Dirección de la oficina
Sevilla, España
Sevilla, España
Número de teléfono
+(34) 624 816 969
Dirección de correo electrónico
Disponible en Google Play
Sevilla, España
Sevilla, España
+(34) 624 816 969
by ForgeNEX Tabla de contenidos [Mostrar]
El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad representa un hito legislativo que busca transformar el panorama de seguridad digital en España. Esta iniciativa no solo pretende mejorar la preparación de las organizaciones frente a amenazas cibernéticas, sino que también incorpora al marco jurídico nacional las directivas europeas diseñadas para establecer un nivel elevado y uniforme de ciberseguridad en toda la Unión Europea. Sin embargo, surge una pregunta fundamental: ¿estamos ante un modelo que realmente optimiza la seguridad o simplemente añade capas de complejidad administrativa?
Durante el panel 'España ante la Nueva Ley de Gobernanza Cibernética', celebrado en el evento CIO ForwardTech & ThreatScape Spain, expertos del sector ofrecieron análisis divergentes sobre el impacto real de esta regulación. Javier Sánchez-Ureta, director del capítulo de Risk & Governance de Roche, destacó que la ley no se limita a imponer más requisitos de cumplimiento normativo, sino que busca estructurar e implementar procesos que fomenten la transparencia organizacional. "La intención es buena, la ejecución está por ver", señaló con realismo, reconociendo que el valor práctico de la legislación dependerá de su aplicación concreta.
Manuel Asenjo, CISO de Écija, adoptó una postura más crítica al afirmar que, si bien la regulación mejora técnicamente el cumplimiento, "lo que hace es meter una capa burocrática que no creo que ayude mucho más a la seguridad". Esta perspectiva cuestiona si la adicional carga administrativa realmente se traduce en mejoras tangibles en protección cibernética o simplemente consume recursos que podrían destinarse a medidas de seguridad más efectivas.
Rafael García del Poyo, socio director del Departamento de Derecho de las Tecnologías de la Información en Osborne Clarke España, aportó una visión geopolitizada del contexto regulatorio. "La realidad es que el que maneja la tecnología maneja el mundo. El mundo anglosajón la ha inventado, y es quien dicta el libro de instrucciones", afirmó, subrayando la dependencia europea de modelos conceptuales desarrollados en otras jurisdicciones.
García del Poyo profundizó en esta idea al señalar que "se está 'anglosajonizando' la manera de entender y aplicar la legislación" en Europa. Según su análisis, las normas europeas responden a una decisión geopolítica consciente: "Si no tenemos jugadores como Federer o Nadal, nos quedamos como juez de pista". Su conclusión fue contundente: "Todas las leyes del sector son de inspiración anglosajona", lo que plantea interrogantes sobre la autonomía regulatoria europea en un ámbito tan estratégico como la ciberseguridad.
Uno de los aspectos más destacados del debate fue la evolución en la percepción del riesgo cibernético por parte de los órganos de gobierno corporativo. Sánchez-Ureta observó avances positivos en esta dirección, señalando que "ayuda cuando las advertencias llegan de un tercero. Los consejos están más concienciados porque pasan cosas, y las leen en los periódicos". Esta externalización de la alerta parece catalizar una mayor atención a nivel directivo.
Asenjo matizó esta perspectiva reconociendo la mejor preparación de las empresas multinacionales, pero advirtiendo sobre las limitaciones estructurales de las pymes: "Las pymes tienen problemas para invertir en ciberseguridad, no tienen esa capacidad de tener un equipo y herramientas dedicados a combatir el cibercrimen". Esta brecha de recursos plantea desafíos significativos para la implementación uniforme de la legislación.
García del Poyo introdujo un marco conceptual más amplio al definir la empresa como "un sistema de riesgos que hay que enfrentar y valorar 'by default' y 'by design'". Su reflexión sobre la suficiencia normativa fue particularmente relevante: "¿La normativa es suficiente? Es algo personal de cada empresa y de su appetite for risk", reconociendo así que el cumplimiento efectivo depende fundamentalmente de la cultura de riesgo de cada organización.
