digital— y riesgos materiales contenidos.
  2. Apetito de riesgo tecnológico articulado coherentemente con el apetito de riesgo general aprobado por el consejo, traducido en métricas e indicadores supervisables.
  3. Políticas y procedimientos específicos para cada categoría material, con responsabilidades, líneas de defensa y mecanismos de escalamiento claros.
  4. Integración del riesgo tecnológico en el mapa de riesgos corporativo, asegurando que la información a la comisión de auditoría refleje la profundidad y matiz del análisis técnico.
  5. Calidad y suficiencia de recursos dedicados, atendiendo no solo a cuantía sino a adecuación al perfil de exposición y a la evolución del entorno de amenazas.
  6. Cultura de gestión del riesgo tecnológico, evaluada mediante indicadores que excedan el cumplimiento formal —incidencia de comportamientos de riesgo, tasa de notificación interna, resultados de simulacros, participación en programas de concienciación.

V.3.3 Ciberseguridad y postura defensiva

Uno de los riesgos materiales más relevantes por su capacidad de destrucción de valor, exposición regulatoria e implicaciones reputacionales:

  1. Postura ciber-defensiva evaluada conforme a marcos internacionales reconocidos (NIST Cybersecurity Framework, ISO/IEC 27001, marcos sectoriales), con grado de madurez, brechas materiales y plan de evolución.
  2. Identificación y protección de activos críticos cuya pérdida, alteración o exposición no autorizada generaría impacto material.
  3. Capacidades de detección y respuesta —SOC propios o gestionados, inteligencia de amenazas, threat hunting, detección de comportamiento anómalo— adecuadas al perfil de amenaza relevante.
  4. Programa de ejercicios y simulacros —pruebas de intrusión, simulaciones de incidente, tabletop exercises, simulacros de respuesta a crisis— como verificación efectiva más allá de la documentación formal.
  5. Gestión de vulnerabilidades —identificación, priorización, remediación, verificación—, con atención a la tasa de remediación de críticas y al tiempo medio de exposición a vulnerabilidades conocidas.
  6. Seguridad de identidades y accesos, accesos privilegiados, ciclo de vida de identidades, MFA en sistemas críticos, supervisión de accesos de terceros.
  7. Formación y concienciación, evaluada por cobertura efectiva, segmentación por perfiles de riesgo y capacidad de generar cambios reales de comportamiento.
  8. Seguro de ciber-riesgo: cobertura efectiva, exclusiones materiales y consistencia con el perfil de exposición.

V.3.4 Resiliencia operativa digital

Capacidad de mantener, reanudar y recuperar operación de servicios esenciales ante incidentes tecnológicos materiales. Aunque su régimen vinculante se concentra en el sector financiero a través de DORA, su lógica supervisora ofrece estándares de referencia con independencia del sector:

  1. Identificación formal de las funciones esenciales cuya interrupción tendría impacto material sobre clientes, operación, resultados o cumplimiento de obligaciones legales.
  2. Mapeo de dependencias tecnológicas de cada función esencial —sistemas, plataformas, infraestructura, proveedores, datos— e identificación de single points of failure.
  3. Objetivos formales de recuperación —RTO, RPO, grado de degradación admisible en operación reducida— con realismo verificado mediante pruebas efectivas.
  4. Arquitecturas de alta disponibilidad y de continuidad —redundancia, diversidad geográfica, failover, arquitecturas activo-activo o activo-pasivo— adecuadas a los objetivos.
  5. Programa de pruebas de resiliencia —pruebas técnicas de conmutación, ejercicios de recuperación de extremo a extremo, simulaciones de escenarios severe but plausible— como verificación efectiva, no meramente documental.
  6. Resiliencia ante escenarios extremos: ciber-incidente de gran escala, indisponibilidad prolongada de proveedor crítico, escenarios geopolíticos disruptivos, fallos en cascada.

V.3.5 Continuidad operativa y gestión de incidentes

  1. Existencia y actualización del plan de continuidad de negocio en su dimensión tecnológica y planes específicos de recuperación de desastres para plataformas críticas.
  2. Gobernanza de la gestión de incidentes —comités de crisis, líneas de mando, protocolos de escalamiento, decisión bajo presión temporal— probada mediante simulacros.
  3. Protocolos de comunicación de incidentes —interna, al consejo, a clientes, al supervisor, al mercado—, consistentes con las obligaciones regulatorias.
  4. Mecanismos de aprendizaje post-incidente —análisis de causa raíz, identificación de fallos de control, ajustes—, evitando tanto la búsqueda de culpables como la complacencia.
  5. Reporte sistemático a la comisión de incidentes materiales, con impacto efectivo y potencial, contención, remediación, comunicaciones y aprendizajes.

