Red Seguridad 113

30 red seguridad segundo trimestre 2026 monográfico normativa Inés Rodríguez Responsable de Seguridad, CISO de Cajalmendralejo (Caja Rural de Almendralejo, Sociedad Cooperativa de Crédito) ¿Dónde está impactando más la normativa de ciberseguridad en las organizaciones y en qué aspectos todavía no están todavía maduras? Donde más se está notando el cambio es en la implicación de la dirección. Cada vez es más habitual que los responsables de negocio participen en cuestiones relacionadas con la seguridad y que exista una mayor preocupación por conocer qué riesgos pueden afectar a la organización y cómo gestionarlos. También se ha avanzado mucho en la definición de procesos, en la identificación de activos críticos y en la implantación de controles más estructurados. Otro aspecto positivo es que las organizaciones están cada vez mejor preparadas para afrontar incidentes. Hace unos años, el foco estaba casi exclusivamente en prevenir ataques. Ahora existe una mayor conciencia de que ningún sistema es infalible y de que también hay que estar preparado para reaccionar cuando ocurre un problema. Por eso se está trabajando más en planes de continuidad, procedimientos de recuperación y gestión de crisis. Ahora bien, todavía hay áreas donde queda margen de mejora. Una de las más importantes es la gestión de proveedores. Muchas organizaciones han reforzado sus controles internos, pero siguen dependiendo de terceros para prestar determinados servicios. En muchos casos, el nivel de supervisión sobre esos proveedores todavía no es el que debería ser. También seguimos viendo carencias en la capacidad de detección y respuesta. Se invierte mucho en medidas preventivas, pero no siempre se dedica el mismo esfuerzo a monitorizar, detectar comportamientos anómalos o responder de forma rápida y coordinada ante un incidente. Y, por supuesto, sigue existiendo el factor humano. La mayoría de las organizaciones han mejorado sus herramientas de seguridad, pero los correos fraudulentos, la ingeniería social o los errores involuntarios continúan siendo una de las principales puertas de entrada para los atacantes. En definitiva, creo que la normativa está ayudando a elevar el nivel de protección de las organizaciones y a generar una mayor cultura de seguridad. Sin embargo, el verdadero reto no es cumplir una norma, sino conseguir que la seguridad forme parte del día a día y que la organización esté realmente preparada para responder cuando se produzca un incidente. El nuevo modelo de inteligencia artificial (IA) de Anthropic pondría de manifiesto vulnerabilidades de sistemas e incluso provocar más ciberataques y más sofisticados. ¿Qué papel deberían jugar los marcos regulatorios para equilibrar la balanza entre innovación en IA y seguridad? Creo que la regulación tiene que poner límites y exigir responsabilidad, pero sin convertirse en un freno para la innovación. La IA ya está ayudando a los equipos de seguridad a detectar vulnerabilidades, analizar grandes volúmenes de información o automatizar tareas que antes consumían mucho tiempo. El problema es que los atacantes también tienen acceso a estas herramientas. Desde mi punto de vista, el riesgo no es que la IA invente ataques completamente nuevos, sino que permita hacer más rápido y a mayor escala cosas que ya estamos viendo hoy, como campañas de phishing, ingeniería social o búsqueda de vulnerabilidades. Por eso creo que la regulación debe centrarse en exigir evaluaciones de riesgo, controles de seguridad y supervisión sobre el uso de estos modelos. Igual que ocurre con cualquier otra tecnología crítica, no basta con desplegarla; hay que entender qué riesgos introduce y cómo gestionarlos. En cualquier caso, tengo claro que la IA ha llegado para quedarse. La cuestión no es cómo frenarla, sino cómo aprovechar sus beneficios minimizando los riesgos que puede generar. “La normativa está ayudando a generar una mayor cultura de seguridad”

RkJQdWJsaXNoZXIy MTI4MzQz