Sean Inggs de Leeward sobre las brechas en la resiliencia cibernética que pasan por alto las juntas directivas de los fondos

Los ciberataques contra empresas financieras rara vez son noticia por su ingenioso código, sino por lo que falla y quién fue el responsable de supervisarlo. En el caso de los fondos de inversión, la cuestión de la responsabilidad es más compleja de lo que la mayoría de los consejos de administración suponen, y Leeward, la firma de gobernanza y directoresdent con sede en las Islas Caimán, afirma que esta laguna requiere atención urgente.
«Los consejos de administración se convencen de que la ciberseguridad está bajo control porque el fondo no gestiona ningún sistema propio», afirmó Sean Inggs,dent de Leeward. «Pero el dinero del fondo y los datos de sus inversores siguen pasando por un gestor y un administrador a diario. Esa es la superficie de ataque, y el consejo de administración es responsable de su supervisión, independientemente de que la normativa mencione directamente al fondo o no».
Dónde llega la regulación y dónde termina
La Autoridad Monetaria de las Islas Caimán (CIMA) cuenta desde hace varios años con un régimen vinculante de ciberseguridad a través de su Reglamento y Declaración de Orientación sobre Ciberseguridad para Entidades Reguladas. El Reglamento asigna la responsabilidad última de la gestión del riesgo cibernético al órgano rector de la entidad, exige un marco documentado paradent, supervisar y recuperarse de losdent, solicita revisionesdent periódicas y obliga a las entidades incluidas en su ámbito de aplicación a notificar losdenta la CIMA en un plazo de 72 horas.
El detalle que sorprende a muchos directores es el alcance de la norma. Esta se aplica a los gestores de inversiones y a la mayoría de las demás entidades reguladas por la CIMA, pero no directamente a los fondos de inversión ni a los fondos privados. Según Leeward, esta distinción es precisamente la razón por la que los consejos de administración de los fondos no pueden considerarlo un problema ajeno.
«El gestor que entra en el ámbito de aplicación es el mismo que gestiona sus suscripciones y reembolsos», explicó Inggs. «Por lo tanto, el riesgo recae sobre el fondo incluso cuando la norma no lo contempla. Un director que se detiene al leer en "el fondo está fuera del ámbito de aplicación" se ha quedado corto»
Desde cuestionarios hasta una supervisión genuina
La postura de Leeward es que la mayoría de los fondos ya recopilan la documentación necesaria y exigen muy poco. El informe de auditoría o el cuestionario de seguridad anual de un proveedor de servicios confirman la existencia de un proceso. Sin embargo, no garantizan que el fondo sobreviviría una semana si dicho proveedor dejara de operar.
La firma anima a los consejos de administración a pasar de la documentación a las pruebas operativas. Esto implica comprender qué proveedores son realmente cruciales para la continuidad del fondo, conocer el plan de recuperación en caso de que alguno falle y confirmar que la respuesta antedent se ha ensayado, en lugar de simplemente documentarse. También implica claridad en la cadena de notificación, para que el consejo se entere de una brecha con la suficiente rapidez como para que sea relevante, especialmente dada la obligación de informar en 72 horas que se aplica a las entidades relacionadas con el fondo.
“La resiliencia es una cuestión de continuidad, y la continuidad es responsabilidad del consejo”, dijo Inggs. “No hace falta auditar un cortafuegos. Hay que saber qué ocurre la primera mañana después de undent, y hay que saberlo antes de que llegue esa mañana”
La divulgación aumenta las apuestas
La presión también aumenta en lo que respecta a la transparencia. Cuando las Islas Caimán actualizaron su marco regulatorio para fondos a principios de 2026, introdujeron requisitos para que los documentos de oferta detallaran los riesgos tecnológicos específicos, incluida la ciberseguridad, y explicaran cómo se mitigan dichos riesgos. Los inversores leerán estas declaraciones y las pondrán a prueba.
Leeward prevé que la resiliencia operativa se convierta en una parte habitual de la debida diligencia institucional, en lugar de una preocupación marginal. Según la firma, los fondos que demuestren que su consejo de administración está genuinamente comprometido con este tema tendrán más facilidad para captar y retener capital institucional que aquellos que tratan el riesgo cibernético como una mera nota técnica.
“Los fondos que lo hacen bien no son los que tienen las pólizas más antiguas”, Inggs . “Son aquellos en los que la junta directiva puede explicar, en términos sencillos, cómo el fondo sigue funcionando incluso en un mal momento”.
Leeward ofrece servicios de dirección independientedent gobernanza corporativa desde las Islas Caimán. Sean Inggs es director independientedent Leeward y director profesional registrado conforme a la Ley de Registro y Licencias de Directores de las Islas Caimán, con más de 20 años de experiencia internacional en derecho y gobernanza corporativa en fondos de cobertura, capital privado, oficinas familiares y empresas de blockchain. Para más información, visite leeward.ky.
Aviso legal. Este es un comunicado de prensa corporativo. Los lectores deben realizar su propia diligencia debida antes de tomar cualquier medida relacionada con la empresa promocionada o cualquiera de sus afiliados o servicios. Cryptopolitan, el uso o la confianza depositada en cualquier contenido, producto o servicio mencionado en el comunicado de prensa.

Medios Cryptopolitan
Un espacio dedicado a análisis seleccionados y novedades destacadas de nuestra red de socios globales de la industria.















