Red Seguridad 113

red seguridad segundo trimestre 2026 29 normativa monográfico Carlos Rafael García CISO de la Dirección General de Emergencias del Gobierno de Canarias ¿Dónde está impactando más la normativa de ciberseguridad en las organizaciones y en qué aspectos todavía no están todavía maduras? Desde mi punto de vista, la normativa de ciberseguridad está impactando especialmente en la gobernanza, en la gestión del riesgo y en la responsabilidad real de las organizaciones. Ya no hablamos solo de tener herramientas técnicas, sino de acreditar que existe una política de seguridad, responsables definidos, análisis de riesgos, gestión de incidentes, continuidad del servicio, control de proveedores y evidencias verificables de cumplimiento. En sectores críticos o esenciales, este impacto es todavía mayor, porque la ciberseguridad deja de ser una cuestión interna de los departamentos TIC y pasa a formar parte de la propia capacidad de prestar el servicio. Donde creo que todavía existe menor madurez es en la traducción práctica de la norma a la operación diaria. Muchas organizaciones han avanzado en documentación, certificaciones o cumplimiento formal, pero siguen teniendo debilidades en inventario de activos, clasificación de la información, gestión de vulnerabilidades, trazabilidad, respuesta ante incidentes, continuidad operativa y control de la cadena de suministro. También falta madurez en la implicación efectiva de la dirección: la normativa ya exige que la ciberseguridad sea una responsabilidad corporativa, pero en la práctica todavía se percibe demasiadas veces como un asunto técnico y no como un riesgo estratégico, jurídico, reputacional y operativo. El nuevo modelo de inteligencia artificial (IA) de Anthropic pondría de manifiesto vulnerabilidades de sistemas e incluso provocar más ciberataques y más sofisticados. ¿Qué papel deberían jugar los marcos regulatorios para equilibrar la balanza entre innovación en IA y seguridad? La IA, especialmente cuando se aplica a capacidades avanzadas de análisis, automatización o ciberseguridad, tiene una naturaleza claramente dual: puede ayudar a detectar vulnerabilidades, reforzar la defensa y acelerar la respuesta; pero también puede reducir la barrera de entrada para atacantes, facilitar la explotación de fallos y aumentar la sofisticación de los ciberataques. Por eso, el papel de los marcos regulatorios no debe ser frenar la innovación, sino ordenar su despliegue bajo criterios de seguridad, proporcionalidad, trazabilidad y responsabilidad. En mi opinión, la regulación debe actuar en tres planos. Primero, exigiendo seguridad por diseño en los modelos, productos y servicios basados en IA, especialmente cuando se integran en entornos críticos. Segundo, obligando a evaluar, documentar y supervisar los riesgos durante todo el ciclo de vida: entrenamiento, despliegue, uso, monitorización, actualización y retirada. Y tercero, estableciendo obligaciones claras de auditoría, notificación de incidentes, pruebas adversariales, control humano y límites de uso cuando existan riesgos sistémicos o impactos relevantes sobre la seguridad pública, los derechos de las personas o la continuidad de servicios esenciales. La clave está en no regular la IA como una tecnología aislada, sino como una capacidad que se integra en sistemas reales. En ámbitos sensibles, la pregunta no debe ser únicamente si una IA funciona, sino si es segura, explicable, gobernable, auditable y resiliente. Innovar sí, pero con garantías. Porque en servicios críticos, una innovación que no puede ser controlada, auditada o contenida ante un fallo no es verdadera innovación: es una nueva superficie de riesgo. “Todavía falta madurez en la traducción práctica de la norma a la operación diaria”

RkJQdWJsaXNoZXIy MTI4MzQz