Por qué los reguladores favorecen un enfoque convergente para la ciberresiliencia
Tabla de contenido:
A medida que el ecosistema digital se expande exponencialmente y los cibercriminales buscan explotar los agujeros de seguridad dentro del mismo, los reguladores continúan presionando a las empresas para que desarrollen estrategias integrales de riesgo cibernético y las responsabilizan cuando las cosas salen mal.
Reconociendo que las ciberamenazas son multifacéticas y de naturaleza global, los reguladores están adoptando un enfoque más uniforme para el cumplimiento normativo en materia de ciberriesgos. Un ejemplo perfecto es la Ley de Resiliencia Operativa Digital de la Unión Europea, que exige la adhesión de todo el bloque a un conjunto común de normas de ciberseguridad.
La cooperación internacional en materia de ciberresiliencia, en particular en áreas como la inteligencia artificial (IA), también está creciendo. Por ejemplo, en septiembre de 2024, el Reino Unido, Estados Unidos y Canadá... planes anunciados colaborar en la investigación sobre ciberseguridad e inteligencia artificial.
Debido al auge de las regulaciones cibernéticas convergentes, ahora se espera que las empresas de todos los sectores desarrollen, apliquen y evalúen periódicamente controles y políticas integrales de riesgos de TI. Los expertos en ciberseguridad advierten que esto ya no puede ser un ejercicio de cumplir requisitos.
Un enfoque convergente para la ciberresiliencia
Un rápido aumento de las amenazas cibernéticas sofisticadas y una creciente dependencia de las tecnologías digitales por parte de las empresas están impulsando a los reguladores globales a alinearse en áreas centrales, como la protección de datos, la resiliencia cibernética y la gestión de riesgos, según Anu Kapil, gerente senior de productos de la firma estadounidense de seguridad de TI Qualys.
Argumenta que, al adoptar un enfoque unificado para las regulaciones de privacidad, ciberseguridad e IA, los reguladores se benefician de una supervisión optimizada y de la aplicación de la rendición de cuentas transfronteriza. Mientras tanto, las empresas pueden utilizar un conjunto estándar de marcos para un cumplimiento normativo centralizado.
Haciendo eco de ideas similares, Sam Peters, director de productos de ISMS.online, señala que los reguladores de todo el mundo están colaborando cada vez más en regulaciones cibernéticas entre dominios en respuesta a la proliferación de amenazas digitales complejas, desafíos geopolíticos y las crecientes expectativas de los usuarios en materia de responsabilidad.
Con ello, Peters afirma que los reguladores esperan acabar con los silos actuales en áreas como la ciberseguridad, la privacidad de datos y la IA. Estos silos dificultan que las organizaciones detecten y mitiguen las ciberamenazas.
Pero al eliminar los silos antes mencionados, promover regulaciones de TI más consistentes y Apoyándose en estándares de riesgo existentes como ISO 27001Cree que los reguladores pueden ayudar a acelerar la innovación intersectorial y reducir los riesgos cibernéticos.
No se está haciendo lo suficiente
Aunque los estándares de la industria como NIS2, DOR e ISO 27001 se han alineado más en los últimos tiempos, Mark Weir, director regional para el Reino Unido e Irlanda del proveedor de soluciones de ciberseguridad Check Point Software, sugiere que aún queda mucho camino por recorrer antes de que se vuelvan verdaderamente “consistentes” y “exhaustivos” a escala global.
En particular, afirma que la falta de directrices y gobernanza formalizadas sobre inteligencia artificial dificulta que las organizaciones utilicen esta tecnología adecuadamente. Por ejemplo, a los artistas les preocupa que la IA pueda infringir sus derechos de autor a menos que la tecnología esté debidamente regulada.
Pero los reguladores no son los únicos responsables. Si bien organismos del sector como el Centro Nacional de Ciberseguridad advierten del creciente riesgo de ciberamenazas y emiten directrices para contrarrestarlas, Weir afirma que muchas organizaciones no las están poniendo en práctica. Le preocupa especialmente la falta de simulacros y ensayos cibernéticos en los planes corporativos de ciberresiliencia.
Le comenta a ISMS.online: «Sin una planificación proactiva y pruebas periódicas, la probabilidad de una recuperación exitosa de un ciberataque disminuye significativamente, lo que a menudo resulta en interrupciones del servicio, pérdida de datos y erosión de la confianza del cliente».
Qué significan las regulaciones cibernéticas convergentes para las empresas
Lo que está claro es que, a medida que surgen nuevas regulaciones en la industria y convergen las políticas existentes, las empresas no tienen más remedio que tomar en serio sus obligaciones regulatorias. Para Peters, esto significa implementar suficientes controles de riesgo de TI, gestionarlos con rigor y asumir la responsabilidad cuando algo sale mal.
Ante la rápida aparición de amenazas cibernéticas y de inteligencia artificial, afirma que las empresas no pueden permitirse tratar el cumplimiento normativo como una simple lista de verificación. En cambio, deben desarrollar una cultura de mejora continua para garantizar la eficacia de sus planes de ciberresiliencia.
