Un año de cumplimiento normativo: cinco tendencias clave a partir de 2024

Por Phil Muncaster • 10 December 2024

Ha sido otro año lleno de incidentes para los equipos de seguridad y cumplimiento normativo. ataques de ransomware, Cadena de suministro y código abierto amenazas, ladrones de información, cortes de TI globales, y mucho más, muchos lucharon por mantenerse a flote. A medida que la innovación tecnológica, en particular en inteligencia artificial (IA), se aceleró a un ritmo acelerado, los reguladores también tuvieron un año ajetreado. Sin embargo, a medida que se acumulaban los mandatos legislativos, algunos profesionales admitidos que muchas reglas nuevas son demasiado difíciles de entender y requieren demasiado tiempo para implementarlas.

Se trata de una tendencia preocupante que probablemente continuará a medida que aumente la escasez de personal especializado. Pero hay luz al final del túnel, si los equipos de seguridad pueden encontrar una manera de optimizar sus esfuerzos de cumplimiento a través de estándares de mejores prácticas como ISO 27001. Con eso en mente, estas son las cinco cosas que aprendimos de 2024.

Australia finalmente se toma en serio la ciberseguridad

Ha tardado mucho en llegar, pero Australia finalmente obtuvo su primera ley independiente sobre ciberseguridad. La Ley de Ciberseguridad, que todavía está en trámite en el parlamento al momento de escribir este artículo, es una nueva y ambiciosa ley que promete implementar siete iniciativas clave delineadas en el nuevo proyecto de ley del gobierno de Albania. Estrategia de seguridad cibernéticaObligará a informar sobre los pagos de ransomware y establecerá nuevos estándares para los dispositivos inteligentes, además de fomentar el intercambio de información con las autoridades, entre otras cosas.

Los expertos dicen Las organizaciones australianas pueden adelantarse a los nuevos requisitos si revisan sus prácticas de seguridad actuales, determinan dónde hay lagunas o áreas de mejora y adoptan una mentalidad de seguridad desde el diseño. Sin duda, algo tiene que cambiar en Australia. En la segunda mitad de 483 hubo 2023 notificaciones de violaciones de datos, un 19 % más que en la primera parte del año, y la mayoría (67 %) fueron causadas por ataques maliciosos.

Amenazas a la IA aumentan a medida que entran en vigor nuevas normas

Una de las estadísticas principales de ISMS.online Informe sobre el estado de la seguridad de la información 2024 El 30% de los encuestados sufrieron ataques con deepfakes, lo que lo coloca justo detrás de la ingeniería social y las infecciones por malware, y es un testimonio de la asombrosa aceleración de la innovación tecnológica durante el año pasado. Como siempre, los reguladores han estado compitiendo para ponerse al día con esta y otras amenazas de IA para las empresas, los consumidores y la sociedad.

Como era de esperar, la UE está tomando la delantera en materia de regulación con su Ley de IA, que afectará a las empresas del Reino Unido que deseen vender en el mercado único. Emplea Un enfoque basado en el riesgo que clasifica los sistemas de IA en cuatro categorías según su daño potencial. Los que se encuentren en la categoría de alto riesgo requerirán más trabajo, lo que exige que las organizaciones realicen evaluaciones de riesgo exhaustivas, implementen mecanismos de supervisión humana y Garantizar que los sistemas de IA sean seguros, confiables y transparentes. En otros lugares, la Convenio Marco del Consejo de Europa sobre Inteligencia Artificial Es una iniciativa de base amplia, Convención a nivel de estado-nación Está diseñado para abordar las lagunas legales derivadas de los rápidos avances tecnológicos de la IA. Queda por ver si tiene el impacto deseado.

Estados Unidos está adoptando un enfoque menos práctico en materia de regulación, algo que probablemente continuará con una nueva administración Trump. Pero este agujero regulatorio es siendo llenado a nivel estatalLas organizaciones deberían considerar la norma ISO 42001 como una guía útil para utilizar la IA de forma segura. Nuevos documentos de orientación del NIST (sobre amenazas adversas) y el NCSC (para el desarrollo de IA) también debería ayudar.

Los fabricantes de IoT están bajo un intenso escrutinio

Los sistemas de Internet de las cosas (IdC) se están abriendo camino en todo, desde las pulseras de actividad hasta las fábricas inteligentes. Pero también representan un riesgo de seguridad potencialmente significativo, ya que los fabricantes, hasta ahora, no han tenido regulaciones formales que impongan estándares mínimos de mejores prácticas. Eso ha cambiado ahora, con nuevas leyes a nivel del Reino Unido y la UE. El Reino Unido fue el primero en dar el golpe con su Ley de Seguridad de Productos e Infraestructura de Telecomunicaciones (PSTI). Exige contraseñas únicas y seguras para cada dispositivo, así como programas de divulgación de vulnerabilidades y actualizaciones de seguridad por parte de los fabricantes, que deben funcionar durante un período de tiempo determinado.

