Cumplimiento normativo en ciberseguridad

El cumplimiento normativo en ciberseguridad se está transformando radicalmente debido a la intersección entre la inteligencia artificial y las amenazas cibernéticas, agravada por la ampliación de las superficies de ataque derivada de la adopción de la nube, el trabajo remoto y la proliferación del IoT. Se prevé que los costes globales de la ciberdelincuencia alcancen los 11,9 billones de dólares anuales, y las filtraciones masivas de datos, como el incidente de Allianz Life en julio de 2025, han convertido las medidas de ciberseguridad conformes con la normativa en una prioridad fundamental.

Las empresas de todo el mundo están respondiendo con una inversión sin precedentes, ya que el 85 % de las organizaciones tienen previsto aumentar sus presupuestos de ciberseguridad a medida que nuevas normativas, como la Ley de Resiliencia Operativa Digital (DORA, por sus siglas en inglés) de la UE, entran en vigor este año. El mensaje es claro: el cumplimiento ya no es opcional, sino un sine qua non para la supervivencia digital.

El cumplimiento de la ciberseguridad es la práctica sistemática de adherirse a las leyes, regulaciones y estándares industriales establecidos, diseñados para proteger los activos digitales y la información confidencial frente a las amenazas cibernéticas. Este proceso abarca la implementación de controles de seguridad integrales que salvaguardan la confidencialidad, integridad y disponibilidad de los datos a lo largo de todo su ciclo de vida. Las organizaciones logran el cumplimiento mediante el establecimiento de marcos basados en el riesgo que abordan todo, desde los controles de acceso y el cifrado de datos hasta los procedimientos de respuesta a incidentes y los programas de formación de los empleados.

El ámbito del cumplimiento de la ciberseguridad ha creado dificultades en múltiples sectores. Las organizaciones deben capear requisitos normativos en función del sector, la geografía y los tipos de datos. Dependiendo del sector o del mercado, es posible que las empresas tengan que abordar los estrictos requisitos de privacidad del RGPD, las protecciones sanitarias de la HIPAA o marcos específicos del sector, como PCI DSS para el procesamiento de pagos.

Cada norma de cumplimiento requiere un conocimiento profundo de los requisitos aplicables y su implementación técnica, lo que a su vez exige una monitorización y evaluación continuas del cumplimiento. Esto ha llevado a innumerables organizaciones a abandonar las auditorías periódicas y a implementar la verificación en tiempo real de los controles de seguridad y las prácticas de gestión de riesgos.

El cumplimiento de la ciberseguridad se convierte en una herramienta con un doble propósito: protegerle de las amenazas y generar confianza entre los clientes, socios y reguladores. Si se hace correctamente, el cumplimiento transforma una necesidad defensiva en una ventaja competitiva que demuestra al mundo que se toma la seguridad en serio.

Los CISO y los responsables de seguridad con experiencia saben que los programas de cumplimiento normativo eficaces aprovechan los requisitos que se solapan para crear arquitecturas eficientes y de defensa en profundidad que optimizan los recursos en múltiples mandatos. El desafío consiste en diseñar programas de cumplimiento normativo que mantengan la eficiencia operativa y los objetivos de reducción de riesgos, al tiempo que satisfacen las diversas expectativas de las partes interesadas.

Normas globales y regionales

Los pilares normativos fundamentales establecen requisitos básicos que a menudo sirven de trampolín para programas de seguridad integrales. Comprender cómo se interrelacionan las principales normas de ciberseguridad permite a las organizaciones crear arquitecturas de cumplimiento unificadas en lugar de gestionar requisitos aislados. Las estrategias de cumplimiento inteligentes reconocen que el cumplimiento de los requisitos de una norma a menudo satisface parte de los de otras, lo que crea oportunidades de eficiencia para los equipos de seguridad con recursos limitados.