Peters afirma que las empresas que consideran la ciberresiliencia como un ejercicio estratégico y continuo en todos sus departamentos serán las más exitosas. Explica: «Quienes lo hacen bien obtienen una ventaja competitiva: una entrada más rápida al mercado, mayor confianza del cliente y menor exposición a multas regulatorias o daños a la reputación».
Kapil coincide en que, ante la convergencia de las regulaciones cibernéticas, las organizaciones se verán expuestas al fracaso si no abordan el cumplimiento normativo de forma continua. Anima a las empresas a establecer políticas de ciberseguridad adaptables, supervisarlas periódicamente y estar preparadas para responder a solicitudes de auditoría imprevistas de los reguladores.
Ella explica a ISMS.online: “Para lograr esto de manera efectiva, las empresas pueden automatizar la recopilación de evidencia, evaluar las brechas de control de manera proactiva y mantenerse alineadas con las regulaciones en constante evolución en múltiples dominios”.
Adopción de un enfoque de ciberresiliencia más inteligente e integrado
Cuando se trata de responder a las crecientes demandas regulatorias de cumplimiento cibernético convergente y fortalecer sus defensas cibernéticas, Peters insta a las empresas a reemplazar los enfoques de cumplimiento manuales y fragmentados por otros que sean más inteligentes y más integrados.
En la práctica, Peters dice que esto significa centralizar el riesgo, el cumplimiento y la gobernanza en un entorno que se puede escalar fácilmente, tiene en cuenta las regulaciones industriales existentes y emergentes, y proporciona información sobre el riesgo en diferentes áreas del negocio.
Una forma de lograrlo, según Peters, es implementar un sistema de gestión de seguridad de la información que cumpla con los requisitos de una norma industrial reconocida, como la ISO 27001. Explica que estas normas no solo se establecen intencionalmente, sino que también están diseñadas para facilitar el cumplimiento cibernético transfronterizo de forma estructurada y adaptable.
“Al adoptar la norma ISO 27001 como base, las empresas obtienen una forma sistemática de identificar, evaluar y mitigar riesgos y, fundamentalmente, su estructura respalda la inclusión de marcos adicionales, ya sea para la privacidad, la ética de la IA, la resiliencia o los mandatos específicos del sector”, afirma Peters.
Añade que, tras adoptar una plataforma SGSI, las empresas pueden integrar las recomendaciones de otros marcos, como la norma ISO 22301 para la continuidad del negocio o la ISO 42001 para la IA, en sus diferentes iniciativas de cumplimiento. Añade: «Esto simplifica la gestión y facilita la demostración del cumplimiento en múltiples estándares y regiones».
Al igual que Peters, Kapil advierte a las empresas que no gestionen las diferentes normativas de TI y ciberseguridad por separado, ya que esto genera silos ineficientes y arriesgados. Favorece un enfoque centralizado en el que las empresas desarrollen políticas interdepartamentales alineadas con marcos como el NIST, la ISO y el RGPD.
Dado que las obligaciones regulatorias están en constante evolución, enfatiza la importancia de la supervisión continua de las políticas, una tarea que puede optimizarse mediante herramientas de automatización. Añade: «Con un enfoque integrado de auditoría de políticas, se puede reducir el trabajo manual, mejorar la precisión y coordinar las iniciativas de riesgo y cumplimiento en una sola plataforma».
El futuro de las regulaciones cibernéticas
De cara al futuro, Kapil prevé que las regulaciones del sector se volverán aún más estrictas ante un panorama de ciberamenazas en rápida expansión y cada vez más feroz. Cree que habrá una mayor presión sobre las empresas para demostrar que están abordando estos riesgos de forma continua y en tiempo real mediante una estrategia integrada de ciberriesgos. Empezar esto ahora les ayudará a ser «más ágiles, estar preparadas para las auditorías y mejor protegidas contra los riesgos regulatorios y cibernéticos», añade.
Alan Jones, director ejecutivo y cofundador del proveedor de comunicaciones seguras YEO Messaging, coincide en que el futuro del cumplimiento normativo en materia de ciberriesgos será más integrado. Espera que más empresas adopten esta tendencia mediante la autenticación de usuarios en tiempo real y la implementación de arquitecturas de confianza cero.
A medida que más organizaciones desarrollan, implementan y utilizan sistemas de IA, Satish Swargam, consultor principal de DevSecOps y desarrollo seguro en la empresa de seguridad de aplicaciones Pato negro, predice que las futuras regulaciones de ciberseguridad y las políticas de cumplimiento se diseñarán en torno a esta tecnología.
Las regulaciones de la industria no solo buscarán mitigar las amenazas que plantean los modelos de IA, sino que estos mismos modelos también podrían optimizar el cumplimiento normativo en materia de ciberseguridad. De hecho, Swargam afirma que la IA tiene el poder de abordar los riesgos de seguridad en el contexto adecuado.
Las empresas se benefician enormemente de tecnologías emergentes como la IA; sin embargo, también se enfrentan a importantes riesgos éticos y de ciberseguridad que están creciendo en escala y sofisticación. Por ello, las empresas deben evaluar estos riesgos adecuadamente para proteger a sus empleados, clientes y, de hecho, su reputación. Y hacerlo así mantendrá satisfechos a los reguladores.
