\n<\/p>\n
La cultura de la seguridad no se entiende de la misma manera en toda Europa y en sus sectores de actividad. Si bien algunas organizaciones entienden que la cultura de seguridad es tanto un proceso como una medida estrat\u00e9gica, muchas a\u00fan no han decidido las t\u00e1cticas para lograr este objetivo. Quienes han emprendido el proceso han tomado conciencia de la importancia de implementar ciertos comportamientos de seguridad para desarrollar una cultura de seguridad. Reconocen que en una cultura de seguridad proactiva, los empleados han comprendido que el comportamiento seguro no se limita a participar en simulaciones de phishing. Estos empleados est\u00e1n profundamente motivados y quieren participar en la estrategia de seguridad de su organizaci\u00f3n. <\/p>\n
La cultura de seguridad se define como el conjunto de ideas, costumbres y comportamientos sociales que influyen en la seguridad de una organizaci\u00f3n y reducen el riesgo humano. En empresas con una buena cultura de seguridad, los empleados comparten proactivamente informaci\u00f3n sobre ciberseguridad, participan voluntariamente en capacitaciones y comprenden que la ciberseguridad es una prioridad para la empresa.<\/p>\n
Sin embargo, existen niveles muy diferentes de madurez de la cultura de seguridad en toda Europa. Aunque los humanos siguen siendo el principal vector de ataque en todas las organizaciones, esta dimensi\u00f3n parece no haberse tenido suficientemente en cuenta, al igual que los ataques espec\u00edficos que pueden tener como objetivo a individuos. <\/p>\n
En la mayor\u00eda de los casos, las organizaciones europeas son conscientes de que deben integrar a las personas en su defensa para fortalecer su resiliencia. La concienciaci\u00f3n sobre la seguridad ya no se considera un ejercicio rutinario destinado \u00fanicamente a cumplir los requisitos de cumplimiento y se considera cada vez m\u00e1s una iniciativa estrat\u00e9gica que fomenta una mentalidad de seguridad dentro de la organizaci\u00f3n. En organizaciones donde la ciberseguridad no se valora por su valor justo y no es objeto de colaboraci\u00f3n entre diferentes departamentos, a los profesionales de la seguridad les resulta dif\u00edcil ser escuchados. <\/p>\n
La UE es una fuerza impulsora importante en la legislaci\u00f3n y la regulaci\u00f3n que determinan la evoluci\u00f3n de la ciberseguridad en Europa. Tradicionalmente, las iniciativas legislativas apuntan a defender los derechos humanos fundamentales en una era marcada por avances tecnol\u00f3gicos muy r\u00e1pidos. Al igual que otras regiones, la UE tambi\u00e9n ha tomado medidas para proteger a las empresas contra las amenazas a la ciberseguridad mediante la implementaci\u00f3n de proyectos de asociaci\u00f3n p\u00fablico-privada, complementados con regulaciones cada vez m\u00e1s estrictas en esta \u00e1rea. Estas iniciativas siguen siendo instrumentos poderosos para el avance de la ciberseguridad y la protecci\u00f3n de datos en el mercado.<\/p>\n
El RGPD ha tenido un impacto en todo el mundo. Vigente en toda la Uni\u00f3n Europea, ha inspirado regulaciones similares en otras regiones del mundo. El RGPD logra un equilibrio entre la recopilaci\u00f3n y el procesamiento de datos al priorizar los intereses de las personas. Tambi\u00e9n se aplican requisitos estrictos de ciberseguridad a trav\u00e9s de regulaciones espec\u00edficas del sector, como NIS2. Para octubre de 2024, las organizaciones que gestionan infraestructuras cr\u00edticas deber\u00e1n haber implementado esta directiva, que asigna la responsabilidad de la ciberseguridad a su junta directiva. Esta directiva tambi\u00e9n responsabiliza a las organizaciones de la seguridad de sus cadenas de suministro.<\/p>\n
