Ciberseguridad · Capítulo 19

Normativas y Cumplimiento en Ciberseguridad: El Marco Legal y Regulatorio

Las empresas que manejan datos digitales no operan en un vacío legal. Marcos regulatorios globales, regionales y sectoriales definen obligaciones concretas — con multas millonarias para quien las ignore.

Por Qué Importa el Cumplimiento

El cumplimiento regulatorio en ciberseguridad no es solo un ejercicio burocrático. Tiene consecuencias directas y medibles en cuatro dimensiones:

Legal: multas regulatorias, acciones penales contra directivos, sanciones a la licencia de operación
Financiero: el costo promedio de una brecha de datos es de $4.45 millones USD (IBM Cost of Data Breach Report 2023). Las multas pueden llegar a cientos de millones adicionales.
Reputacional: el 60% de las pequeñas empresas cierran en los 6 meses siguientes a una brecha significativa
Competitivo: cada vez más clientes empresariales exigen evidencia de cumplimiento (SOC 2, ISO 27001) como prerequisito para firmar contratos

NIST Cybersecurity Framework 2.0 (2024)

El Marco de Ciberseguridad del NIST, actualizado en febrero de 2024, es el framework de gestión de riesgos de ciberseguridad más adoptado mundialmente, usado por más del 30% de la infraestructura crítica de EE.UU. y ampliamente adoptado a nivel internacional. No es una regulación obligatoria — es una guía de mejores prácticas.

La versión 2.0 añade una sexta función: Govern (Gobernar), reconociendo que la ciberseguridad es una responsabilidad organizacional a nivel ejecutivo, no solo técnica.

Función	Descripción	Ejemplos de actividades
Govern (Gobernar)	Establecer estrategia, expectativas y políticas de gestión de riesgos cibernéticos	Política de seguridad corporativa, roles y responsabilidades, gestión de riesgos de terceros
Identify (Identificar)	Comprender el contexto organizacional, activos, riesgos y vulnerabilidades	Inventario de activos, evaluación de riesgos, identificación de cadena de suministro
Protect (Proteger)	Implementar controles para limitar el impacto de incidentes potenciales	Control de acceso, capacitación, cifrado, seguridad en desarrollo de software
Detect (Detectar)	Identificar ocurrencia de eventos de ciberseguridad	Monitoreo continuo, SIEM, detección de anomalías, análisis de logs
Respond (Responder)	Actuar ante un incidente detectado	Plan de respuesta a incidentes, comunicaciones de crisis, análisis forense
Recover (Recuperar)	Restaurar capacidades afectadas y aprender del incidente	Plan de recuperación, mejoras post-incidente, comunicación con stakeholders

El framework también define Tiers (niveles de madurez) del 1 al 4: Parcial → Informado por riesgo → Repetible → Adaptativo. Las organizaciones crean un Perfil Actual (dónde están hoy) y un Perfil Objetivo (dónde quieren llegar), identificando las brechas a cerrar.

ISO/IEC 27001:2022 — El Estándar Internacional de Seguridad

ISO 27001 es el único estándar internacional certificable para Sistemas de Gestión de Seguridad de la Información (ISMS). Estar certificado demuestra a clientes, socios y reguladores que la organización gestiona sistemáticamente la seguridad de la información.

Los 93 controles en 4 temas (versión 2022)

Controles Organizacionales (37): políticas, roles, gestión de incidentes, continuidad de negocio, cumplimiento legal
Controles de Personas (8): selección de personal, acuerdos de confidencialidad, capacitación en seguridad, proceso de baja de empleados
Controles Físicos (14): seguridad de instalaciones, perímetro físico, escritorio limpio, protección de equipos
Controles Tecnológicos (34): control de acceso, criptografía, seguridad de red, gestión de vulnerabilidades, monitoreo

Proceso de certificación

Gap assessment: evaluar dónde está la organización vs. los requisitos de ISO 27001
Implementación: desarrollar políticas, implementar controles, documentar el ISMS
Auditoría Etapa 1: revisión documental — el auditor externo verifica que el ISMS está diseñado correctamente
Auditoría Etapa 2: auditoría en sitio — verifica que los controles están implementados y funcionando
Certificación: válida por 3 años, con auditorías de vigilancia anuales

Más de 70,000 organizaciones en 150 países están certificadas en ISO 27001. Es prácticamente un requisito para vender servicios de tecnología a grandes corporaciones o gobiernos en muchos mercados.

