Skip to content

Explica la due care frente a la due diligence y da un ejemplo de cada una.

Respuesta breve

La due diligence es la investigación y comprensión continuas de los riesgos (saber qué se debe hacer), mientras que la due care consiste en tomar las acciones razonables que una persona prudente tomaría para abordarlos (hacerlo realmente). La diligence es investigación y supervisión; la care es implementación y mantenimiento.

Los roles de gobernanza sénior viven y mueren por esta distinción, porque se conecta directamente con la responsabilidad legal. Los entrevistadores la preguntan para ver si entiendes que conocer un riesgo y actuar sobre él son obligaciones separadas.

Due diligence: saber

La due diligence es la investigación, indagación y supervisión continua que construyen la comprensión de los riesgos de una organización y de los controles disponibles para abordarlos. Realizar evaluaciones de riesgo, verificar la postura de seguridad de un proveedor antes de firmar, vigilar el panorama de amenazas y revisar los hallazgos de auditoría son todo due diligence. En resumen, la due diligence consiste en hacer los deberes para saber qué se debe hacer.

Due care: hacer

La due care consiste en actuar sobre ese conocimiento — implementar y mantener los controles razonables que una persona prudente pondría en marcha. Desplegar el parche que supiste que necesitabas, hacer cumplir la política que escribiste, formar al personal y mantener los controles operativos a lo largo del tiempo son todo due care. La due care consiste en hacer lo que se debe hacer.

La regla de la persona prudente

Ambas se conectan con la regla de la persona prudente: los tribunales juzgan si la dirección actuó como lo habría hecho una persona razonable y cuidadosa en las mismas circunstancias. Una organización que hizo diligence (conocía el riesgo) pero omitió la care (nunca actuó) queda expuesta a demandas por negligencia. Una due care demostrable — acción documentada, coherente y razonable — es una defensa central frente a la responsabilidad.

Un ejemplo aclaratorio

Una empresa realiza una evaluación anual de riesgos y descubre que un servidor crítico está sin parchear: eso es due diligence. Aplicar realmente el parche y verificarlo: eso es due care. Saber y no actuar es la brecha peligrosa.

Qué buscan los entrevistadores

La división nítida «diligence = saber, care = hacer», el vínculo con la regla de la persona prudente, y la conciencia de que la due care es el escudo legal frente a la negligencia.

Posibles preguntas de seguimiento

  • ¿Cómo se relaciona la regla de la persona prudente con estos conceptos?
  • ¿Cómo puede demostrar la due care reducir la responsabilidad legal o por negligencia?
  • Da un ejemplo en el que una organización hizo diligence pero falló en la care.

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.