Regulación, regulación y más regulación. En los últimos años ha habido mucho de qué preocuparse, especialmente en la UE, en lo que respecta a la ciberresiliencia. El año pasado se aprobó la NIS2, seguida por DORA, destinada a las instituciones financieras, además de la entrada en vigor de la nueva Ley de Datos de la UE. Esto no va a parar. El próximo gran proyecto de ley en el horizonte, la Ley de Resiliencia Cibernética, entrará en vigor (gradualmente) el próximo año.
Es comprensible que se piense que todo esto es demasiado. Que la normativa es un obstáculo y ralentiza a las organizaciones. Sin embargo, esa no es la forma correcta de verlo. La resiliencia ya no es opcional, y la normativa solo es una pérdida de tiempo si se considera un mero trámite burocrático. Las organizaciones que la abordan de la manera correcta pueden ganar mucho más que simplemente evitar una multa.
Índice de temas
¿Frustración por la normativa?
No hay forma de evitarlo: en los últimos años hemos visto aparecer numerosas normativas sobre ciberseguridad y resiliencia. Cuesta creer que incluso el RGPD (Reglamento General de Protección de Datos), que causó un gran revuelo y obligó a muchas organizaciones a plantearse seriamente la cuestión de los datos por primera vez, solo tenga siete años. Muchas cosas han cambiado desde entonces. En particular, NIS2 y DORA. Significan que las industrias “esenciales” e “importantes” (en el caso de NIS2) y los servicios financieros (en los que se centra DORA, pero que también cubre NIS2) tienen nuevas y amplias responsabilidades en materia de gestión de riesgos digitales y notificación de incidentes.
No solo los CISO tienen mucho de qué preocuparse, sino que, gracias a la nueva responsabilidad de «rendición de cuentas corporativas» que imponen normativas como la NIS2, también lo tiene todo el equipo ejecutivo. Al fin y al cabo, es su responsabilidad personal la que está en juego. Más allá de las posibles multas de decenas de millones de euros para la propia empresa, los ejecutivos que sean declarados gravemente negligentes pueden enfrentarse a despidos, prohibiciones de ocupar puestos de responsabilidad o incluso a procesos judiciales.
Cuando lo planteas así, puede parecer bastante intimidante (lo cual es comprensible). Especialmente si tenemos en cuenta que, incluso ahora, seguimos en un periodo en el que muchas empresas quedan fuera de estas regulaciones más estrictas. Sin embargo, con la próxima Ley de Ciberresiliencia de la UE, que abarca a todas las empresas que comercializan productos digitales con software en el mercado de la UE, pronto habrá aún más empresas que se vean sujetas a una u otra regulación de resiliencia digital.
Vale la pena ser resiliente en más sentidos de los que crees
No quiero parecer frívolo. Siento una gran simpatía por los responsables de TI o los líderes empresariales en general, para quienes la regulación y el cumplimiento normativo son solo una de las muchas responsabilidades que deben asumir. Muchos pueden sentir que mantenerse al día con esta creciente regulación les está frenando; una encuesta reciente realizada a responsables de TI de servicios financieros tras la entrada en vigor de DORA reveló que uno de cada cinco cree que el volumen de la regulación digital se está convirtiendo en una barrera para la innovación o la competencia.
Gracias a la nueva responsabilidad de «rendición de cuentas corporativas» que imponen normativas como la NIS2, también lo tiene todo el equipo ejecutivo. Al fin y al cabo, es su responsabilidad personal la que está en juego
Aunque entiendo su postura, la buena noticia es que, si se analizan estas regulaciones más allá de marcar casillas o simplemente evitar multas, se puede ganar mucho más. En primer lugar, estas regulaciones existen por una razón. Los ciberataques han afectado a todas las organizaciones digitales en los últimos años. Solo en los últimos tiempos, hemos visto cómo ciberataques importantes han paralizado las operaciones de Jaguar Land Rover y M&S.
Aunque no existieran regulaciones, las amenazas que intentan mitigar seguirían existiendo. En otras palabras, es necesario prestar atención e invertir en ciberresiliencia independientemente de ello. Las regulaciones deben considerarse como el listón mínimo; cuando cambian, lo que ocurre es que se elevan los estándares mínimos. Si se aplica una regulación que «te obliga» a iniciar un nuevo proceso o procedimiento, ya vas con retraso. Ya debería estar haciendo estas cosas, y es probable que sus competidores ya lo estén haciendo.
Dicho esto, es importante saber que cumplir con la normativa no siempre significa estar seguro. Si normativas como NIS2 y DORA son el listón mínimo, las organizaciones deberían aspirar a superarlo. Además, la razón por la que siempre surgen nuevas directivas es que las ciberamenazas evolucionan rápidamente y los estándares del sector son, en cierta medida, solo una instantánea en el tiempo. En otras palabras, es mucho más eficaz cumplir con la normativa siendo una organización madura y resiliente a los ataques digitales que intentar ser resiliente solo mediante el cumplimiento normativo.
Además, ser resiliente tiene ventajas que van más allá de evitar multas o las consecuencias del ransomware. Se podría considerar la normativa o incluso la amenaza de un ciberataque como un obstáculo que hay que evitar. Pero muchas organizaciones no se dan cuenta de que contar con una resiliencia de datos madura es ventajoso en sí mismo. Una investigación reciente de Veeam y McKinsey reveló que las empresas con un alto grado de resiliencia de datos no solo evitan el tiempo de inactividad y la pérdida de datos en comparación con otras, sino que también experimentan un crecimiento medio de los ingresos aproximadamente un 10% superior.
Un paso más allá
La normativa suele centrarse en lo táctico, abordando los síntomas de los problemas y exigiendo a las organizaciones que apliquen medidas específicas para mitigar el riesgo o responder cuando las cosas van mal.
Si bien esto ayuda al sector a elevar gradualmente el listón y actualizarse hacia mejores prácticas, este enfoque fragmentado de la resiliencia acaba dejando a las organizaciones siempre un paso por detrás. Para alcanzar una verdadera madurez en materia de resiliencia de los datos, las empresas deben adelantarse a la normativa y adoptar un enfoque a largo plazo que aborde las causas fundamentales del riesgo digital, en lugar de limitarse a ocultar los problemas a medida que surgen.
La tradicional tríada de “personas, procesos y tecnología” continúa siendo tan valiosa como siempre, pero ahora la “estrategia” también debe tener un lugar en la mesa
La tradicional tríada de “personas, procesos y tecnología” continúa siendo tan valiosa como siempre, pero ahora la “estrategia” también debe tener un lugar en la mesa. A medida que evolucionan las ciberamenazas, aumentan las presiones normativas y los ecosistemas de datos se vuelven cada vez más complejos, las organizaciones deben integrar los objetivos empresariales con la planificación de la resiliencia. Con un enfoque multifuncional, las áreas de TI, seguridad y cumplimiento normativo pueden contribuir a una estrategia cohesionada que no solo anticipe las amenazas, sino que también imponga la gobernanza y mantenga a las empresas un paso por delante del cumplimiento normativo.
Al incorporar la estrategia, la resiliencia deja de ser una simple lista de requisitos que cumplir y pasa a ser una visión más amplia. Al final, es esa capa estratégica la que convierte la resiliencia de una obligación normativa en una ventaja real, ayudando a las empresas a estar preparadas para lo que venga. Y es por eso que las organizaciones que están a la vanguardia en madurez de resiliencia de datos son, en promedio, más rentables. Contar con una estrategia conjunta no solo protege el negocio, sino que a menudo suaviza las ineficiencias operativas y rompe los silos en el camino, lo que significa que la organización puede trabajar de manera más inteligente y crecer con una mayor libertad.
Soy consciente de que todo esto suena muy bien para aquellas organizaciones maduras, pero ¿qué pasa con aquellas que están intentando dar el paso que les permita pasar de perseguir el cumplimiento normativo a liderarlo? Las soluciones parciales existentes han dado lugar a unas redes técnicas realmente complicadas de desenredar en lo que respecta a la resiliencia de los datos.
Afortunadamente, existen herramientas que pueden ayudar. Los modelos de madurez de la resiliencia de los datos son cada vez más accesibles y proporcionan a las organizaciones marcos que pueden seguir y que no solo permiten evaluar su madurez actual en materia de resiliencia, sino también identificar las deficiencias y proporcionar medidas para implementar mejoras específicas. De este modo, la resiliencia de los datos pasa de ser una serie de barreras normativas que hay que cumplir a convertirse en un punto de mejora continua que ofrece ventajas, no solo en materia de cumplimiento, sino también de rentabilidad.
Las organizaciones que utilizan estos modelos y siguen este enfoque no consideran el cumplimiento como un inconveniente o un mero trámite burocrático. Para ellas, los datos ya no son un punto de fallo, sino un facilitador del crecimiento. Con nuevas regulaciones como la Ley de Datos de la UE y la próxima Ley de Ciberresiliencia, es probable que hayan recorrido el 90% del camino y vean la regulación como una oportunidad para poner a prueba su resiliencia y flexionar su agilidad, manteniéndose a la vanguardia en lugar de simplemente mantenerse al día. En resumen, la estrategia ha convertido su resiliencia de un requisito en una ventaja comercial real.
