Artículo Técnico
Alfonso García
Alfonso García CISO Independiente

Seguridad y normativa

normativa y legislación en ciberseguridad

En un entorno digital en constante evolución, Europa ha intensificado sus esfuerzos para fortalecer la ciberseguridad mediante una serie de cambios normativos significativos, ejemplo de ello pueden ser la Directiva NIS2 o DORA. Estos cambios, centrados en la protección de datos y la gestión de riesgos cibernéticos, buscan abordar las crecientes amenazas y proteger tanto a las organizaciones como a los ciudadanos europeos.

La creciente adopción de tecnologías digitales y la integración de sistemas en redes interconectadas han ampliado la superficie de ataque. Las organizaciones deben gestionar una mayor cantidad de dispositivos y aplicaciones, lo que aumenta el riesgo de vulnerabilidades explotables por actores maliciosos.

Ciberseguridad y normativa

Adicionalmente, la creciente tensión entre grandes potencias y el aumento de conflictos geopolíticos han llevado a un incremento significativo en las actividades de ciberespionaje y ciberataques lo que obliga a tomar acciones que redunden en la prevención, detección y en especial la compartición de información entre entidades privadas y públicas que permitan identificar patrones de ataque, alertar y proteger al resto de entidades y ciudadanos.

Si bien estas regulaciones y directivas afectan directamente a la ciberseguridad, para algunas organizaciones, significan auténticos retos ya que conlleva un esfuerzo en la dotación de recursos, medios y renovaciones tecnológicas:

  • La Directiva NIS2 (Network and Information Systems Directive): una actualización de la Directiva NIS original, amplía el alcance y las exigencias para las entidades operativas en sectores críticos y proveedores de servicios digitales. Esta directiva introduce requisitos más estrictos de seguridad y en especial, la notificación de incidentes, estableciendo un marco más riguroso para la protección de redes y sistemas de información.
  • El Reglamento General de Protección de Datos (GDPR): si bien el GDPR no es exclusivamente una normativa de ciberseguridad, sus disposiciones sobre la protección de datos y la notificación de brechas tienen implicaciones significativas para la ciberseguridad. Las organizaciones están obligadas a implementar medidas adecuadas para proteger los datos personales, evitar la fuga de información y notificar a las autoridades en caso de violaciones de seguridad que puedan comprometer la privacidad de los individuos.
  • El Reglamento sobre la Ciberseguridad de los Productos Digitales (Cyber Resilience Act): aunque se encuentra en fase de propuesta, tiene como objetivo establecer requisitos de ciberseguridad para productos y servicios digitales, garantizando que los fabricantes y proveedores cumplan con estándares de seguridad a lo largo del ciclo de vida de sus productos.

Estas directivas y reglamentos representan un desafío significativo, pero también una oportunidad para fortalecer la postura en materia de seguridad de la información y ciberseguridad.

Las obligaciones derivadas para alcanzar su cumplimiento requieren la implementación de controles más estrictos, la mejora de las capacidades de detección y respuesta a incidentes, en algunos casos podrá requerir incluso restructuraciones organizativas, modificar la cultura empresarial, creación de planes de concienciación, formación, dotación de personal especializado, la capacitación continua del personal en ciberseguridad y la inversión en nuevas herramientas tecnológicas.

Con la introducción de requisitos más estrictos, las organizaciones estarán sujetas a una mayor supervisión y a auditorías regulares para asegurar que cumplan con las normativas. La preparación para estas auditorías requiere una planificación meticulosa y una documentación exhaustiva de las políticas de seguridad, así como la implementación de mecanismos de control internos.

Las multas por incumplimiento pueden ser significativas, con sanciones que pueden alcanzar hasta el cuatro por ciento de los ingresos anuales globales en el caso del GDPR. Por ello, las organizaciones deben considerar estos riesgos financieros y asegurar que su estrategia de ciberseguridad esté alineada con las normativas vigentes para evitar sanciones y daños a su reputación.

A pesar de los desafíos, los cambios normativos ofrecen una oportunidad para mejorar la resiliencia cibernética. La adopción de medidas de seguridad más robustas y la implementación de prácticas recomendadas pueden reducir el riesgo de brechas de seguridad y fortalecer la capacidad de respuesta ante incidentes. Las organizaciones que invierten en ciberseguridad no solo cumplen con las normativas, sino que también protegen mejor sus activos y datos críticos.

Estrategia de implementación

Para enfrentar estos desafíos, las organizaciones deben adoptar estrategias proactivas:

  • Evaluación de riesgos y cumplimiento. Realizar evaluaciones de riesgos periódicas para identificar vulnerabilidades y brechas en el cumplimiento. Implementar una estrategia de ciberseguridad que esté alineada con los requisitos normativos y adaptada a las necesidades específicas de la organización en la que deberá estar implicada la alta dirección.
  • Inversión en tecnología y capacitación. Invertir en tecnologías avanzadas de ciberseguridad y en la formación continua del personal para mantenerse al día con las últimas amenazas y mejores prácticas. La tecnología, junto con un equipo capacitado, es esencial para cumplir con las exigencias normativas y proteger los activos de la organización.
  • Desarrollo de un plan de respuesta a incidentes. Establecer un plan de respuesta a incidentes bien definido y probado, que permita a la organización manejar eficazmente cualquier brecha de seguridad y minimizar el impacto en las operaciones y en la reputación.

En un siguiente artículo abordaremos la casuística que contemplan algunas empresas cuando sus usuarios sufren brechas de seguridad bien en sus dispositivos móviles o en sus ordenadores, como puede impactar esta brecha en el robo de datos corporativos y como pueden las organizaciones protegerse ante esta situación.

Cumplir con las nuevas regulaciones y adoptar estrategias proactivas, asegura no solo el cumplimiento, sino que también mejora su resiliencia cibernética y ayuda a proteger sus activos en un entorno digital cada vez más complejo. La adaptación a estas normativas será crucial para mantener la integridad y la confianza en un panorama cibernético en constante cambio.