El panel dedicó especial atención a los riesgos derivados de la cadena de suministro, un aspecto crítico en la economía digital interconectada. Asenjo destacó que actualmente se pone "mucho más énfasis en cuidar a los proveedores", con auditorías más rigurosas y un enfoque intensificado en la seguridad de toda la cadena de valor.
Sánchez-Ureta explicó cómo Roche ha integrado este enfoque: "La ley intenta securizar el perímetro. Y es tan inmenso que se puede auditar a cualquiera si lo acepta en el contrato. Nosotros lo tenemos por defecto en Roche". Esta práctica contractual proactiva demuestra cómo las organizaciones pueden anticiparse a los requisitos regulatorios.
García del Poyo analizó el enfoque legislativo desde una perspectiva técnica, explicando que la ley "transpone esquemas sajones de entendimiento de la legislación" y opera principalmente "por objetivos" más que mediante prescripciones detalladas. Este carácter principialista permite cierta flexibilidad adaptativa, como ejemplificó: "No habla de la computación cuántica porque aún no ha llegado". A pesar de sus limitaciones inherentes, valoró positivamente la "labor pedagógica" de la legislación.
La discusión concluyó con una mirada prospectiva sobre la evolución del panorama regulatorio en los próximos años. Sánchez-Ureta anticipó que "pronto llegará el momento de probarlo con casos reales y ver si funciona el día que haya un incidente". Su evaluación del potencial de éxito fue matizada: "Si fracasa, será por la voluntad de las personas y organizaciones", reconociendo al mismo tiempo que "en España INCIBE y el Centro Criptológico Nacional están por la labor de apoyarla. Están los mimbres para que la ley funcione".
Asenjo propuso métricas concretas para evaluar la efectividad de la legislación: "Hay una realidad de número de ciberataques, si bajan, es que ha funcionado mejor". También anticipó que "veremos multas que tendrán efectos disuasorios", y que "los consejos de dirección pondrán lo necesario para que no haya incidentes", sugiriendo así un cambio cultural en la priorización de la seguridad.
García del Poyo cerró el debate con una reflexión fundamental sobre la relación entre legislación y mejores prácticas: "Estamos hablando de un anteproyecto de ley que parte de una transposición. No debemos esperar a la ley para avanzar en buenas prácticas". Esta perspectiva subraya la importancia de la iniciativa proactiva de las organizaciones más allá del cumplimiento normativo mínimo.
La nueva Ley de Gobernanza Cibernética plantea desafíos significativos para los profesionales de tecnología y seguridad. Más allá del cumplimiento burocrático, exige una transformación cultural hacia una gestión proactiva del riesgo cibernético. Las organizaciones deberán desarrollar capacidades de evaluación continua de vulnerabilidades y establecer procesos estructurados de gobernanza que trasciendan los departamentos de IT.
Para las pymes, el desafío es particularmente agudo, ya que carecen de los recursos dedicados de las grandes corporaciones. Soluciones como la virtualización eficiente de infraestructuras y servicios de seguridad gestionados pueden ayudar a cerrar esta brecha de capacidades.
La dependencia de modelos regulatorios anglosajones también plantea preguntas sobre la soberanía tecnológica europea. Iniciativas como la fábrica de IA soberana representan esfuerzos por desarrollar capacidades autónomas en tecnologías críticas, un principio que podría extenderse al ámbito de la gobernanza cibernética.
Finalmente, la integración de automatización inteligente en los procesos de cumplimiento normativo puede ayudar a las organizaciones a gestionar la complejidad regulatoria sin comprometer la agilidad operativa. De manera similar, plataformas en la nube como Microsoft Azure ofrecen herramientas integradas que facilitan la implementación de controles de seguridad alineados con los requisitos regulatorios.
Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.