La Ley de Resiliencia Operacional Digital (DORA) entrar\u00e1 en vigor en enero de 2025. Requiere que las organizaciones demuestren qu\u00e9 tan r\u00e1pido pueden recuperarse de un ciberataque y les exige que implementen capacitaci\u00f3n para sus empleados.<\/p>\n
De manera similar, la UE aplica un enfoque integral para regular el uso de la IA. En diciembre de 2023 se alcanz\u00f3 un acuerdo provisional sobre la legislaci\u00f3n de la UE sobre inteligencia artificial, pero no entrar\u00e1 en vigor hasta 2025. La legislaci\u00f3n sobre IA establece un enfoque de la IA basado en el riesgo, con varias categor\u00edas correspondientes a riesgo inaceptable y alto riesgo. , riesgo limitado o riesgo m\u00ednimo. Las multas pueden ser colosales, equivalentes a 35 millones de euros o el 3% de los ingresos brutos (lo que sea mayor).<\/p>\n
Si bien es relativamente r\u00e1pido convertir nuevas regulaciones en pol\u00edticas internas, una vez que se documentan, firman y difunden, las organizaciones se enfrentan a los desaf\u00edos de la gobernanza de la ciberseguridad. La gobernanza es vital para garantizar que las organizaciones y sus l\u00edderes alineen sus estrategias y objetivos de ciberseguridad, bas\u00e1ndose en procesos estandarizados, una aplicaci\u00f3n estricta, responsabilidades claras y supervisi\u00f3n por parte de los l\u00edderes superiores, as\u00ed como proporcionando los recursos necesarios. Para fortalecer verdaderamente su estrategia de ciberseguridad, las organizaciones deben implementar una gobernanza integral. Si no se toman estas medidas, el cumplimiento seguir\u00e1 siendo s\u00f3lo un ejercicio de rutina. <\/p>\n
ENISA informa de un aumento en la calidad y el n\u00famero de los ciberataques y sus consecuencias, un fuerte aumento de los ataques de ransomware en 2023, as\u00ed como las influencias resultantes del clima geopol\u00edtico. Las tres amenazas principales fueron ransomware, malware e ingenier\u00eda social. El a\u00f1o 2023 tambi\u00e9n se caracteriz\u00f3 por una mayor profesionalizaci\u00f3n de las ofertas de ciberdelito como servicio, con una diversificaci\u00f3n de t\u00e1cticas y m\u00e9todos para encontrar formas alternativas de infiltrarse en las v\u00edctimas y extorsionar. La ingenier\u00eda social ha crecido significativamente y el phishing sigue siendo el principal vector de ataque. Las agresiones f\u00edsicas tambi\u00e9n han aumentado.<\/p>\n
Como lo ha demostrado la guerra entre Rusia y Ucrania, la desinformaci\u00f3n y la desinformaci\u00f3n est\u00e1n una vez m\u00e1s en aumento. Debido a las pr\u00f3ximas elecciones de 2024 y la llegada de herramientas de IA generativa, la cantidad y calidad de la desinformaci\u00f3n seguir\u00e1 representando una amenaza para la sociedad. La IA generativa tambi\u00e9n est\u00e1 allanando el camino para la falsificaci\u00f3n deficiente y el phishing de voz, dos amenazas cada vez m\u00e1s comunes dirigidas a organizaciones privadas que se han utilizado para extorsionar fondos. \t\t\t\t\t<\/p>\n
La cultura de seguridad var\u00eda seg\u00fan las regiones del mundo. Un enfoque aislado no es sostenible. Los gobiernos deben trabajar m\u00e1s estrechamente entre s\u00ed y con los organismos reguladores para desarrollar legislaci\u00f3n, pero tambi\u00e9n para describir e integrar medidas concretas que se aplicar\u00e1n para crear una cultura de seguridad s\u00f3lida.<\/p>\n
Por su parte, las organizaciones deben estudiar el desaf\u00edo humano y no tratarlo como un problema tecnol\u00f3gico. A diferencia de las computadoras, aplicar una \u201csoluci\u00f3n\u201d a los humanos no es sencillo y requiere un esfuerzo sostenido de concienciaci\u00f3n y capacitaci\u00f3n.<\/p>\n<\/div>\n