Aunque modesto, debería ayudar a mejorar los estándares de seguridad de IoT en el ámbito del consumo y podría mejorarse con el tiempo. Sin embargo, la UE Ley de Resiliencia Cibernética (CRA) Es mucho más ambicioso y será obligatorio para cualquier fabricante o minorista que desee vender productos IoT para consumidores en el continente. Tiene un alcance más amplio y exige una lista más larga de requisitos de seguridad. Las empresas del Reino Unido que tengan la vista puesta en Europa deberían cumplir los requisitos de la PSTI centrándose en la CRA.

Se aproxima una nueva legislación sobre ciberseguridad en el Reino Unido

En el Reino Unido, el nuevo gobierno laborista no perdió tiempo este año en difundir nuevas leyes relacionadas con la ciberseguridad diseñadas para aumentar la resiliencia del país ante amenazas en constante evolución. La principal es la Proyecto de ley sobre ciberseguridad y resiliencia, que actualizará el Reglamento NIS. En concreto, aumentará el alcance del actual régimen NIS "para proteger más servicios digitales y cadenas de suministro", introducirá la notificación obligatoria de ransomware y otorgará más poderes a los reguladores, aunque no está claro exactamente cómo. El gobierno también anunció un Proyecto de Ley de Información Digital y Datos Inteligentes, que es esencialmente una nueva versión del Proyecto de Ley de Protección de Datos e Información Digital enlatado, destinado a actualizar el régimen GDPR del Reino Unido. Los equipos de cumplimiento seguirán de cerca cualquier nueva información sobre las leyes propuestas el próximo año.

Los últimos meses de la administración anterior también dejaron mucho que analizar para las empresas del Reino Unido, incluida una propuesta Nuevo Código de Prácticas para la gobernanza cibernética y nuevas regulaciones Diseñado para mejorar la postura de seguridad de los centros de datos.

Los proveedores de infraestructura crítica tienen mucho que hacer

En la UE, dos nuevas leyes imponen exigencias estrictas a los proveedores de infraestructuras críticas. La fecha límite largamente esperada para Implementación del NIS 2 Se aprobó en octubre. Incorporará a un gran número de organizaciones europeas adicionales al ámbito de aplicación, impondrá un nuevo conjunto de requisitos básicos de seguridad y establecerá un nuevo nivel de responsabilidad por incidentes para la alta dirección. Una vez más, las empresas del Reino Unido que comercian con Europa tendrán que cumplir. y pueden utilizar lo mejor normas de práctica como ISO 27001 para ayudarles a lograrlo.

Mientras tanto, la Ley de Resiliencia Operativa Digital (DORA, por sus siglas en inglés) entrará en vigor a principios del nuevo año: el 17 de enero de 2025. También establece un nuevo conjunto estricto de reglas, esta vez para las empresas de servicios financieros y sus proveedores de TI. La norma ISO 27001 puede ayudar estableciendo los procesos fundamentales necesarios para cumplir con los requisitos en áreas como respuesta a incidentes, gestión de riesgos, gestión de riesgos de la cadena de suministro y pruebas de resiliencia.

Una mano amiga

A medida que las superficies de ataque corporativas se expanden, los actores de amenazas siguen rondando y los reguladores se vuelven más exigentes, los equipos de seguridad y cumplimiento amenazan con verse abrumados por la carga de trabajo. Parece que esto está teniendo un impacto preocupante. La mitad (50%) de las empresas del Reino Unido informan haber experimentado algún tipo de violación o ataque de seguridad en los últimos 12 meses, cifra que aumenta al 70% de las medianas empresas y al 74% de las grandes empresas. Esto supone un aumento considerable respecto de las cifras respectivas del 32%, 59% y 69% en 2023.

Las normas y los marcos de mejores prácticas no son una panacea, pero pueden hacer gran parte del trabajo pesado, ya que muchos de los requisitos de la legislación citada anteriormente comparten los mismos objetivos subyacentes. La clave es encontrar un proveedor capaz de acelerar y agilizar esta carga de cumplimiento en medio de las persistentes brechas de habilidades. Afortunadamente, estas herramientas existen.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 20 de enero de 2026

Cerrando la brecha de gobernanza de la IA con el blog ISO 42001

Cerrando la brecha de gobernanza de la IA con la norma ISO 42001

El Reino Unido tiene un problema de gobernanza de la IA. Esto podría no haber sido un problema hace unos años, cuando los proyectos se fragmentaban en la mayoría de las organizaciones. Pero hoy...

Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster