Red Seguridad 113

66 red seguridad segundo trimestre 2026 monográfico normativa Soberanía La soberanía del dato se ha convertido en un término recurrente, especialmente en Europa. Sin embargo, en muchos casos sigue siendo más aspiracional que operativa. Garantizar soberanía implica control. En organizaciones distribuidas, con múltiples nubes y terceros, esto dista mucho de ser trivial. De hecho, en entornos regulados en España, alineados con el Centro Criptológico Nacional, la soberanía empieza a entenderse no solo como control legal, sino como capacidad técnica de ver y actuar sobre el dato. Sin visibilidad, la soberanía no existe. Sobre todo cuando se trata de implantar medidas o herramientas cuya capacidad de cómputo para realizar las tareas más delicadas, como la clasificación y categorización o etiquetado, se encuentran fuera de las fronteras y los entornos regulados. Un peligro presente que las organizaciones deben tener en cuenta a la hora de tomar decisiones respecto a la soberanía de sus datos. IA, multiplicador de riesgo La llegada de la AI Act introduce una capa adicional que muchas organizaciones aún están infraestimando. El riesgo no está únicamente en los modelos, sino en los datos que los alimentan y en cómo estos se utilizan. El AI Risks Analysis no debería entenderse como una disciplina separada, sino como una extensión natural de la ciberseguridad y la gobernanza del dato. Sobre todo, su enfoque debe estar alineado con la exposición de datos sensible sin control, los usos no previstos de datos a través de la inteligencia artificial (IA) y los datos sensibles que se puedan estar utilizando para entrenar modelos. Porque la IA no crea riesgos nuevos desde cero, amplifica los que ya existen. Cadena de suministro DORA y el Cyber Resilience Act han puesto el foco en un punto incómodo: la dependencia de terceros. Muchas organizaciones siguen operando bajo una falsa sensación de control basada en evaluaciones iniciales, contratos y certificaciones. Pero la realidad es dinámica. Los accesos cambian, los datos fluyen, los contextos evolucionan. El verdadero desafío no es solo evaluar proveedores, sino mantener visibilidad continua sobre cómo interactúan con el dato. De nuevo, el concepto clave es el mismo: trazabilidad extremo a extremo. Aunque quizá el cambio más relevante no es técnico, sino organizativo. Normativas como la NIS2 trasladan la responsabilidad a la alta dirección. Y con ello, obligan a traducir la ciberseguridad a un lenguaje de negocio. Esto rompe definitivamente con la visión tradicional de la seguridad como un dominio aislado. Si hay una idea que resume el momento actual es esta: “La ciberseguridad está dejando de ser seguridad de sistemas para convertirse en seguridad del dato. Ya no es más seguro el que más protege, sino quien menos expone”. Y eso cambia todo. Obliga a adoptar un enfoque extremo a extremo, no fragmentado, basado en visibilidad continua, no en revisiones puntuales, centrado en uso real del dato, no en su mera ubicación. Conceptos como audit trail, gobernanza del acceso, análisis de riesgos en IA o soberanía dejan de ser tendencias para convertirse en requisitos estructurales. Porque en el nuevo entorno regulatorio, la pregunta ya no es si una organización está protegida. La pregunta es si realmente entiende lo que está ocurriendo con su información y puede demostrarlo. La ciberseguridad está dejando de ser seguridad de sistemas para convertirse en seguridad del dato

RkJQdWJsaXNoZXIy MTI4MzQz