• MARTES 7
  • de julio de 2026

Derecho

FOTOGRAFIA
DERECHO

Suplemento Jurídica: ¿Está preparada su empresa? La ciberseguridad redefine el gobierno corporativo

Adapte sus contratos, controles y deberes corporativos


Editor
Thalía Martínez

Gerente sénior de servicios de asesoría en TI y riesgos (ITAS-RC) de KPMG en Perú


En la actual era de aceleración digital, la ciberseguridad ha dejado de ser una preocupación exclusiva de los departamentos de tecnología para consolidarse como un pilar fundamental del gobierno corporativo y un imperativo legal de primer orden. Para las empresas peruanas, este contexto marca un punto de inflexión: el entorno de amenazas ya no es solo técnico, sino sistémico. La irrupción masiva de la inteligencia artificial (IA), la expansión de la hiperconectividad y la creciente sofisticación de los vectores de ataque nos obligan a replantear la ciberseguridad desde una perspectiva que combina la resiliencia operativa con el cumplimiento estricto del marco regulatorio.

Derecho y tecnología
Una conducta que aún se observa en muchas organizaciones es la de gestionar la ciberseguridad como un simple gasto operativo, en lugar de asumirla como una inversión en continuidad y confianza. De esta manera, se exponen a riesgos que trascienden el ámbito informático. En el plano jurídico, esto es un punto crítico. La normativa de protección de datos personales en el Perú, sumada a la presión por estándares internacionales de ciberseguridad, impone a los directorios y gerencias una responsabilidad indelegable: el deber de cuidado (duty of care).

Cuando los datos –tanto de clientes como información corporativa sensible– se ven comprometidos, la empresa no solo sufre pérdidas financieras o reputacionales; enfrenta una exposición legal ante autoridades de control y posibles litigios por negligencia en la adopción de medidas de seguridad razonables. Hoy, ante la sofisticación del cibercrimen, el estándar de “razonabilidad” en la protección de datos es cada vez más elevado.

IA y el ecosistema de riesgos 
Un reciente informe global publicado por KPMG, Cybersecurity Considerations 2026 (https://kpmg.com/es/es/informes-publicaciones/2026/04/consideraciones-ciberseguridad-2026.html), identifica a la IA como un factor decisivo en la disrupción digital que vivimos. Si bien se trata de una herramienta potente para la automatización de la defensa, también es un arma para el atacante. Desde una perspectiva legal, esto plantea dilemas complejos: ¿cómo garantizamos la trazabilidad y la responsabilidad civil ante incidentes derivados de agentes de IA autónomos?

La IA en la cadena de suministro y en los entornos de convergencia entre sistemas digitales, físicos e industriales amplía una superficie de ataque que debe ser gobernada. La gestión de las identidades ‘no humanas’ –agentes de IA y cuentas de servicio que ya superan en número a los usuarios reales– es un frente de riesgo donde la falta de políticas claras de gobernanza puede derivar en brechas de cumplimiento con consecuencias legales severas.

Frente a este panorama, es necesario establecer prioridades para la resiliencia legal y operativa, y que las empresas sean capaces de alinear su estrategia técnica con una visión de cumplimiento preventivo. Entre las prioridades que identificamos destacan cuatro que deberían figurar en la agenda de todo asesor legal y tecnológico:

1. Garantizar el cumplimiento en sistemas de IA: la protección de los modelos de IA no es solo técnica, es un requisito estratégico para la confianza del mercado. La falta de seguridad en la IA puede derivar en fallos de cumplimiento regulatorio y afectar la resiliencia operativa.

2. Protección de la cadena de suministro: los incidentes en terceros proveedores son una fuente constante de responsabilidad legal. La debida diligencia (due diligence) cibernética en la contratación de proveedores tecnológicos debe ser continua, no un proceso estático de inicio de relación.

3. Habilitar una hiperconectividad confiable: la convergencia entre los mundos ciber y físico exige arquitecturas donde la responsabilidad esté claramente asignada. El asesor legal debe asegurar que los contratos y acuerdos de nivel de servicio contemplen estas realidades hiperconectadas.

4. Preparar a la fuerza laboral para la seguridad autónoma: las empresas deberán capacitar equipos capaces de trabajar con IA, automatización y centros de operaciones de seguridad más inteligentes.

Finalmente, el papel del CISO (Chief Information Security Officer) está evolucionando hacia una posición de mayor influencia estratégica, al punto de haberse convertido en un articulador de la resiliencia de la empresa ante sus stakeholders y reguladores, más allá de lo meramente técnico. Por su parte, la alta dirección de la empresa debe entender que la ciberseguridad es, en esencia, algo tan importante como la salvaguarda de la propiedad intelectual, de la privacidad del cliente y, en última instancia, de la sostenibilidad del negocio, para actuar con la responsabilidad y diligencia que estos desafíos ameritan.

El Perú requiere, pues, que sus líderes empresariales adopten una postura proactiva. La ciberseguridad en 2026 no se trata de evitar el riesgo a toda costa; más bien, debe buscar construir la capacidad de resistir, recuperarse y proteger la relación con clientes y proveedores en un entorno volátil. La pregunta que los directorios deben hacerse hoy ya no es si serán atacados, sino qué tan robusta es la defensa jurídica y operativa que han diseñado para cuando eso ocurra. La confianza es el activo más escaso y, a la vez, el más valioso; protegerlo es nuestra responsabilidad compartida.