Prepárese para la nueva regulación de seguridad de centros de datos del Reino Unido ISMS.online

Prepárese para una nueva regulación de seguridad de centros de datos del Reino Unido

Por Phil Muncaster • 8 de febrero de 2024

La economía del Reino Unido está cada vez más centrada en lo digital. De acuerdo con la gobierno, los datos contribuyeron casi el 7% al PIB en 2022, y tres cuartas partes de todas las exportaciones de servicios del país dependieron de datos. Esto representa una fantástica oportunidad de crecimiento, pero también expone a las organizaciones y a los clientes que dependen de ellas a nuevos riesgos. Es por eso que el gobierno ha publicado nuevas propuestas para regular los centros de datos de terceros que impulsan gran parte de la economía digital.

En su forma actual, las reglas introducirían un nuevo marco legal y función regulatoria, exigiendo requisitos mínimos de seguridad básicos para los propietarios de centros de datos. Los expertos creen que los marcos de seguridad de mejores prácticas como ISO 27001 podrían ser una forma útil para que dichas organizaciones garanticen el cumplimiento.

¿Por qué necesitamos centros de datos más seguros?

Los centros de datos se encuentran en el corazón de la economía digital y permiten a las organizaciones de todos los tamaños que operan en todos los sectores ofrecer servicios en línea fluidos y operar de manera más eficiente. El gobierno estima que el 28% de todas las empresas del Reino Unido utilizan servicios alojados en centros de datos, cifra que asciende al 62% en el caso de las grandes empresas. Sin embargo, tanto los fenómenos meteorológicos extremos como las amenazas cibernéticas, como las filtraciones de datos y el ransomware, son un desafío creciente. Un comité parlamentario Recientemente advertido que el Reino Unido corre un “alto riesgo” de sufrir un ataque de ransomware “catastrófico”.

Cualquiera que sea la causa de un incidente, las interrupciones graves pueden tener un costo financiero y de reputación significativo para los propietarios de centros de datos y las empresas y clientes finales que dependen de estas instalaciones. Según el Instituto Uptime cifras Para 2022, el 80% de los administradores y operadores de centros de datos han experimentado algún tipo de interrupción en los tres años anteriores. Más del 60 % de las fallas en 2022 resultaron en pérdidas totales de al menos $100,000 39, frente al 2019 % en 1. La proporción que costó más de un millón de dólares aumentó del 11 % al 15 % durante el mismo período.

Sin embargo, si bien las instalaciones de los proveedores de servicios en la nube (CSP) y de los proveedores de servicios gestionados (MSP) ya están reguladas por las Regulaciones de sistemas de información y redes (NIS) del Reino Unido de 2018, no ocurre lo mismo con otros centros de datos de terceros. Esto convierte al Reino Unido en un caso atípico entre las principales economías. Y es por eso que el gobierno ha emitido un nuevo documento de consulta pública: Proteger y mejorar la seguridad y la resiliencia de la infraestructura de datos del Reino Unido.

¿Qué implican las propuestas?

Las reglas propuestas cubrirían específicamente a los proveedores de servicios de centros de datos de colocación y cohospedaje. Los propietarios de instalaciones deberán registrarse ante un regulador designado y proporcionar “información relevante” sobre sus operaciones en el Reino Unido. Este regulador tendría poder para gestionar y hacer cumplir el nuevo marco, teniendo en cuenta el crecimiento y la innovación al tomar cualquier decisión.

Los propietarios de centros de datos también tendrían que cumplir con una serie de medidas de seguridad y resiliencia relacionadas con:
⦁ Gestión de riesgos
⦁ Seguridad física y ciberseguridad de instalaciones, redes y sistemas
⦁ Gestión de incidentes: los incidentes importantes deben informarse al regulador y potencialmente divulgarse a los clientes/partes afectadas
⦁ Resiliencia y continuidad del servicio
⦁ Monitoreo, detección, auditoría y pruebas.
⦁ Gobernanza y personal
⦁ Gestión de la cadena de suministro

“Los datos son un motor cada vez más importante de nuestro crecimiento económico y desempeñan un papel fundamental en todos nuestros servicios públicos. Por lo tanto, garantizar que las empresas que lo almacenan cuenten con las protecciones adecuadas para limitar los riesgos de amenazas como los ciberataques y las condiciones climáticas extremas nos ayudará a cosechar los beneficios y brindar tranquilidad a las empresas”, argumentó el Ministro de Infraestructura Digital y Datos, John Whittingdale, en una declaración.