V.3.6 Gestión del riesgo de proveedores tecnológicos críticos

Una de las principales fuentes de riesgo tecnológico estructural. Intersección con la soberanía digital del Principio XI:

  1. Identificación formal de los proveedores críticos —infraestructura cloud, SaaS de funciones esenciales, seguridad gestionada, capacidades de IA— con criterios objetivos de criticidad y revisión periódica.
  2. Diligencia debida y evaluación continua: solidez financiera, madurez técnica y de seguridad, exposición a riesgos sistémicos o geopolíticos, calidad de gestión del riesgo subcontratado (riesgo de cuarta parte).
  3. Calidad de los acuerdos contractuales: SLA, derechos de auditoría e información, obligaciones de notificación de incidentes, condiciones de terminación, cláusulas de cambio de control, garantías de portabilidad del dato.
  4. Gestión del riesgo de concentración —proveedor único de infraestructura cloud, dependencia exclusiva de plataforma crítica, ausencia de alternativa razonablemente activable—, con planes verificados de mitigación.
  5. Estrategias de salida y reversibilidad: existencia formal de cláusulas no es suficiente; la comisión vigila la viabilidad técnica y económica real del ejercicio de tales cláusulas.
  6. Riesgo geopolítico y jurisdiccional asociado a proveedores sujetos a regímenes de extraterritorialidad legal —especialmente CLOUD Act y normativa equivalente—, evaluando su impacto sobre la confidencialidad del dato y la autonomía operativa.
  7. Supervisión continua del desempeño: revisiones periódicas, informes de aseguramiento (SOC 2, ISAE 3402), participación en ejercicios conjuntos.

V.3.7 Obsolescencia tecnológica y gestión de la deuda técnica

Riesgo silencioso pero acumulativo cuya gestión inadecuada erosiona la capacidad operativa, la postura defensiva y la flexibilidad estratégica:

  1. Inventario y caracterización del patrimonio tecnológico, con identificación de sistemas obsoletos o próximos a fin de soporte.
  2. Estimación cuantitativa de la deuda técnica en términos económicos (coste de saneamiento) y técnicos (impacto sobre productividad, evolución, exposición a riesgo).
  3. Planes plurianuales de modernización y saneamiento, con recursos efectivamente asignados en presupuesto plurianual, hitos verificables y seguimiento sistemático.
  4. Gestión del fin de vida de sistemas y plataformas: planificación anticipada de migraciones, riesgo de soporte residual no oficial, protección frente a vulnerabilidades emergentes.
  5. Equilibrio entre innovación y mantenimiento del patrimonio, evitando tanto la inanición del mantenimiento por sobreinversión en novedad como la cristalización por sobreinversión en preservación.
  6. Riesgo de competencias humanas obsoletas —dependencia de personas con conocimiento de tecnologías ya no transmitidas, ausencia de relevo generacional para sistemas críticos antiguos—, en coordinación con V.5.

Advertencia. La deuda técnica es un pasivo invisible en el balance pero materialmente relevante. Su no reconocimiento explícito —o su minimización ante la dirección y el consejo— es una de las disfunciones más frecuentes en la supervisión tecnológica. La comisión debe insistir en su visibilización cuantitativa y en su gestión disciplinada.

V.3.8 Riesgo regulatorio tecnológico

Magnitud material por sanciones potenciales, implicaciones reputacionales y capacidad de comprometer la continuidad de modelos de negocio:

La magnitud del riesgo regulatorio tecnológico ha alcanzado niveles que reclaman atención supervisora cualificada. El Reglamento (UE) 2024/1689 de Inteligencia Artificial prevé sanciones de hasta 35 millones de euros o el 7 % del volumen de negocios mundial total anual del ejercicio precedente —la cuantía que resulte superior— por infracciones relativas a sistemas de inteligencia artificial prohibidos, con cuantías escalonadas inferiores para otras categorías de infracción. La Directiva NIS2 y su normativa de transposición prevén sanciones que, en función de la categoría de entidad y de la gravedad, pueden alcanzar cuantías de magnitud comparable. El Reglamento DORA, aplicable a entidades financieras, articula su propio régimen sancionador. El Reglamento General de Protección de Datos mantiene el régimen consolidado de sanciones de hasta el 4 % del volumen de negocios mundial. La acumulación potencial de estas cuantías sancionadoras configura un riesgo financiero materialmente relevante que justifica la supervisión específica que esta Guía atribuye a la comisión.

  1. Mapa de obligaciones regulatorias tecnológicas aplicables, atendiendo a su evolución constante: protección de datos, ciberseguridad, IA, servicios digitales, mercados digitales, propiedad intelectual digital, normativa sectorial.
  2. Calidad del cumplimiento sustantivo, más allá del formal: procedimientos efectivamente operativos, capacidad de respuesta a requerimientos, calidad de la documentación.
  3. Gestión del cumplimiento de normativa en formación: AI Act con su calendario escalonado, transposición de NIS2, CSDDD.
  4. Gestión de procedimientos sancionadores y de información requerida por autoridades, en coordinación con la función legal y de cumplimiento.
  5. Coordinación con la comisión de auditoría sobre la integración del riesgo regulatorio tecnológico en el marco general de cumplimiento.

V.3.9 Información que la comisión debe recibir

  1. Mapa de riesgos tecnológicos actualizado, alineado con el mapa corporativo.
  2. Cuadro de mando de ciberseguridad: remediación de vulnerabilidades, tiempo de detección y respuesta, resultados de intrusión, evolución de la postura.
  3. Información sobre incidentes tecnológicos materiales: descripción, impacto, medidas, aprendizajes.
  4. Resultados de pruebas de resiliencia y ejercicios de simulación, con hallazgos y planes de remediación.
  5. Inventario y evaluación de proveedores tecnológicos críticos, análisis de concentración y de riesgo geopolítico.
  6. Estado del patrimonio tecnológico y de la deuda técnica, seguimiento de planes de modernización.
  7. Evolución del marco regulatorio tecnológico y estado del cumplimiento, con anticipación de marcos en formación.
  8. Informes de aseguramiento de terceros sobre postura de ciberseguridad y resiliencia.
  9. Estado de cobertura del seguro de ciber-riesgo: exclusiones materiales y consistencia con el perfil de exposición.