Red Seguridad 113

34 red seguridad segundo trimestre 2026 monográfico normativa Francisco Sánchez Nauffal CISO de EcoVadis ¿Dónde está impactando más la normativa de ciberseguridad en las organizaciones y en qué aspectos todavía no están todavía maduras? El volumen de normativas que estamos viendo ahora mismo, con la llegada de regulaciones como la Directiva NIS2 o el Reglamento DORA, está obligando a las empresas a tratar la seguridad no como un problema informático más, sino como un asunto prioritario de dirección. El impacto real es que los comités directivos ya no pueden delegar los riesgos derivados de la ciberseguridad; ahora asumen la responsabilidad directa de lo que ocurra a nivel digital y se ven obligados a auditar y responder adecuadamente acorde al nivel real de su seguridad. ¿Dónde falta madurez? Claramente, en cómo controlamos el riesgo que viene a través de terceros. Muchas empresas invierten mucho en proteger sus propios sistemas, pero el ejercicio es más complejo al estar conectadas a decenas de proveedores de software o servicios en la nube. Evaluar, vigilar y responder continuamente la seguridad de toda esa red externa sigue siendo el punto más débil y el gran reto pendiente para la mayoría de los equipos de seguridad. Esto exige pasar de una auditoría estática de proveedores a un modelo de monitoreo continuo y colaborativo. En otras palabras, la seguridad no debe ser un dominio aislado; las empresas son tan resilientes como las redes de colaboración de las que dependen. El nuevo modelo de inteligencia artificial (IA) de Anthropic pondría de manifiesto vulnerabilidades de sistemas e incluso provocar más ciberataques y más sofisticados. ¿Qué papel deberían jugar los marcos regulatorios para equilibrar la balanza entre innovación en IA y seguridad? Los nuevos modelos de inteligencia artificial avanzada funcionan como herramientas de doble filo. Por un lado, facilitan enormemente el trabajo diario y nos empujan a buscar mayor eficiencia; pero, por otro, ponen al alcance de cualquiera herramientas para automatizar y aumentar la velocidad y alcance de nuevos ataques mucho más difíciles de detectar. Con la velocidad a la que se mueve esta tecnología, las normativas tradicionales basadas en listas fijas de requisitos se quedan viejas antes de salir a la luz. Por eso, la regulación moderna debe ser flexible y centrarse en el nivel de riesgo real, exigiendo seguridad desde el primer minuto. Los reguladores no tienen que frenar el desarrollo tecnológico, sino obligar a que las empresas sean transparentes con los datos que usan, hagan pruebas de seguridad antes de lanzar un producto y pongan límites claros. Al final, el equilibrio real llegará cuando las normas ayuden a que las empresas usen la propia IA para defenderse. Al fin y al cabo, una de las maneras más eficaces de parar un ataque automático hecho mediante IA es con defensas modernas que también usen inteligencia artificial de forma ética. “La regulación moderna debe ser flexible y centrarse en el nivel de riesgo real” “¿Dónde falta madurez? Claramente, en cómo controlamos el riesgo que viene a través de terceros”

RkJQdWJsaXNoZXIy MTI4MzQz