Rosa Ortuño, vicepresidenta de ISACA Barcelona.
La digitalización y el incremento de las amenazas cibernéticas han hecho de la ciberseguridad un pilar estratégico para las organizaciones. Nuevas regulaciones como el Reglamento de Resiliencia Operacional Digital (DORA) o la Directiva de Seguridad de Redes y de la Información (NIS2), que entrará en vigor el 17 de enero de 2025, buscan proteger a las organizaciones a la vez que garantizan la estabilidad económica en un ecosistema digital interconectado. Así, DORA y NIS2 representan un cambio en el pensamiento corporativo que lleva la ciberseguridad a la vanguardia de la toma de decisiones estratégicas.
En concreto, DORA se centra en el sector financiero y sus proveedores, exigiendo controles estrictos para asegurar la continuidad operativa frente a ciberataques. Por su parte, NIS2 amplía su alcance a sectores esenciales como la energía y la salud, promoviendo una mayor cooperación internacional.
Es posible que las empresas puedan entender el cumplimiento de estas regulaciones como una carga, pero hay que tener en cuenta que no suponen empezar de cero, porque ya existían anteriormente regulaciones que sentaban las bases de actuación. Además, su cumplimiento lleva asociado unas ventajas que permiten verlas como una inversión a futuro, entre las que se incluyen la mejora operativa, ya que las auditorías fomentan procesos internos más eficientes.
Otra consecuencia positiva de la implementación es que pueden ayudar a aumentar la confiabilidad ante clientes actuales y potenciales, un punto nada desdeñable si tenemos en cuenta que este último año hemos estado viendo una tendencia creciente en el área de las ciberamenazas. Un 41% de los encuestados por ISACA afirmaron que están sufriendo más ciberataques que hace un año, y se espera que la tendencia continúe al alza en 2025 debido al uso de herramientas de IA.
A la luz de estas cifras es fácil ver como el camino presenta desafíos, entre los que se incluye la falta de talento. Y es que el 55% de las organizaciones lucha por retener talento en ciberseguridad, y hay brechas significativas en habilidades técnicas que requieren atención. Para superar estos retos, las empresas deben adoptar un enfoque proactivo.
Algunas recomendaciones incluyen la realización de auditorías internas para identificar posibles ataques de seguridad, el desarrollo de planes de acción con cronogramas claros o inversión en formación continua del personal. También puede ser interesante la colaboración con expertos en cumplimiento normativo y la implementación de tecnologías avanzadas para mejorar la detección de amenazas.
En definitiva, el cumplimiento de DORA y NIS 2 es más que una obligación; se trata de una ventaja estratégica esencial. La tendencia es que el mundo esté cada vez más interconectado, las amenazas sean más frecuentes y sofisticadas, y la regulación continúe evolucionando para hacer frente a los retos y amenazas. Las empresas, tanto si son tecnológicas como si no, tienen la responsabilidad de mantenerse a la vanguardia de los marcos regulatorios, y deben ver esto como una oportunidad. Es cierto que Europa puede tener normas más estrictas que otros continentes, pero precisamente por eso muchas entidades confían en compañías europeas, ya que entienden que sus datos están protegidos y seguros.
A nivel educativo también debemos dar un paso importante, trabajando conjuntamente, no solo para que las personas entiendan la importancia de cumplir dichas regulaciones, sino también para enseñar, motivar, captar y retener el talento e impulsar la formación continua en habilidades digitales.
*** Rosa Ortuño, vicepresidenta de ISACA Barcelona.