RGPD (Reglamento General de Protección de Datos)

• Se aplica extraterritorialmente a cualquier organización que procese datos de ciudadanos de la UE, lo que cambia radicalmente las prácticas globales de privacidad gracias a su enfoque basado en la responsabilidad.
• Exige privacidad desde el diseño, evaluaciones de impacto de la protección de datos y una responsabilidad demostrable mediante medidas técnicas y organizativas que deben integrarse en todos los procesos empresariales.
• Las sanciones alcanzan hasta el 4 % de los ingresos globales anuales, pero el impacto real radica en su enfoque basado en el riesgo de la gobernanza de datos, que influye en las decisiones sobre la arquitectura de seguridad.
• Los requisitos de derechos individuales (portabilidad, supresión y acceso a los datos) obligan a las organizaciones a mantener un inventario de datos granular y capacidades de gestión del ciclo de vida que mejoran la postura de seguridad general.
• Los requisitos de notificación de infracciones en un plazo de 72 horas a las autoridades y sin demoras indebidas a las personas crean obligaciones de respuesta a incidentes que se alinean con prácticas de ciberseguridad más amplias.

HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico)

• Regula todo lo relacionado con información sanitaria protegida en las organizaciones sanitarias y los socios comerciales de EE. UU. con requisitos flexibles y escalables a través de especificaciones abordables.
• Las salvaguardias administrativas hacen hincapié en las estructuras de gobernanza, las responsabilidades de los responsables de seguridad, la formación de la plantilla y las responsabilidades de seguridad asignadas que se ajustan a los marcos empresariales.
• Las salvaguardias físicas abarcan los controles de acceso a las instalaciones, las restricciones de uso de las estaciones de trabajo y los controles de dispositivos y medios, que se extienden más allá de la atención sanitaria y se aplican a cualquier organización que maneje datos sensibles.
• Las salvaguardias técnicas se centran en el control de acceso, los controles de auditoría, los controles de integridad, la autenticación de personas y la seguridad de las transmisiones, principios básicos de cualquier programa de seguridad sólido.
• Los acuerdos con socios comerciales crean requisitos de seguridad contractuales que extienden las protecciones de la HIPAA a todo el ecosistema sanitario, estableciendo precedentes en la gestión de riesgos de terceros.

PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago)

• El PCI DSS se aplica a las organizaciones que procesan, almacenan o transmiten información de tarjetas de crédito con un sofisticado marco de controles compensatorios, lo que permite medidas de seguridad alternativas
• Los 12 requisitos básicos crean una base de seguridad integral que aborda la segmentación de la red, el cifrado, la gestión de vulnerabilidades, los controles de acceso, la supervisión y los procedimientos de prueba
• Las metodologías de validación van desde cuestionarios de autoevaluación hasta contrataciones de evaluadores de seguridad cualificados, en función del volumen de transacciones anuales y la clasificación del nivel comercial
• Las versiones recientes hacen hincapié en enfoques personalizados para diferentes modelos de negocio, en lugar de implementaciones de seguridad prescriptivas y uniformes para todos.
• Los requisitos de pruebas de penetración y análisis de vulnerabilidades periódicas establecen prácticas de validación de seguridad continuas que muchas organizaciones extienden más allá de los entornos de pago.

Marcos de seguridad

Los marcos integrales proporcionan una base arquitectónica para crear programas de seguridad maduros y basados en el riesgo que se adaptan al crecimiento de la organización y a la evolución de las amenazas. Los marcos modernos hacen hincapié en la integración con los procesos empresariales, en lugar de implementaciones de seguridad independientes. Cada vez más, las organizaciones van adoptando múltiples marcos simultáneamente, aprovechando sus fortalezas complementarias para abordar los diversos requisitos de las partes interesadas y las obligaciones reglamentarias.

Marco de ciberseguridad (CSF) 2.0 del NIST

La actualización del CSF del NIST añade una función de gobernanza específica, que refleja los requisitos de integración en toda la empresa más allá de los enfoques de implementación tradicionales centrados en las tecnologías de la información.

