close
close Close

Suscríbase a nuestro Boletín

  
  
  

Blog Babel-Team
menu
folder Archivado en Ciberseguridad
Reglamentación y Ciberseguridad 2025: abordando el Riesgo Humano y el Cumplimiento Continuo
By Babel-Team access_time 6 min lectura

Regulaciones clave como NIS2 (Directiva de Seguridad de Redes y Sistemas de Información de la UE), DORA (Ley de Resiliencia Operativa Digital de la UE), las Reglas de Divulgación de Ciberseguridad de la SEC (EE. UU.), la Ley de IA de la UE e ISO/IEC 27001:2022 están elevando los estándares y acortando los plazos de cumplimiento.

Estas nuevas normativas implican lo siguiente:

  • NIS2 y DORA expanden los requisitos de ciberseguridad a sectores críticos como la salud, finanzas e infraestructura digital, exigiendo una gestión integral del riesgo cibernético y pruebas de resiliencia regulares, con posibles sanciones sustanciales por incumplimiento.
  • Las Reglas de Divulgación de Ciberseguridad de la SEC obligan a las empresas públicas a reportar incidentes significativos rápidamente y a detallar la gestión de riesgos, estrategia y gobernanza de ciberseguridad a nivel de la junta directiva.
  • ISO/IEC 27001:2022 introduce nuevos controles enfocados en inteligencia de amenazas, seguridad de servicios en la nube, monitoreo de seguridad física y prevención de fuga de datos, requiriendo una transición de la versión anterior para octubre de 2025.
  • La Ley de IA de la UE comienza a aplicarse, introduciendo un marco basado en el riesgo para la IA que exige transparencia, seguridad y mitigación de sesgos para sistemas de alto riesgo, prohibiendo ciertas prácticas de IA.

Otras normativas como la Ley de Ciberseguridad y Resiliencia del Reino Unido (CSRA), la CPPA de Canadá, las actualizaciones del GDPR, los refinamientos de HIPAA y PCI 4.0 también refuerzan la necesidad de mayor supervisión, protección de datos y cumplimiento de seguridad.

El nuevo estándar es el cumplimiento continuo, que se aleja de las auditorías puntuales para convertirse en un enfoque siempre activo e integrado. Esto significa incrustar el cumplimiento en los flujos de trabajo diarios de seguridad, TI y desarrollo, utilizando la monitorización automatizada, la «política como código» y la recopilación de evidencia en tiempo real para garantizar que los desajustes se detecten y remedien de inmediato.

El elemento humano en la regulación

Aunque muchas regulaciones se centran en controles técnicos y procesos, el «error humano» sigue siendo el vector de ataque más prevalente, implicado en el 74% de todas las filtraciones de datos. Por lo tanto, el factor humano es una vulnerabilidad crítica que las arquitecturas de ciberseguridad puramente tecnológicas no pueden mitigar por completo.

Las regulaciones, al exigir resiliencia, gestión de riesgos, cumplimiento de políticas, control de acceso y divulgación de incidentes, implícitamente exigen abordar el comportamiento humano. La emergencia de tecnologías como la IA, el ML y los LLM también plantea nuevos desafíos de cumplimiento que deben gestionarse con un enfoque de «seguridad desde el diseño», donde los sesgos humanos en los datos o en la toma de decisiones algorítmicas son una preocupación importante.

Cómo SoSafe puede ayudar a las empresas de LATAM a abordar el riesgo humano y el monitoreo continuo en las reglamentaciones

SoSafe ofrece un enfoque basado en la ciencia del comportamiento para la ciberseguridad, diseñado para ir más allá de la concientización tradicional y enfocarse en la Gestión de Riesgos Humanos (HRM). Esto es fundamental para las empresas de LATAM que buscan cumplir con las regulaciones y fortalecer su postura de seguridad:

1. Reducción del Riesgo Humano:

  • Enfoque de Ciencia del Comportamiento: SoSafe utiliza un enfoque basado en la ciencia del comportamiento para crear programas de capacitación que impulsen un cambio de comportamiento sostenible, en lugar de solo impartir conocimientos. Esto aborda la brecha entre «saber y hacer».
  • Capacitación Personalizada y Continua: Ofrece contenido de capacitación adaptado a roles, riesgos y estilos de aprendizaje específicos, reforzando el aprendizaje continuamente para contrarrestar la Curva del Olvido de Ebbinghaus.
  • Simulaciones Realistas: Las simulaciones prácticas, incluidas las de *smishing* (phishing por SMS) y phishing, preparan a los empleados para identificar y responder a ataques reales, fomentando un «cortafuegos humano».
  • Fomento de una Cultura de Seguridad: SoSafe ayuda a construir una cultura donde los empleados se sienten seguros para informar errores sin temor a represalias, alineándose con la filosofía de construir confianza sobre el miedo.

2. Monitoreo Continuo para el Cumplimiento Regulatorio:

  • Cuantificación del Riesgo Humano: SoSafe proporciona métricas como la Puntuación de Riesgo Humano (HRS) y el Índice de Riesgo Humano (HRI), que evalúan la probabilidad de que las acciones de un empleado conduzcan a una brecha. Estas métricas permiten a las organizaciones identificar empleados de alto riesgo y realizar intervenciones dirigidas, demostrando el Retorno de la Inversión (ROI) en seguridad.
  • Automatización para la Eficiencia de TI: La plataforma de SoSafe busca reducir la carga de trabajo de los equipos de TI a través de la automatización y la implementación rápida. Esto incluye la automatización de la capacitación en concientización y la aplicación de políticas.
  • Informes Listos para Auditorías: SoSafe facilita la gestión del cumplimiento con informes integrados para auditorías de TI y seguridad, simplificando la preparación para normativas como ISO 27001, NIS2 y DORA.
  • Integración de Datos SoSafe puede integrar fuentes de datos de seguridad dispares, como resultados de simulaciones de phishing y alertas de seguridad, en una plataforma unificada, lo que permite una automatización inteligente y una conciencia granular del perfil de riesgo individual de cada empleado. Esto es clave para el monitoreo continuo exigido por las regulaciones modernas.
  • Mejora Continua: El monitoreo continuo de los perfiles de riesgo y los patrones de comportamiento de los empleados, junto con bucles de retroalimentación sólidos, asegura que los programas de seguridad sean adaptables y respondan a las amenazas en evolución.

Al abordar el riesgo humano de manera cuantificable y continua, SoSafe y Babel-Team, partner oficial  SoSafe, empoderan a las organizaciones de LATAM para transformar a sus empleados de posibles vulnerabilidades en una fortaleza activa, lo que es esencial para construir una postura de ciberseguridad resiliente y cumplir con las crecientes demandas regulatorias.

 

Este artículo fue creado por el equipo de Babel-Team con base en las normativas de ciberseguridad vigentes y en la documentación oficial de SoSafe

Ciberseguridad Reglamentación Resiliencia Cibernética Sosafe

Previous Next

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Cancelar Publicar el comentario

Siguiente artículo
Fortalece tu Defensa Humana
Las Innovaciones de SoSafe que Transforman la Ciberseguridad