Ir al contenido
SGSI.online

Blog de ISMS.online

Cuestiones de cumplimiento

Mantenerlo actualizado sobre el mundo de la seguridad de la información y el cumplimiento.

WP_Post Object ( [ID] => 137587 [post_author] => 41 [post_date] => 2026-02-12 09:00:57 [post_date_gmt] => 2026-02-12 09:00:57 [post_content] => No es frecuente que el gobierno admita que se equivocó. Sin embargo, a principios de año, nos obsequiaron con una rara mea culpa:un reconocimiento de que un objetivo anterior de hacer que Whitehall fuera resistente a todas las vulnerabilidades y métodos de ataque conocidos no sería alcanzable para 2030. Esa admisión fue enterrada en el texto de El Plan de Acción Cibernética (CAP), el último esfuerzo de la administración actual para mejorar la seguridad del gobierno central. Es un plan detallado y muy prometedor, cuyo impacto trascenderá con creces el sector público. Pero ¿es suficiente?

¿Por qué el gobierno necesita un plan?

No cabe duda de que el gobierno necesita un plan para reforzar la ciberresiliencia. Una evaluación del Grupo de Seguridad Gubernamental (GSG) realizada en 2023-24 reveló que 58 sistemas informáticos departamentales críticos presentaban brechas de seguridad significativas, lo que generaba un riesgo extremadamente alto. Una Oficina Nacional de Auditoría (NAO) independiente... (reporte) El año pasado, se descubrió que el 28% de los 228 sistemas de TI heredados presentaban una alta probabilidad de riesgos operativos y de seguridad. La falta de personal capacitado y la escasez de financiación han empeorado el panorama, según el informe. Desde entonces, se han producido importantes infracciones en... Agencia de Asistencia Legal, un plan de asentamiento afgano  lo que podría costarle al contribuyente cientos de millones de libras y al menos dos graves incidentes de seguridad en Contratistas del Ministerio de DefensaEn un momento de escasez de recursos y de deterioro de los servicios públicos, el gobierno no puede permitirse infracciones más costosas ni nada que ponga en peligro la tan necesaria transformación digital. La PAC señala múltiples deficiencias:
  • Fragmentación institucionalizada
  • Riesgo persistente de legado, ciberseguridad y resiliencia
  • Datos en silos
  • Subdigitalización
  • Liderazgo inconsistente
  • Un déficit de habilidades digitales
  • Poder adquisitivo difuso
  • Modelos de financiación obsoletos

¿Qué contiene la PAC?

El CAP promete un enfoque sólido y centralizado, con una dirección clara y un liderazgo activo, que establecerá expectativas claras sobre cómo los departamentos deben gestionar la seguridad y la resiliencia mediante objetivos y resultados más mensurables. El objetivo general es mejorar la visibilidad del ciberriesgo y ofrecer una acción centralizada más sólida ante los desafíos más complejos (que los departamentos no pueden gestionar por sí solos). Promete mejorar la velocidad y la calidad de la respuesta a incidentes y brindar apoyo centralizado para la resolución de problemas heredados. Para lograr sus objetivos, el CAP establece tres fases de implementación:Fase 1 (para abril de 2027): Establecer una Unidad Cibernética Gubernamental, implementar marcos de rendición de cuentas, lanzar una Profesión Cibernética intergubernamental para atraer, capacitar y retener a los profesionales cibernéticos, y publicar un Plan de Respuesta a Incidentes Cibernéticos del Gobierno.Fase 2 (abril de 2027-2029): Ampliar la PAC a través de la toma de decisiones basada en datos, así como brindar servicios de apoyo cibernético y ampliar las capacidades de respuesta.Fase 3 (abril de 2029+): Mejora continua mediante el intercambio de información centralizada, la oferta de servicios a escala, el aprovechamiento de la ciberprofesión para la transformación y la garantía de que los departamentos aseguren proactivamente la gestión del riesgo cibernético en sus cadenas de suministro. El gobierno afirma que, al permitirle digitalizar de forma segura los servicios públicos, la PAC podría generar hasta 45 000 millones de libras en ahorros de productividad. Sin embargo, solo ha asignado 210 millones de libras a la iniciativa. Por otra parte, lanzó una nueva Programa de Embajadores de Seguridad de Software Para impulsar la adopción del Código de Prácticas de Seguridad del Software, una iniciativa voluntaria destinada a minimizar los riesgos y las interrupciones en la cadena de suministro de software. Cisco, Palo Alto Networks, Sage, Santander, NCC Group y otras empresas han acordado convertirse en embajadores. Promoverán el código en todos los sectores, mostrando su implementación práctica y proporcionando retroalimentación para fundamentar futuras mejoras en las políticas.