• Identificar: descubrimiento y gestión de activos, análisis del entorno empresarial, establecimiento de una estructura de gobernanza, evaluación exhaustiva de riesgos y gestión de riesgos de la cadena de suministro.
• Proteger: gestión de identidades y accesos integrada con la clasificación de datos, formación en materia de sensibilización, procesos de protección de la información, procedimientos de mantenimiento y despliegue de tecnología de protección.
• Detectar: detección de anomalías y eventos, capacidades de supervisión continua y optimización de los procesos de detección mediante la integración de información sobre amenazas.
• Responder: clasificación de incidentes y planificación de la respuesta, protocolos de comunicación con las partes interesadas, procedimientos de análisis, estrategias de mitigación y procesos de mejora.
• Recuperar: planificación de la continuidad y la recuperación del negocio, integración de las mejoras a partir de las lecciones aprendidas y estrategias de comunicación para restablecer la confianza de las partes interesadas.
• El enfoque de implementación por niveles (parcial, basado en el riesgo, repetible, adaptable) permite escalar en función de la madurez de la organización, la tolerancia al riesgo y la disponibilidad de recursos.

ISO/IEC 27001 y 27002

• Los sistemas de gestión de la seguridad de la información (SGSI) basados en procesos de la ISO 27001 crean una mejora continua a través de la metodología Planificar-Hacer-Verificar-Actuar, totalmente integrada en las operaciones comerciales y la planificación estratégica.
• La selección de controles basados en el riesgo garantiza medidas de seguridad proporcionadas y alineadas con los riesgos identificados, en lugar de la aplicación generalizada de controles en todos los contextos organizativos.
• Los requisitos del sistema de gestión establecen estructuras de gobernanza, marcos de políticas, requisitos de competencia y mecanismos de medición del rendimiento que demuestran la madurez del programa de seguridad.
• La norma ISO 27002 proporciona una guía detallada para la implementación de controles organizativos (políticas, gestión de riesgos, relaciones con los proveedores), controles de personal (selección, condiciones de empleo, formación en materia de sensibilización), controles físicos (áreas seguras, protección de equipos) y controles tecnológicos (gestión de accesos, criptografía, seguridad de los sistemas).
• La versión actualizada de 2022 consolida los controles anteriores y añade requisitos para la seguridad de los servicios en la nube, la prevención de la pérdida de datos, el filtrado web y la seguridad de las aplicaciones, reflejando el panorama actual de amenazas.
• La certificación requiere auditorías de vigilancia anuales y ciclos de recertificación de tres años en los que se demuestre la eficacia del sistema de gestión y la mejora continua.

Controles del Centro para la Seguridad en Internet (CIS)

• 18 salvaguardas prioritarias desarrolladas mediante la colaboración de la comunidad y basadas en patrones de ataque reales, datos sobre la eficacia de las defensas y análisis de inteligencia sobre amenazas.
• Controles básicos (1-6): Inventarios de activos de hardware y software para visibilidad de la superficie de ataque, gestión segura de la configuración para la reducción de riesgos, gestión continua de vulnerabilidades, privilegios administrativos controlados y configuración segura de la red.
• Controles fundamentales (7-16): Recuperación y copia de seguridad de datos para la continuidad del negocio, protecciones de correo electrónico y navegador web contra vectores comunes, implementación de defensa contra malware, gestión de la infraestructura de red, prevención de pérdida de datos y capacidades de supervisión de la red.
• Controles organizativos (17-18): programas de formación en materia de seguridad y capacidades integrales de respuesta ante incidentes que abordan los factores humanos y la madurez de los procesos.
• Los grupos de implementación (IG1 para ciberseguridad básica, IG2 para seguridad a nivel empresarial, IG3 para organizaciones avanzadas/maduras) proporcionan vías de adopción basadas en la madurez y alineadas con la sofisticación de la organización y la exposición al riesgo.
• Los subcontroles proporcionan orientación técnica específica para la implementación, al tiempo que permiten flexibilidad para diferentes entornos tecnológicos y contextos empresariales.

Normativas emergentes

La evolución de las normas de ciberseguridad actuales refleja los cambios en el panorama de las amenazas y los patrones de adopción tecnológica que deben anticipar los líderes de seguridad con visión de futuro. La convergencia normativa entre jurisdicciones crea tanto complejidad como oportunidades para las organizaciones que operan a nivel mundial. Comprender los requisitos emergentes con antelación permite posicionarse proactivamente en materia de cumplimiento, en lugar de reaccionar apresuradamente cuando las normativas entran en vigor.

Marco integral de resiliencia digital de la UE

• NIS2: Amplía el alcance a las entidades medianas y grandes de 18 sectores críticos con requisitos de gestión de riesgos proporcionados y obligaciones reforzadas de notificación de incidentes.
• DORA: Crea mandatos de resiliencia operativa para los servicios financieros que van más allá de la ciberseguridad tradicional para abarcar la gestión integral de riesgos de las TIC en todo el ecosistema digital.
• Ambas normas de ciberseguridad hacen hincapié en las evaluaciones de la seguridad de la cadena de suministro, los procedimientos de diligencia debida de terceros y los mecanismos de notificación de incidentes transfronterizos para mejorar la defensa colectiva.
• Las pruebas de resiliencia operativa digital en virtud de la DORA requieren pruebas de penetración avanzadas basadas en amenazas que simulen escenarios de ataque sofisticados contra funciones empresariales críticas.
• El desarrollo de normas técnicas reglamentarias continúa hasta 2025, creando directrices de aplicación para sectores y tipos de organizaciones específicos.

Normas de divulgación de ciberseguridad de la SEC

• La notificación de incidentes importantes en un plazo de cuatro días hábiles comprende los procedimientos de respuesta tradicionales y requiere procesos preestablecidos para la rápida determinación de la importancia y la revisión legal.
• Las divulgaciones anuales 10-K sobre gobernanza de la ciberseguridad crean marcos de responsabilidad detallados que conectan las responsabilidades de supervisión del consejo de administración con enfoques estratégicos de gestión de riesgos y experiencia en gestión.
• Los procedimientos de evaluación de la importancia relativa deben integrar los incidentes de ciberseguridad con los marcos de importancia relativa financiera existentes, creando nuevas intersecciones entre la seguridad y la información financiera.
• Los requisitos de divulgación de riesgos prospectivos abordan la estrategia de ciberseguridad, los procesos de gobernanza y los enfoques de gestión de riesgos, lo que proporciona a los inversores transparencia sobre la postura de seguridad de la organización.

Integración de la gobernanza de la IA

• El Departamento de Servicios Financieros de Nueva York publicó una guía que establece un precedente normativo para las evaluaciones de riesgos de la IA, las medidas de responsabilidad algorítmica y los requisitos de supervisión humana en los servicios financieros
• Las obligaciones de implementación de autenticación multifactor y las evaluaciones de riesgos exhaustivas para los sistemas basados en IA señalan la aparición de requisitos de cumplimiento específicos para la tecnología en todos los sectores
• La atención normativa a la gobernanza de los modelos de IA, los controles de calidad de los datos y la prevención de sesgos crean nuevos ámbitos de cumplimiento que requieren conocimientos especializados más allá de la ciberseguridad tradicional
• Los requisitos de integración con los marcos de gestión de riesgos existentes exigen comprender las tecnologías emergentes, así como las competencias establecidas en materia de ciberseguridad y las obligaciones normativas.

La elaboración de un plan eficaz de cumplimiento normativo en ciberseguridad requiere un enfoque sistemático que equilibre los requisitos normativos con las realidades operativas. Los programas exitosos integran los objetivos de cumplimiento en los procesos empresariales existentes, en lugar de tratarlos como iniciativas separadas que compiten por los recursos y la atención.

El siguiente marco proporciona una metodología estructurada para desarrollar programas de cumplimiento integrales que se adapten al crecimiento de la organización y a la evolución de las amenazas.

1. Comprender el panorama normativo

El panorama del cumplimiento normativo está cambiando rápidamente. “En los últimos años, el cumplimiento, la regulación y la gobernanza han comenzado a evolucionar más rápidamente de lo que habíamos visto en mucho tiempo”, afirma Michael McGrath, director sénior de Cumplimiento y Riesgo Digital de Proofpoint. “Esto ha sido en respuesta a los rápidos cambios que hemos visto en todos los sectores, causados por las nuevas tecnologías, como la inteligencia artificial (IA) y el aprendizaje automático, y las nuevas formas de hacer negocios que se han puesto en marcha en respuesta a la pandemia”, destaca.

Asigne sus obligaciones normativas específicas en función de la presencia geográfica, el sector industrial y las operaciones comerciales. Cree una matriz normativa que identifique los requisitos superpuestos y las sinergias de implementación entre las diferentes normas. Este ejercicio de mapeo revela oportunidades para satisfacer múltiples obligaciones de cumplimiento mediante controles de seguridad unificados.

