Una nueva era de rendición de cuentas

Por Andy French, director de Objeto primero

el Reino Unido Proyecto de ley de ciberseguridad y resiliencia refleja un cambio fundamental en el pensamiento regulatorio. La resiliencia cibernética no se juzga únicamente por qué tan bien las organizaciones previenen los ataques, sino por la eficacia con la que pueden mantener las operaciones y recuperarse después de una interrupción.

Durante años, la regulación de la ciberseguridad se ha centrado principalmente en la prevención, alentando a las empresas a fortalecer las defensas gestionando las vulnerabilidades y reduciendo la probabilidad de que los ataques tengan éxito. Esas prioridades siguen siendo importantes, pero el proyecto de ley amplía el enfoque: las organizaciones también deben poder seguir operando y recuperarse rápidamente.

Únase al European Business Briefing

Los nuevos suscriptores de este trimestre participan en un sorteo para ganar un Rolex Submariner. Únase a más de 40.000 fundadores, inversores y ejecutivos que leen EBM todos los días.

Suscribir

Esto muestra que los formuladores de políticas están comenzando a ver los incidentes cibernéticos como parte de un riesgo comercial normal, no como eventos raros. Los ataques de ransomware, las interrupciones y los compromisos de la cadena de suministro de software que afectan a los servicios digitales han demostrado lo rápido que se pueden propagar los daños.

Las empresas y sus líderes están empezando a ser juzgados por su capacidad para mantener servicios críticos y restablecer las operaciones normales después de una infracción. Las economías modernas dependen de una infraestructura digital conectada, donde un solo incidente puede afectar a clientes, proveedores, socios y servicios públicos mucho más allá del objetivo original. El Interrupción de CrowdStrike en 2024por ejemplo, demostró cómo un solo fallo tecnológico podría alterar las operaciones en todo el mundo, reforzando la importancia de la resiliencia operativa junto con la ciberdefensa.

Por lo tanto, minimizar las perturbaciones se ha convertido en un imperativo económico tanto como en un desafío técnico.

La atención regulatoria avanza hacia la cadena de suministro

En el pasado, la regulación se centraba principalmente en las empresas que prestaban directamente servicios esenciales. El marco actualizado reconoce que muchos de esos servicios dependen de una red más amplia de proveedores de tecnología y socios operativos. Los proveedores de servicios gestionados, los centros de datos, los operadores de sistemas energéticos y otras organizaciones de apoyo ahora están siendo tratados como parte del panorama de resiliencia, en lugar de como terceros que se encuentran fuera de él.

Eso coincide con la forma en que operan las empresas modernas. Pocas organizaciones operan solas. Las cadenas de suministro, los servicios en la nube, las operaciones subcontratadas y los proveedores especializados suelen desempeñar un papel central en la prestación de servicios que los consumidores y las empresas utilizan todos los días. Por lo tanto, los reguladores están dando más importancia a las dependencias operativas. Los equipos de seguridad necesitarán una visibilidad más clara de qué proveedores respaldan servicios importantes, cómo esas relaciones afectan la continuidad del negocio y qué podrían significar las fallas de los proveedores para operaciones más amplias.

El proyecto de ley apunta a un movimiento más amplio hacia una mayor responsabilidad de la cadena de suministro. Los proveedores que sustentan los servicios esenciales pueden quedar dentro del alcance si los reguladores creen que su falla podría causar una perturbación económica o social más amplia.

Ese enfoque refleja lo ocurrido en otros lugares, incluido el de Europa. Directiva NIS2donde las obligaciones de resiliencia se extienden más allá de los operadores tradicionales de infraestructura crítica. Para los líderes empresariales, esto significa que la resiliencia ya no puede juzgarse únicamente dentro de la propia empresa. La continuidad de proveedores, socios y prestadores de servicios se está convirtiendo en una parte central de la gestión del riesgo organizacional.

Los informes más rápidos pondrán a prueba la preparación operativa

Los requisitos de presentación de informes propuestos se suman a este cambio. El marco introduce obligaciones de notificación de incidentes más rápidasincluida la notificación inicial dentro de las 24 horas y un informe más detallado dentro de las 72 horas. Estos cronogramas deberían mejorar la visibilidad nacional de las amenazas y vulnerabilidades emergentes, pero también crean desafíos reales para las personas y los equipos que se ocupan de los incidentes.

En las primeras etapas de un ciberataque, la información suele estar incompleta. Es posible que los equipos de seguridad todavía estén tratando de comprender la causa del incidente y la escala de la interrupción de los sistemas que se han visto afectados. Al mismo tiempo, los equipos de liderazgo, clientes, reguladores y otras partes interesadas buscarán actualizaciones y tranquilidad. Cumplir con estos requisitos de presentación de informes requerirá más que procedimientos de cumplimiento documentados.

La recuperación definirá la resiliencia

Quizás la señal más clara del proyecto de ley es que la capacidad de recuperación se está convirtiendo en la medida definitoria de la resiliencia cibernética. Los reguladores ahora quieren evidencia de que las organizaciones pueden recuperar sistemas y servicios en condiciones realistas, en lugar de simplemente señalar políticas, marcos de gobernanza y procedimientos escritos.

Esto es especialmente relevante en el caso del ransomware. Los ataques modernos rara vez se centran únicamente en cifrar los sistemas de producción. Atacantes apuntar cada vez más a entornos de respaldo y la infraestructura de recuperación porque saben que eliminar la capacidad de una organización para restaurar datos aumenta la interrupción y la presión para pagar. Cuando los sistemas de recuperación se ven comprometidos, el daño va mucho más allá del ataque inicial. La disrupción dura más, los clientes se ven afectados más directamente y el escrutinio regulatorio se vuelve más intenso.

Ésta es una de las razones por las que el almacenamiento de copias de seguridad absolutamente inmutable y los principios de Confianza Cero están recibiendo cada vez más atención. Absolute Immutability garantiza que los datos de la copia de seguridad no puedan modificarse ni eliminarse una vez escritos, ni siquiera por el administrador con más privilegios o un atacante que utilice credenciales robadas.

Combinado con arquitecturas diseñadas para reducir la complejidad operativa y minimizar la dependencia del acceso privilegiado, brinda la confianza de que los datos de recuperación permanecerán disponibles cuando más se necesiten.

El Proyecto de Ley de Resiliencia y Seguridad Cibernética refleja un cambio más amplio en la forma en que se evalúa la resiliencia cibernética. El éxito ya no se medirá únicamente por controles preventivos o políticas documentadas, sino por la capacidad comprobada de una organización para resistir las interrupciones, restaurar servicios críticos y ejecutar la recuperación bajo presión. Las empresas y los líderes que puedan hacerlo estarán en mejor posición para cumplir con las expectativas regulatorias, proteger a los clientes y mantener la confianza.