Proveedores en el punto de mira

Tristan Watkins, director de innovación de servicios de la empresa de servicios de TI Advania UK, acoge con satisfacción el CAP, ya que se basa en evaluaciones claras de nuestros problemas de raíz actuales. Argumenta que su significado variará según el proveedor. "Los 'proveedores estratégicos' del gobierno incorporarán requisitos de ciberseguridad y resiliencia en sus acuerdos, cuya entrada en vigor está prevista para marzo de 2027", declara a IO. "Estos detalles aún están por definir. Para otros proveedores, esperamos tener más claridad después de abril de 2027, que marca el primer hito para el establecimiento de la Unidad de Ciberseguridad del Gobierno". Nick Dyer, vicepresidente regional de ingeniería de soluciones de Arctic Wolf, afirma que, como mínimo, se espera que los proveedores realicen comprobaciones anuales de Cyber ​​Essentials si desean mantener el cumplimiento normativo. Keiron Shepherd, arquitecto sénior de soluciones de F5, coincide. "Los proveedores deben estar preparados para evaluaciones más exhaustivas y requisitos de informes más estrictos", declara a IO. "Este cambio hacia la garantía continua es un enfoque más sólido que el actual cumplimiento puntual".

Un trabajo en progreso

Sin embargo, ninguno de los expertos cree que la financiación anunciada sea suficiente. Dyer, de Arctic Wolf, afirma que "ciertamente no será suficiente" para lograr los resultados esperados. "La inversión sostenida y el cumplimiento de la hoja de ruta establecida por el gobierno serán fundamentales para su éxito", declara a IO. "El enfoque propuesto en tres etapas, que culminará en la implementación completa a principios de 2027, es práctico. Sin embargo, su éxito dependerá del compromiso. Las prioridades y las circunstancias pueden cambiar en un año, lo que significa que la supervisión continua es esencial para garantizar que el plan alcance los resultados previstos". También existen dudas sobre el Programa de Embajadores de Seguridad de Software. Watkins, de Advania UK, acoge con satisfacción la iniciativa, pero argumenta que las organizaciones no deberían interpretarla como una señal para relajar la gestión de riesgos de la cadena de suministro. "En última instancia, el código de prácticas y el programa deberían considerarse buenos complementos de la nueva PAC y el Proyecto de Ley de Ciberseguridad y Resiliencia, abordando una preocupación relacionada de manera oportuna", afirma. Sin embargo, recomendaría que las organizaciones centren sus esfuerzos de seguridad interna en las preocupaciones de la cadena de suministro de software, ya que no podemos confiar en un código de prácticas para satisfacer esas necesidades. Dyer, de Arctic Wolf, va más allá y advierte que, al ser un código voluntario, puede provocar una adopción inconsistente en las organizaciones. "Por otro lado, la imposición del código aumentaría la consistencia de la adopción y haría que la rendición de cuentas fuera medible", añade. "Su aplicación legal garantizaría que los desarrolladores de software cumplan con las prácticas de seguridad esenciales, lo que posiblemente habría sido una forma más eficaz de proteger los sistemas gubernamentales críticos". Shepherd, de F5, coincide. "El plan es constructivo, pero si el objetivo es reducir el riesgo en toda la cadena de suministro de software, las medidas voluntarias por sí solas no lo lograrán", concluye. "Pronto llegaremos a un punto en el que la imposición de estándares de seguridad por diseño será la forma más eficaz de lograr la consistencia y cerrar las brechas". [post_title] => ¿Es el Plan de Acción Cibernética del Gobierno adecuado para su propósito? [extracto de publicación] => [estado de publicación] => publicar [estado de comentario] => cerrado [estado de ping] => abierto [contraseña de publicación] => [nombre de publicación] => ¿es el plan de acción cibernética del gobierno adecuado para su propósito? [para hacer ping] => [pingeado] => [publicación modificada] => 2026-02-10 16:03:52 [publicación modificada_gmt] => 2026-02-10 16:03:52 [publicación filtrada_contenido] => [publicación principal] => 0 [guid] => https://es.isms.online/?p=137587 [orden del menú] => 0 [tipo de publicación] => publicar [tipo MIME de publicación] => [número de comentarios] => 0 [filtro] => sin procesar)
WP_Post Object ( [ID] => 137587 [post_author] => 41 [post_date] => 2026-02-12 09:00:57 [post_date_gmt] => 2026-02-12 09:00:57 [post_content] => No es frecuente que el gobierno admita que se equivocó. Sin embargo, a principios de año, nos obsequiaron con una rara mea culpa:un reconocimiento de que un objetivo anterior de hacer que Whitehall fuera resistente a todas las vulnerabilidades y métodos de ataque conocidos no sería alcanzable para 2030. Esa admisión fue enterrada en el texto de El Plan de Acción Cibernética (CAP), el último esfuerzo de la administración actual para mejorar la seguridad del gobierno central. Es un plan detallado y muy prometedor, cuyo impacto trascenderá con creces el sector público. Pero ¿es suficiente?

¿Por qué el gobierno necesita un plan?

No cabe duda de que el gobierno necesita un plan para reforzar la ciberresiliencia. Una evaluación del Grupo de Seguridad Gubernamental (GSG) realizada en 2023-24 reveló que 58 sistemas informáticos departamentales críticos presentaban brechas de seguridad significativas, lo que generaba un riesgo extremadamente alto. Una Oficina Nacional de Auditoría (NAO) independiente... (reporte) El año pasado, se descubrió que el 28% de los 228 sistemas de TI heredados presentaban una alta probabilidad de riesgos operativos y de seguridad. La falta de personal capacitado y la escasez de financiación han empeorado el panorama, según el informe. Desde entonces, se han producido importantes infracciones en... Agencia de Asistencia Legal, un plan de asentamiento afgano  lo que podría costarle al contribuyente cientos de millones de libras y al menos dos graves incidentes de seguridad en Contratistas del Ministerio de DefensaEn un momento de escasez de recursos y de deterioro de los servicios públicos, el gobierno no puede permitirse infracciones más costosas ni nada que ponga en peligro la tan necesaria transformación digital. La PAC señala múltiples deficiencias:
  • Fragmentación institucionalizada
  • Riesgo persistente de legado, ciberseguridad y resiliencia
  • Datos en silos
  • Subdigitalización
  • Liderazgo inconsistente
  • Un déficit de habilidades digitales
  • Poder adquisitivo difuso
  • Modelos de financiación obsoletos

¿Qué contiene la PAC?

El CAP promete un enfoque sólido y centralizado, con una dirección clara y un liderazgo activo, que establecerá expectativas claras sobre cómo los departamentos deben gestionar la seguridad y la resiliencia mediante objetivos y resultados más mensurables. El objetivo general es mejorar la visibilidad del ciberriesgo y ofrecer una acción centralizada más sólida ante los desafíos más complejos (que los departamentos no pueden gestionar por sí solos). Promete mejorar la velocidad y la calidad de la respuesta a incidentes y brindar apoyo centralizado para la resolución de problemas heredados. Para lograr sus objetivos, el CAP establece tres fases de implementación:Fase 1 (para abril de 2027): Establecer una Unidad Cibernética Gubernamental, implementar marcos de rendición de cuentas, lanzar una Profesión Cibernética intergubernamental para atraer, capacitar y retener a los profesionales cibernéticos, y publicar un Plan de Respuesta a Incidentes Cibernéticos del Gobierno.Fase 2 (abril de 2027-2029): Ampliar la PAC a través de la toma de decisiones basada en datos, así como brindar servicios de apoyo cibernético y ampliar las capacidades de respuesta.Fase 3 (abril de 2029+): Mejora continua mediante el intercambio de información centralizada, la oferta de servicios a escala, el aprovechamiento de la ciberprofesión para la transformación y la garantía de que los departamentos aseguren proactivamente la gestión del riesgo cibernético en sus cadenas de suministro. El gobierno afirma que, al permitirle digitalizar de forma segura los servicios públicos, la PAC podría generar hasta 45 000 millones de libras en ahorros de productividad. Sin embargo, solo ha asignado 210 millones de libras a la iniciativa. Por otra parte, lanzó una nueva Programa de Embajadores de Seguridad de Software Para impulsar la adopción del Código de Prácticas de Seguridad del Software, una iniciativa voluntaria destinada a minimizar los riesgos y las interrupciones en la cadena de suministro de software. Cisco, Palo Alto Networks, Sage, Santander, NCC Group y otras empresas han acordado convertirse en embajadores. Promoverán el código en todos los sectores, mostrando su implementación práctica y proporcionando retroalimentación para fundamentar futuras mejoras en las políticas.

Proveedores en el punto de mira

Tristan Watkins, director de innovación de servicios de la empresa de servicios de TI Advania UK, acoge con satisfacción el CAP, ya que se basa en evaluaciones claras de nuestros problemas de raíz actuales. Argumenta que su significado variará según el proveedor. "Los 'proveedores estratégicos' del gobierno incorporarán requisitos de ciberseguridad y resiliencia en sus acuerdos, cuya entrada en vigor está prevista para marzo de 2027", declara a IO. "Estos detalles aún están por definir. Para otros proveedores, esperamos tener más claridad después de abril de 2027, que marca el primer hito para el establecimiento de la Unidad de Ciberseguridad del Gobierno". Nick Dyer, vicepresidente regional de ingeniería de soluciones de Arctic Wolf, afirma que, como mínimo, se espera que los proveedores realicen comprobaciones anuales de Cyber ​​Essentials si desean mantener el cumplimiento normativo. Keiron Shepherd, arquitecto sénior de soluciones de F5, coincide. "Los proveedores deben estar preparados para evaluaciones más exhaustivas y requisitos de informes más estrictos", declara a IO. "Este cambio hacia la garantía continua es un enfoque más sólido que el actual cumplimiento puntual".

Un trabajo en progreso

Sin embargo, ninguno de los expertos cree que la financiación anunciada sea suficiente. Dyer, de Arctic Wolf, afirma que "ciertamente no será suficiente" para lograr los resultados esperados. "La inversión sostenida y el cumplimiento de la hoja de ruta establecida por el gobierno serán fundamentales para su éxito", declara a IO. "El enfoque propuesto en tres etapas, que culminará en la implementación completa a principios de 2027, es práctico. Sin embargo, su éxito dependerá del compromiso. Las prioridades y las circunstancias pueden cambiar en un año, lo que significa que la supervisión continua es esencial para garantizar que el plan alcance los resultados previstos". También existen dudas sobre el Programa de Embajadores de Seguridad de Software. Watkins, de Advania UK, acoge con satisfacción la iniciativa, pero argumenta que las organizaciones no deberían interpretarla como una señal para relajar la gestión de riesgos de la cadena de suministro. "En última instancia, el código de prácticas y el programa deberían considerarse buenos complementos de la nueva PAC y el Proyecto de Ley de Ciberseguridad y Resiliencia, abordando una preocupación relacionada de manera oportuna", afirma. Sin embargo, recomendaría que las organizaciones centren sus esfuerzos de seguridad interna en las preocupaciones de la cadena de suministro de software, ya que no podemos confiar en un código de prácticas para satisfacer esas necesidades. Dyer, de Arctic Wolf, va más allá y advierte que, al ser un código voluntario, puede provocar una adopción inconsistente en las organizaciones. "Por otro lado, la imposición del código aumentaría la consistencia de la adopción y haría que la rendición de cuentas fuera medible", añade. "Su aplicación legal garantizaría que los desarrolladores de software cumplan con las prácticas de seguridad esenciales, lo que posiblemente habría sido una forma más eficaz de proteger los sistemas gubernamentales críticos". Shepherd, de F5, coincide. "El plan es constructivo, pero si el objetivo es reducir el riesgo en toda la cadena de suministro de software, las medidas voluntarias por sí solas no lo lograrán", concluye. "Pronto llegaremos a un punto en el que la imposición de estándares de seguridad por diseño será la forma más eficaz de lograr la consistencia y cerrar las brechas". [post_title] => ¿Es el Plan de Acción Cibernética del Gobierno adecuado para su propósito? [extracto de publicación] => [estado de publicación] => publicar [estado de comentario] => cerrado [estado de ping] => abierto [contraseña de publicación] => [nombre de publicación] => ¿es el plan de acción cibernética del gobierno adecuado para su propósito? [para hacer ping] => [pingeado] => [publicación modificada] => 2026-02-10 16:03:52 [publicación modificada_gmt] => 2026-02-10 16:03:52 [publicación filtrada_contenido] => [publicación principal] => 0 [guid] => https://es.isms.online/?p=137587 [orden del menú] => 0 [tipo de publicación] => publicar [tipo MIME de publicación] => [número de comentarios] => 0 [filtro] => sin procesar)

En el punto de mira

Tema Destacado

Ponte al día con las historias que nos han llamado la atención este mes.

Manténgase al tanto de los titulares con el boletín de IO

Recibe un resumen mensual de toda la información, privacidad y novedades sobre ciberseguridad directamente en tu bandeja de entrada.

Únete a nuestro boletín

Categorías Populares

Seguridad de la información La seguridad cibernética Privacidad de datos Protección de Datos ISO 27001,
Líder - Invierno 2026
Líder regional - Invierno 2026 Reino Unido
Líder regional - Invierno 2026 UE
Líder regional - Invierno 2026 Mercado medio UE
Líder regional - Invierno 2026 EMEA
Líder regional - Invierno 2026 Mercado medio EMEA
ISO 27001,
ISO 27701,
ISO 27001,
ISO 27701,
Cyber ​​Essentials
SGSI.online

Numero de registro: 04922343

Nile House, Nile Street, Brighton, Inglaterra, BN1 1HW
Derechos de autor © 2026 Alliantist Ltd