Es momento de entender la regulación en ciberseguridad y resiliencia de forma distinta y sacarle provecho

Por Luciano Pérez Gaimberan, Territory Manager de Veeam para México

Desde hace algunos años, ha habido una creciente preocupación sobre la resiliencia cibernética y digital, y están surgiendo diversas iniciativas regulatorias. En su mayoría provienen de la Unión Europea: recientemente, destacan NIS2, para industrias esenciales, y DORA, para las entidades financieras, las cuales se aplican desde el 2023, así como la nueva Ley de Ciberresiliencia (CRA, por sus siglas en inglés), que abarca a todas las organizaciones que comercializan productos digitales con software en el mercado de la UE y que entró en vigor en diciembre pasado.

Aunque se trata de regulaciones de la UE, pueden afectar a negocios de cualquier país, incluyendo México, pues siempre que busquen comenzar o continuar negociaciones comerciales con empresas de Europa, obligatoriamente deberán cumplir con los estándares y requisitos regulatorios que las nuevas normativas exigen, como la gestión de riesgos en la cadena de suministro, la notificación de incidentes y una óptima resiliencia operativa.

Se podría decir que tanta regulación obstaculiza y ralentiza a los negocios, pero es mejor pensar en ella desde un nuevo enfoque; a fin de cuentas, la evolución regulatoria es imparable: basta pensar en GDPR y en cómo ha cambiado desde su puesta en marcha, hace 7 años. Si bien hoy por hoy muchas empresas mexicanas se mantienen al margen de las regulaciones más estrictas, con la nueva CRA y las regulaciones por venir, es innegable que eventualmente la mayoría de los negocios en México podrían estar sujetos a una u otra regulación de resiliencia digital.

La resiliencia vale la pena en más sentidos de los que se cree

Es comprensible el gran peso que sienten los líderes de TI y las empresas en general para lograr cumplir con las normas y sobrellevar los desafíos de su gestión, entre los múltiples pendientes que tienen por atender. Pero la buena noticia es que la regulación, abordada correctamente, puede brindar muchos más beneficios que simplemente evitar una multa.

Las regulaciones existen por una razón. Los ciberataques han afectado a todo tipo de negocios digitales en los últimos años. ISACA[1] es claro al señalar que, incluso para empresas que no necesitan cumplir con NIS2 y DORA, adherirse a dichos marcos les brinda estrategias valiosas para mejorar su resiliencia y sus prácticas de gestión de riesgos. “Revisar periódicamente los riesgos de terceros y llevar a cabo pruebas de penetración y auditorias son prácticas esenciales que benefician significativamente a las organizaciones de todas las industrias y tamaños”, menciona la asociación.

Es crucial invertir en ciberresiliencia, considerando que las regulaciones son apenas el estándar mínimo. Si entra en vigor una normativa y las empresas se ven obligadas a iniciar un nuevo proceso, significa que ya están rezagadas. De hecho, cumplir con las normativas no siempre significa estar seguro, pues los estándares de la industria son, en cierta medida, sólo una instantánea del momento.

Las regulaciones suelen centrarse en lo táctico, el abordaje de síntomas de los problemas y la implementación de medidas específicas para mitigar riesgos. Esto ayuda, sin duda, a ir elevando gradualmente el nivel y actualizar las mejores prácticas, pero las organizaciones siempre deberían aspirar a más: es mucho más efectivo cumplir con la reglamentación siendo una empresa madura y digitalmente resiliente, que intentar ser resiliente únicamente mediante el cumplimiento.

Las ventajas de ir un paso por delante

La ciberresiliencia brinda beneficios que van más allá de las consecuencias de un ataque de ransomware. Según el Modelo de Madurez de Resiliencia de Datos (DRMM), desarrollado por Veeam y McKinsey, las empresas líderes con un alto grado de madurez en resiliencia de datos no sólo evitan el tiempo de inactividad y la pérdida de datos en comparación con otras, sino que también experimentan un crecimiento promedio de 10% en ingresos.

Lograr una resiliencia de datos real y madura implica anticiparse a la regulación, usando un enfoque a largo plazo que aborde las causas raíz de los riesgos digitales, en lugar de sólo ir atendiendo los problemas a medida que surgen. Éste requiere agregar un elemento a la clásica triada de “personas, proceso y tecnología”, y ese elemento es la estrategia: conforme evolucionan las ciberamenazas, aumentas las presiones regulatorias y los ecosistemas de datos se vuelven cada vez más complejos, los negocios necesitan integrar los objetivos de negocio con la planificación de la resiliencia.

Con un enfoque interfuncional, las áreas de TI, Seguridad y Cumplimiento pueden integrarse en una estrategia coherente que no sólo anticipe las amenazas, sino que también refuerce la gobernabilidad y mantenga a las empresas un paso por delante del cumplimiento normativo. Al incorporar la estrategia, la resiliencia pasa de ser una mera formalidad a una visión integral, ayudando a las organizaciones a prepararse para el futuro.

Contar con una estrategia integral optimiza las ineficiencias operativas y elimina silos de información, mientras protege al negocio. Los negocios más avanzados en madurez de resiliencia de datos son más rentables, en promedio, porque operan de forma más inteligente y crecen con más libertad.

La pregunta ahora es ¿cómo lograrlo? Los DRMM, cada vez más accesibles, proveen marcos de referencia para que las organizaciones puedan, tanto evaluar su nivel actual de madurez en resiliencia, como identificar deficiencias y contar con los pasos necesarios para implementar mejoras específicas. Quienes utilizan estos modelos y adoptan la estrategia, convierten su resiliencia en una verdadera ventaja competitiva, con los datos como su motor de crecimiento en lugar de su punto débil.

[1] “Resilience and security in critical sectors: Navigating NIS2 and DORA requirements”, Information Systems Audit and Control Association (ISACA).