2. Realizar una evaluación de riesgos

Realice un inventario completo de activos y un modelo de amenazas para identificar los sistemas críticos, los flujos de datos confidenciales y los posibles vectores de ataque. Cuantifique los riesgos utilizando tanto métricas técnicas como mediciones del impacto comercial para crear marcos de priorización defendibles.

Además de determinar las posibles amenazas para la seguridad de los datos, “evalúe las configuraciones de control de acceso (jerarquías de recursos, árboles de decisión de cuentas de servicio, roles de IAM, políticas de nivel de recursos individuales, etc.) para obtener una visión sencilla y precisa de los privilegios de acceso a todos los almacenes de datos”, aconseja Vamsi Koduru, director de producto de Proofpoint. “Aplique el principio del mínimo privilegio para reducir el acceso de los usuarios y las funciones al nivel mínimo necesario”, añade. Las evaluaciones de riesgos eficaces traducen las vulnerabilidades técnicas al lenguaje empresarial que entienden los ejecutivos.

3. Desarrollar políticas y gobernanza

Establezca estructuras de gobernanza que definan las funciones, las responsabilidades y los mecanismos de rendición de cuentas en toda la organización. Según Kasey Olbrych, de Proofpoint, “existe una delgada línea entre garantizar la seguridad y respetar la confidencialidad de los datos delicados de los empleados. Sin embargo, lograr este equilibrio no solo es posible, sino que es esencial”.

Crear marcos normativos que sean lo suficientemente específicos como para proporcionar una orientación práctica, pero que al mismo tiempo sean lo suficientemente flexibles como para adaptarse a las necesidades cambiantes de la empresa. Las políticas bien diseñadas integran los requisitos de cumplimiento en los procedimientos operativos estándar, en lugar de crear procesos específicos de cumplimiento por separado.

4. Implementar controles técnicos

Implementar tecnologías de seguridad que aborden múltiples requisitos de cumplimiento simultáneamente, al tiempo que respalden los objetivos empresariales. “Los controles suelen encontrarse con desafíos y resistencia porque la seguridad de la información, en su conjunto, es “pesada”, afirma Joshua Linkenhoker, responsable de seguridad de la información y estratega de protección de datos en Proofpoint. “Los controles de seguridad pueden afectar significativamente a la forma en que un usuario realiza sus tareas diarias. Por eso, en la mayoría de las empresas, estos procesos se ejecutan de forma simplificada”, añade.

Priorice los controles en función del potencial de reducción de riesgos y la cobertura normativa, en lugar de las preferencias tecnológicas o las relaciones con los proveedores. La implementación técnica debe seguir una estrategia de defensa en profundidad que cree una seguridad por capas y, al mismo tiempo, satisfaga los requisitos específicos de control de cumplimiento.

5. Supervisar y auditar continuamente

Establezca capacidades de supervisión continua que proporcionen visibilidad en tiempo real de la postura de seguridad y del estado de cumplimiento en todos los sistemas y procesos críticos. Implemente auditorías internas periódicas y evaluaciones de cumplimiento que validen la eficacia de los controles e identifiquen las deficiencias antes de que los auditores externos las descubran. La supervisión proactiva del cumplimiento permite a las organizaciones abordar los problemas con rapidez, al tiempo que demuestran la debida diligencia a las partes interesadas.

6. Formar e integrar la cultura

Desarrolle programas de concienciación sobre seguridad basados en funciones que aborden obligaciones de cumplimiento específicas y requisitos de funciones laborales, en lugar de formación genérica sobre seguridad. Al desarrollar estos programas, “los conocimientos del mundo real ayudarán a sus empleados a comprender el alcance y el impacto de las amenazas a las que pueden enfrentarse”, afirman Kimberly Pavelich y Debbie Rich, de Proofpoint. “También permitirá a sus equipos de seguridad adaptar su formación y sus mensajes en consecuencia”.

Es necesario asegurarse del compromiso de los directivos y de los recursos para las iniciativas de cumplimiento normativo continuas mediante una comunicación regular sobre el valor del programa y los beneficios para el negocio. La transformación cultural requiere un mensaje coherente por parte de los directivos, que posicionen el cumplimiento normativo como un facilitador del negocio en lugar de una carga operativa.

7. Gestión de proveedores y terceros

Implemente programas integrales de gestión de riesgos de terceros que evalúen la postura de seguridad de los proveedores, las obligaciones contractuales y los requisitos de supervisión continua. “Amplíe la protección para cubrir toda su superficie de ataque humana, incluido su ecosistema empresarial”, aconseja Hanna Wong, antigua directora del sector público de Proofpoint. “Asegúrese de que las personas con las que hace negocios no ponen en riesgo a su organización”, añade.

Establezca procedimientos de evaluación de proveedores que evalúen los controles de seguridad, las certificaciones de cumplimiento y las capacidades de respuesta a incidentes, al tiempo que exige compromisos contractuales. Una gestión eficaz de terceros incluye revisiones periódicas de seguridad, supervisión del rendimiento y planes de contingencia para incidentes de seguridad de los proveedores.

El cumplimiento normativo en ciberseguridad representa el punto de partida, que no la meta final, en la creación de programas de ciberseguridad resilientes. Si bien los requisitos normativos establecen bases esenciales para la gestión de riesgos, a menudo se quedan atrás con respecto a los entornos de amenazas en rápida evolución y los vectores de ataque emergentes. Las organizaciones que consideran el cumplimiento normativo como su límite máximo de seguridad, en lugar de su mínimo, se exponen a adversarios sofisticados que aprovechan las brechas entre los requisitos normativos mínimos y las estrategias de defensa integrales.

Los líderes de seguridad proactivos sacan partido de marcos establecidos como CIS Controls y NIST CSF para crear capacidades de defensa que superan los mínimos de cumplimiento y satisfacen simultáneamente múltiples obligaciones normativas. Los controles CIS proporcionan medidas de seguridad priorizadas e informadas sobre las amenazas que abordan los patrones de ataque del mundo real más allá de lo que exigen la mayoría de las normas de cumplimiento. Del mismo modo, el enfoque basado en el riesgo del NIST CSF permite a las organizaciones implementar controles de seguridad proporcionales a su exposición a las amenazas, en lugar de limitarse a marcar casillas reglamentarias. Esta integración de marcos estratégicos crea programas de seguridad que se adaptan a las amenazas emergentes, al tiempo que mantienen una postura de cumplimiento.

La transformación más significativa se produce cuando las organizaciones incorporan la estrategia de ciberseguridad en su ADN empresarial, en lugar de tratarla como una función operativa independiente. Esta evolución cultural requiere un liderazgo ejecutivo que posicione la seguridad como un facilitador empresarial y una ventaja competitiva, en lugar de un centro de costes de cumplimiento normativo. Cuando la ciberseguridad se convierte en parte integral de los procesos de toma de decisiones empresariales, las organizaciones superan naturalmente los requisitos de cumplimiento normativo mediante decisiones operativas conscientes de la seguridad que protegen la confianza de los clientes, la propiedad intelectual y la posición en el mercado.

La plataforma de seguridad centrada en las personas de Proofpoint aborda la realidad fundamental de que las personas siguen siendo el objetivo principal y el eslabón más débil en los ataques de ciberseguridad, al tiempo que sirve de base para programas de cumplimiento integrales. El conjunto integrado de soluciones basadas en la nube combina la detección avanzada de amenazas mediante inteligencia artificial, la prevención de pérdida de datos, la gobernanza de las comunicaciones digitales y la supervisión automatizada del cumplimiento para ayudar a las organizaciones a cumplir los requisitos normativos de múltiples marcos, incluidos FINRA, SEC, GDPR y mandatos específicos del sector.

Con una profunda experiencia en el panorama normativo y una capacidad demostrada para proteger al 85 % de las empresas de la lista Fortune 100, Proofpoint permite a las organizaciones transformar el cumplimiento normativo de una carga operativa en una ventaja estratégica mediante una visibilidad unificada, la aplicación automatizada de políticas y una gestión inteligente de los riesgos que se adapta al crecimiento del negocio y a la evolución de los entornos de amenazas. Póngase en contacto con Proofpoint para obtener más información sobre los servicios de cumplimiento de ciberseguridad.