“El gobierno se toma en serio la seguridad de los datos, por lo que pedimos a estas empresas que compartan activamente sus conocimientos y experiencia, al mismo tiempo que nos aseguramos de que contamos con las regulaciones adecuadas. Al hacer de la seguridad una prioridad máxima en la forma en que manejamos los datos, no solo estamos abordando nuevos desafíos sino que también estamos convirtiendo al Reino Unido en un líder mundial en la promoción de tecnología segura y responsable”.

Los estándares y marcos pueden ayudar

Sin embargo, como ocurre con cualquier nueva propuesta regulatoria, existen desafíos potenciales, según James McQuiggan, defensor de la concientización sobre la seguridad en KnowBe4.
"En primer lugar, el enfoque único puede ser adecuado sólo para algunos operadores de centros de datos, especialmente los más pequeños que podrían tener dificultades con los costos y las complejidades del cumplimiento", le dice a ISMS.online.

“En segundo lugar, existe el riesgo de una regulación excesiva, que podría sofocar la innovación o conducir a una mentalidad centrada en el cumplimiento en lugar de la seguridad. Por último, está el desafío de mantenerse al día con las amenazas cibernéticas que evolucionan rápidamente, donde las regulaciones pueden quedar obsoletas rápidamente”.

Los operadores de centros de datos deberán implementar las últimas tecnologías de resiliencia y seguridad de datos, al tiempo que garantizan la compatibilidad y un tiempo de inactividad mínimo, y al mismo tiempo minimizan la deuda técnica, añade McQuiggan.

“Adherirse a una lista cada vez mayor de regulaciones y estándares de la industria puede llevar tiempo y esfuerzo, especialmente para los operadores más pequeños. Equilibrar el cumplimiento con la eficiencia operativa es un desafío importante”, argumenta.

Sin embargo, los estándares de mejores prácticas podrían ayudar. Fundamentalmente, el documento de consulta del gobierno señala que “se pueden utilizar estándares, marcos de evaluación y otras herramientas para mejorar y garantizar las mitigaciones de seguridad y resiliencia”. Esto abre la puerta al uso de estándares internacionales como ISO 27001, que proporciona un marco para establecer, implementar y gestionar un sistema de gestión de seguridad de la información (SGSI).

“El marco enfatiza la mejora continua, lo que se alinea bien con la naturaleza dinámica de las amenazas a la ciberseguridad y los avances tecnológicos. Puede ayudar a los propietarios de centros de datos a gestionar sistemáticamente información confidencial de la empresa y garantizar la seguridad de los datos”, afirma McQuiggan.

"Además, las organizaciones que poseen las certificaciones ISO 2700x pueden demostrar a los proveedores, clientes y reguladores que el centro de datos se toma en serio la gestión eficaz de los riesgos de seguridad de la información".

La consulta sobre la nueva ley se extenderá hasta el 22 de febrero y se invitará a varias partes interesadas, incluidos operadores de centros de datos, proveedores de nube y expertos de la industria a enviar sus comentarios sobre las propuestas. El Gobierno considera que esto, el nuevo Proyecto de Ley de Protección de Datos e Información Digital y el Ley de infraestructura de telecomunicaciones y seguridad de productos (PSTI) de 2022 Juntos ayudarán a impulsar la ciberresiliencia de la economía digital del Reino Unido, en un momento de crecientes amenazas y una creciente superficie de ataque corporativo. El tiempo dirá.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 20 de enero de 2026

Cerrando la brecha de gobernanza de la IA con el blog ISO 42001

Cerrando la brecha de gobernanza de la IA con la norma ISO 42001

El Reino Unido tiene un problema de gobernanza de la IA. Esto podría no haber sido un problema hace unos años, cuando los proyectos se fragmentaban en la mayoría de las organizaciones. Pero hoy...

Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster