El desafío del cumplimiento normativo en los servicios públicos

El desafío del cumplimiento de las normas de servicios públicos

Por Kate O'Flaherty • 22 de enero de 2026

Las empresas de servicios públicos se enfrentan a la fragmentación y los silos, lo que impide un enfoque optimizado para el cumplimiento normativo. Se necesita una base más sólida, pero ¿cómo lograrla?

Por Kate O'Flaherty

Las empresas de servicios públicos operan numerosos sistemas dispares, muchos de los cuales nunca estuvieron pensados para conectarse a internet. Por lo tanto, no es de extrañar que los riesgos de seguridad cibernética — y el cumplimiento de las regulaciones que rigen la materia — siguen siendo uno de los mayores desafíos del sector.

En 2010, el Gusano Stuxnet Demostró la amenaza real que representa un ciberataque al sector, tras la destrucción de las centrifugadoras utilizadas en el programa nuclear iraní. Más recientemente, la guerra entre Rusia y Ucrania ha presenciado varios ciberataques patrocinados por el Estado contra Ucrania. Red eléctricaMientras tanto, en los EE.UU., la sector del agua También ha sido objeto de ataques.

El creciente riesgo de ataques como estos y sus consecuencias devastadoras ha dado lugar a una serie de regulaciones destinadas a reforzar la seguridad de los servicios públicos, incluida la Directiva de la UE sobre redes y sistemas de información 2 (NIS2) y el Reino Unido Proyecto de ley sobre ciberseguridad y resiliencia.

A medida que las empresas de servicios públicos se esfuerzan por cumplir con estas múltiples normas, algunos han criticado a la industria por su lentitud para adaptarse. De hecho, un reciente... blog por Ernst & Young destaca la necesidad de inteligencia artificial Tecnología (IA) para gestionar estrategias complejas de gestión de riesgos y garantizar el cumplimiento.

Pero en una industria que ya enfrenta fragmentación y silos, ¿agregar más herramientas es realmente la respuesta?

Mantenerse al día con la regulación

Muchos expertos dicen que no. En cambio, las empresas de servicios públicos necesitan una estructura de cumplimiento unificada y diseñada a la altura de la complejidad de los sistemas físicos que gestionan. Esto empieza por consolidar las bases, en lugar de superponer nuevas tecnologías sobre la fragmentación existente.

Los recientes incidentes cibernéticos que han afectado a las empresas de servicios públicos ponen de relieve un desafío que va más allá de seguir el ritmo de la regulación. La presión a la que se enfrentan las empresas de servicios públicos es real, pero no se debe a que las normas avancen a un ritmo mayor al que las organizaciones pueden responder.

Esto se debe a que el costo del cumplimiento fragmentado y desconectado y la propiedad del riesgo está "aumentando más rápido de lo que las empresas de servicios públicos pueden absorber", dice Darren Guccione, director ejecutivo y cofundador de Keeper Security. IO.

Las empresas de servicios públicos operan algunos de los sistemas físicos más interconectados del mundo. Sin embargo, los procesos que rigen la ciberseguridad, la resiliencia operativa, la privacidad, el acceso de terceros y el cumplimiento normativo suelen estar desconectados entre sí.

“Ciberseguridad, tecnología operacional Los equipos de seguridad (OT), privacidad, auditoría y regulación suelen organizarse como funciones paralelas, cada una con sus propios controles, herramientas y líneas de reporte, pero con visibilidad o coordinación compartidas limitadas», señala Guccione. «Esa fragmentación genera una exposición real».

Estos silos provocan «mala comunicación, duplicación de esfuerzos, malentendidos y lentitud en la toma de decisiones», afirma Tracey Hannan-Jones, directora de consultoría de seguridad de la información de UBDS Digital. «Por lo tanto, cuando llegan nuevas regulaciones, cada departamento interpreta y luego implementa los cambios de forma diferente, o no los implementa en absoluto, lo que genera inconsistencias, ineficiencias y marcos de cumplimiento mal diseñados para abordar los requisitos».

El concepto de "deuda técnica" en software —atajos que generan costos futuros compuestos— "se corresponde perfectamente con el cumplimiento normativo", afirma Rayna Stamboliyska, directora ejecutiva de RS Consulting. "Cada vez que una empresa de servicios públicos implementa un nuevo requisito regulatorio en sistemas existentes fragmentados, en lugar de reestructurar la base, la organización acumula 'deuda de cumplimiento'. El 'costo del cumplimiento fragmentado' es, en realidad, el pago de intereses sobre la 'deuda de cumplimiento', y las empresas de servicios públicos del Reino Unido pagan intereses compuestos sin reducir el capital".

Con herramientas insuficientes

Ninguna cantidad de nueva tecnología puede resolver el problema, especialmente si simplemente se incorpora a sistemas fragmentados.

En 2024, las grandes empresas utilizaban un promedio de 45 herramientas de ciberseguridad, según GartnerEsto indica que la falta de herramientas no es el problema principal, afirma Rik Ferguson, vicepresidente de inteligencia de seguridad de Forescout. "En teoría, esa cantidad de herramientas puede parecer tranquilizadora. En la práctica, suele generar un problema diferente: un entorno de seguridad congestionado, ruidoso y difícil de operar como un todo coherente".

Las juntas directivas suelen ver herramientas extensas y dan por sentado que la cobertura es integral, afirma Ferguson. «Los equipos de seguridad, por su parte, dedican muchísimo tiempo a recopilar información, validar alertas y detectar actividades que no siempre se traducen en una reducción de riesgos mensurable».

