Lo que necesita saber sobre la nueva Ley de Ciberseguridad de Australia

Por Phil Muncaster • 6 November 2024

El mundo digital es un lugar cada vez más peligroso para las organizaciones australianas. Una serie de violaciones de datos y ataques de ransomware de alto perfil en los últimos años han erosionado la confianza de los clientes en los servicios en línea, por no hablar de las finanzas y la reputación corporativas.

Aunque la mayoría de estos ataques tenían motivaciones económicas, un nuevo informe de Microsoft muestra que la línea divisoria entre los delitos informáticos y las amenazas de los Estados nacionales se está difuminando, lo que significa que estos incidentes se tratan cada vez más como un asunto de seguridad nacional.

Todo esto explica la actitud proactiva que ha adoptado la administración albanesa. Primero vino la Estrategia de ciberseguridad australiana 2023-2030, que establece una hoja de ruta para que Australia se convierta en un “líder mundial” en el campo para el año 2030. Y ahora, una pieza legislativa histórica posiciona a la ciberseguridad como la clave para proteger la seguridad nacional y la estabilidad económica. Aunque todavía se están ultimando los detalles, los líderes australianos de TI y seguridad harían bien en comenzar a planificar.

¿Qué hay en la nueva legislación?

La Ley de Seguridad Cibernética no es escasa en ambición. Como primera ley independiente de seguridad cibernética de Australia, promete implementar siete iniciativas clave descritas en la Estrategia de Seguridad Cibernética antes mencionada. Según la Departamento de Asuntos InternosLa ley está diseñada para llenar los “vacíos legislativos” y preparar el “entorno cibernético” y la infraestructura crítica (CNI) del país para el futuro, centrándose en lo siguiente:

Nuevos estándares de ciberseguridad para dispositivos inteligentes que establecerán una base de seguridad mejorada para los consumidores, incluidas contraseñas únicas, actualizaciones periódicas y cifrado de datos
Notificación obligatoria de pagos de ransomware (para algunos tipos de empresas no especificados) para ayudar a las autoridades a comprender mejor la escala del problema
Una obligación de “uso limitado” para el Coordinador Nacional de Seguridad Cibernética y la Dirección Australiana de Señales (ASD) que restringirá la forma en que estos organismos utilizan la información que comparten con ellos las organizaciones de víctimas. El objetivo final es fomentar una mayor denuncia
Una nueva Junta de Revisión de Incidentes Cibernéticos que realizará investigaciones “sin culpa” luego de incidentes graves y compartirá información anónima de forma pública

La Ley de Seguridad Cibernética también promoverá e implementará las reformas descritas en la Ley de Seguridad de Infraestructura Crítica de 2018 (Ley SOCI). Estas están diseñadas para:

Aclarar las obligaciones de las organizaciones que poseen datos críticos para el negocio
Mejorar la asistencia gubernamental para mitigar el impacto de los incidentes que afectan a la CNI
Simplificar el intercambio de información entre la industria y el gobierno
Permitir al gobierno obligar a las entidades de la CNI a abordar las deficiencias graves de gestión de riesgos
Adaptar la regulación de la ciberseguridad de las telecomunicaciones a la Ley SOCI

Lo que las empresas australianas pueden hacer ahora

En el segundo semestre de 483 hubo 2023 notificaciones de violación de datos, un 19 % más que en la primera parte del año. Según el Oficina del Comisionado de Información de Australia (OAIC)La gran mayoría (67%) fueron causados por ataques maliciosos o delictivos. Estos elevados niveles de amenaza impulsaron a los legisladores a tomar medidas en primer lugar, y deberían recordar constantemente a las juntas directivas que estos riesgos deben gestionarse de una manera más integral.

Si bien la Ley de Seguridad Cibernética aún no se ha ultimado, según los expertos consultados por ISMS.online, hay muchas cosas que las organizaciones australianas pueden hacer ahora para prepararse para sus mandatos. Esto es especialmente cierto en el caso de los fabricantes de dispositivos inteligentes.

“Para los fabricantes de Australia –y prácticamente de todas partes– ahora es un buen momento para analizar las prácticas de seguridad actuales, revisar dónde hay brechas o áreas de mejora y poner en marcha planes para alinearlas con los nuevos requisitos”, le dice el principal defensor de la concientización sobre seguridad de KnowBe4, Javvad Malik, a ISMS.online.

“Los fabricantes de dispositivos inteligentes deberían tener una mentalidad de 'seguridad por diseño', en la que la seguridad esté incorporada en los productos desde el momento en que se planifican y diseñan, y nunca como algo que se agrega a posteriori”.

Daniel Schell, cofundador y director de tecnología de Airlock Digital, predice que los estándares finales que los fabricantes de IoT deberán seguir probablemente estarán alineados con el Estándar Europeo de Ciberseguridad para el Internet de las Cosas para el Consumidor (ETSI EN 303 645).

“Esto incluye controles para prohibir las contraseñas predeterminadas, implementar actualizaciones seguras, proteger los datos confidenciales, garantizar la seguridad de las comunicaciones y minimizar las superficies de ataque”, explica a ISMS.online. “Al igual que las regulaciones similares en Australia, como la Marca de Cumplimiento Regulatorio (RCM) para equipos electrónicos, estas regulaciones se verán desafiadas por las ventas directas en el extranjero, especialmente en la era de Temu y AliExpress”.

El director senior de Black Duck, Kelvin Lim, agrega que las organizaciones australianas también deberían estar preparadas para establecer protocolos obligatorios de notificación de incidentes "y trabajar en estrecha colaboración con el Centro Australiano de Seguridad Cibernética".

Malik de KnowBe4 destaca la importancia del seguimiento y la elaboración de informes continuos.

“Adquiera el hábito de realizar auditorías y revisiones de control periódicas para garantizar que todos los controles de seguridad funcionan según lo previsto y diseñado de manera continua”, sostiene. “Esto no es solo para su propia seguridad, sino también para el beneficio de los reguladores, que examinarán a las organizaciones más de cerca a la luz de los nuevos requisitos”.

Los estándares de mejores prácticas pueden ayudar

La buena noticia es que seguir estándares y marcos de seguridad como ISO 27001 puede ayudar a las organizaciones a crear una base sólida para el cumplimiento de la legislación entrante, cualquiera sea su forma final.

“Las empresas australianas dependen cada vez más de los sistemas digitales para publicitar y vender sus productos y servicios, lo que hace que la ciberseguridad sea esencial para todas las empresas”, afirma Alex Nehmy, director regional de tecnología de Phosphorus Cybersecurity para APJ, a ISMS.online. “Los estándares y marcos de mejores prácticas en materia de ciberseguridad ayudan a las empresas australianas a mejorar su postura en materia de ciberseguridad y a reducir la probabilidad de sufrir un incidente grave como el ransomware”.

Schell de Airlock Digital va más allá.

“Estándares como ISO 27001 y NIST ayudan a las organizaciones con la gobernanza y el funcionamiento de su Sistema de Gestión de Seguridad de la Información (SGSI)”, afirma. “Las organizaciones maduras que operan un SGSI saludable tendrán políticas y manuales de respuesta a incidentes implementados, junto con registros de apoyo como sus requisitos legales, y podrán integrar cambios regulatorios en sus procesos actuales de manera estructurada”.

Gracias a los proveedores de software de cumplimiento de última generación, cumplir con los requisitos de dichas normas ya no requiere tanto tiempo y recursos como antes. Al seguir los marcos reconocidos internacionalmente, las organizaciones australianas también pueden avanzar mucho en el cumplimiento de sus obligaciones en otras áreas, como el cumplimiento del RGPD y diversas regulaciones de la industria. Mientras tanto, muchas seguirán de cerca el texto final de la Ley de Seguridad Cibernética.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 20 de enero de 2026

Cerrando la brecha de gobernanza de la IA con el blog ISO 42001

Cerrando la brecha de gobernanza de la IA con la norma ISO 42001

El Reino Unido tiene un problema de gobernanza de la IA. Esto podría no haber sido un problema hace unos años, cuando los proyectos se fragmentaban en la mayoría de las organizaciones. Pero hoy...

Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster