Red Seguridad 113

64 red seguridad segundo trimestre 2026 monográfico normativa Durante años, muchas organizaciones han entendido la ciberseguridad como un ejercicio de protección técnica y cumplimiento normativo. Un conjunto de controles, auditorías periódicas y evidencias documentales suficientes para superar revisiones. Ese enfoque ya no es válido. El nuevo marco regulatorio europeo (articulado alrededor de NIS2 Directive, DORA, el Cyber Resilience Act y el AI Act) no solo eleva el grado de exigencia, sino que cambia la naturaleza de lo que se espera de las organizaciones. El foco ya no está en proteger sistemas; está en entender, controlar y demostrar qué ocurre con el dato. Cumplimiento declarativo Uno de los cambios más profundos –menos discutidos– es el paso de un modelo declarativo a uno demostrable. Hasta ahora, muchas organizaciones podían afirmar: “Tenemos controles de acceso definidos”, “realizamos revisiones periódicas” y, sobre todo, “se contaban con políticas de seguridad”. Pero en la práctica, pocas podían poner el “check verde” a cuestiones como: “¿Qué proveedor accedió a información sensible la semana pasada?” o “¿dónde se está utilizando realmente el dato crítico?”. El nuevo entorno regulatorio elimina esa ambigüedad. Ya no basta con definir controles. Hay que probar que funcionan, en tiempo y forma. Aquí es donde la trazabilidad –el audit trail entendido en sentido amplio– deja de ser un requisito técnico para convertirse en un elemento estructural de la seguridad. No hablamos de logs. Hablamos de reconstruir el comportamiento del dato. Acceso, nueva vía de ataque Si algo están poniendo de manifiesto los incidentes recientes es que el problema ya no es (solo) el acceso no autorizado, sino el acceso legítimo pero inapropiado. Usuarios con permisos excesivos, accesos que se mantienen por inercia, datos accesibles desde múltiples entornos sin una revisión efectiva... En este contexto, el perímetro desaparece y el acceso se convierte en la verdadera superficie de ataque. La gobernanza del acceso al dato (Data Access Governance) emerge así como un pilar crítico, especialmente en organizaciones complejas como administraciones públicas sujetas al Esquema Nacional de Seguridad, entidades financieras bajo el paraguas de DORA y entornos híbridos con fuerte dependencia de proveedores. El reto no es definir permisos, sino mantenerlos alineados con la realidad del negocio... y de manera continua. Regulación, soberanía y dato: la ciberseguridad que viene José Antonio Martínez Business Development & Presales Manager de Arexdata

RkJQdWJsaXNoZXIy MTI4MzQz