En este complejo entorno, las organizaciones pueden considerar la IA como la solución. Sin embargo, esto nunca funcionará, ya que la IA se nutre de datos integrados de alta calidad, afirma Hannan-Jones de UBDS Digital. «En las empresas de servicios públicos fragmentadas, los datos suelen ser de mala calidad, dispersos, inconsistentes o inaccesibles. Sin datos unificados, los modelos de IA solo pueden generar información limitada o poco fiable».

Otro factor a considerar es que la IA no puede solucionar los silos organizacionales, afirma Hannan-Jones. «La IA puede automatizar tareas o generar recomendaciones, pero no puede obligar a los departamentos a colaborar ni a compartir información».

Enfoque simplificado

En lugar de simplemente añadir nuevas herramientas, las empresas de servicios públicos deberían trabajar en un enfoque simplificado para el cumplimiento normativo. Esto puede facilitar la coordinación central, la rendición de cuentas local, controles consistentes, la monitorización continua y una visión integrada del riesgo.

Como parte de esto, la estandarización proporciona un vocabulario unificado y un conjunto de procedimientos para el riesgo, la seguridad, la privacidad y la IA, afirma Hannan-Jones. Por ejemplo, ISO 27001, cubriendo la seguridad de la información, ISO 22701, sobre la privacidad y ISO 42001, Gobernando la gestión de la IA.

Estos marcos requieren una asignación clara de roles y responsabilidades mediante un enfoque centralizado. Esto garantiza que todos sepan quién es responsable de qué, lo que mejorará la coordinación y la comunicación, y reducirá las brechas, afirma Hannan-Jones. «Las organizaciones pueden entonces implementar procesos documentados y repetibles para la evaluación de riesgos, la respuesta a incidentes e impulsar la mejora continua», explica.

Al mismo tiempo, dado que las normas ISO se basan en el riesgo, exigen que las organizaciones los consideren de forma integral, en lugar de hacerlo de forma aislada. La alineación de la gestión de riesgos con los objetivos empresariales garantiza que todos los departamentos trabajen hacia los mismos objetivos con un enfoque coherente, afirma Hannan-Jones.

Al buscar optimizar su organización, el primer paso es mapear y estandarizar sus procesos principales, aconseja Hannan-Jones. «Documente todos los flujos de trabajo clave de la organización, incluyendo la gestión de activos, el mantenimiento, la respuesta a incidentes y la gestión de riesgos. Esto generará claridad, detectará duplicaciones, identificará brechas y proporcionará una base sólida para la estandarización».

Es importante garantizar que todos, incluyendo la dirección, participen, afirma Hannan-Jones. «Como líderes sénior, debemos promover el enfoque unificado de cumplimiento, comunicar su valor y asignar recursos. Un cambio sostenido requiere un apoyo visible desde la cúpula directiva, con un mensaje claro para toda la organización».

Beneficios del cumplimiento

Si bien persisten los desafíos, la regulación no se está volviendo más compleja. Al contrario, está exponiendo cuán desordenadas y frágiles se han vuelto las estructuras internas. El riesgo en las empresas de servicios públicos solo se convierte en un activo cuando se trata como la red misma: un sistema funcional, conectado, monitoreado continuamente y diseñado para ser resiliente.

Los beneficios son claros: cuando el cumplimiento se coordina e integra, las empresas de servicios públicos obtienen una respuesta regulatoria más rápida, una postura cibernética más fuerte, modelos de IA más confiables, mejor garantía para la junta y una reducción de duplicaciones y costos.

El cumplimiento coordinado e integrado permite a las empresas recuperar su capacidad operativa para que puedan redirigir sus esfuerzos a mejorar los resultados de seguridad, afirma Conor Sherman, CISO residente en Sysdig. "Así, podrán dedicar su tiempo a mejorar la resiliencia de la red, en lugar de discutir sobre la procedencia de una captura de pantalla para un auditor".

Kate O'Flaherty

Kate es periodista especializada en ciberseguridad y privacidad con más de una década de experiencia cubriendo temas relevantes para usuarios, empresas y gobiernos. Además de ISMS.online, su trabajo se puede encontrar en Forbes, Wired, The Guardian, The Observer, The Times y The Economist.

Lea más de Kate O'Flaherty

La seguridad cibernética 29 de enero de 2026

Los riesgos de la violación de la API de 700credit ponen la gobernanza de la cadena de suministro financiera en el punto de mira.

Violación de 700Credit: Los riesgos de la API ponen la gobernanza de la cadena de suministro financiera en el punto de mira

¿Qué revela la filtración de datos de 700Credit sobre los riesgos del sistema de datos financieros y la cadena de suministro, y qué lecciones podemos extraer? Por Kate O'Flaherty.

Kate O'Flaherty

La seguridad cibernética 16 December 2025

Los ciberataques están impactando el PIB. Esto es lo que eso significa para las empresas.

Los ciberataques afectan el PIB: qué significan para las empresas

Dado que la resiliencia es un requisito cada vez mayor en las regulaciones, ¿cómo puede cada organización contribuir? Por Kate O'Flaherty. Empresas de todo el Reino Unido...

Kate O'Flaherty

La seguridad cibernética 25 November 2025

La interrupción de AWS y el efecto dominó en la ciberseguridad

Ante el aumento del riesgo de interrupciones, ¿qué pueden hacer las empresas para gestionar las repercusiones de la ciberseguridad, como el phishing y la ingeniería social? Por Kate O'Flah...

Kate O'Flaherty