PCI-DSS 4.0 — Seguridad en Pagos con Tarjeta

El Payment Card Industry Data Security Standard es obligatorio para cualquier organización que almacene, procese o transmita datos de tarjetas de pago. Fue actualizado a la versión 4.0 en 2022.

Los 12 requisitos principales

Instalar y mantener controles de seguridad de red (firewalls)
No usar contraseñas y parámetros de seguridad por defecto
Proteger los datos almacenados del titular de la tarjeta (cifrado, tokenización)
Cifrar la transmisión de datos del titular de la tarjeta en redes abiertas (TLS 1.2+)
Proteger los sistemas contra malware
Desarrollar y mantener sistemas y software seguros (parches, SDLC seguro)
Restringir el acceso a componentes del sistema y datos del titular de la tarjeta por necesidad de negocio
Identificar usuarios y autenticar el acceso a componentes del sistema (MFA obligatorio para acceso remoto)
Restringir el acceso físico a datos del titular de la tarjeta
Registrar y monitorear todo acceso a recursos de red y datos del titular de la tarjeta
Probar los sistemas y redes de seguridad regularmente (prueba de penetración anual obligatoria)
Mantener una política de seguridad de la información para todo el personal

    SAQ vs. ROC: Los comercios pequeños completan un Cuestionario de Autoevaluación (SAQ). Los grandes procesadores (más de 6 millones de transacciones Visa/year) deben contratar un Qualified Security Assessor (QSA) que realiza un Reporte de Cumplimiento (ROC) formal. El incumplimiento puede resultar en la revocación del derecho a procesar tarjetas — básicamente la muerte de un negocio de comercio electrónico.
  

SOC 2 — El Requisito de los Clientes Empresariales

SOC 2 (System and Organization Controls 2) es un estándar de auditoría desarrollado por el AICPA para organizaciones de servicios tecnológicos que almacenan datos de clientes en la nube. No es obligatorio por ley, pero prácticamente todos los clientes empresariales lo exigen antes de firmar contratos.

Trust Service Criteria (Criterios de Servicios de Confianza)

Seguridad (obligatorio): el sistema está protegido contra acceso no autorizado
Disponibilidad (opcional): el sistema está disponible según lo acordado
Integridad del procesamiento (opcional): el procesamiento es completo, válido y oportuno
Confidencialidad (opcional): la información designada como confidencial está protegida
Privacidad (opcional): la información personal se recopila, usa y divulga según la política

Tipo I vs. Tipo II: Un reporte Tipo I es una foto en un punto específico en el tiempo ("los controles están correctamente diseñados a esta fecha"). Un reporte Tipo II cubre un período de 6-12 meses y verifica que los controles funcionaron efectivamente durante ese período. Los clientes exigen Tipo II porque es mucho más significativo.

GDPR: Multas que Demuestran que Tiene Dientes

Las multas más grandes impuestas bajo el GDPR demuestran que las autoridades europeas de protección de datos aplican la ley con seriedad:

Empresa	Multa	Autoridad	Razón	Año
Meta (Facebook)	€1,200,000,000	DPC (Irlanda)	Transferencias ilegales de datos EU-EE.UU. a través de mecanismos sin base legal adecuada	2023
Amazon	€746,000,000	CNPD (Luxemburgo)	Procesamiento de datos personales para publicidad sin base legal adecuada	2021
Instagram (Meta)	€405,000,000	DPC (Irlanda)	Exposición de datos de contacto de menores de edad	2022
WhatsApp (Meta)	€225,000,000	DPC (Irlanda)	Falta de transparencia sobre cómo se comparten datos entre las empresas de Meta	2021
Google LLC	€150,000,000	CNIL (Francia)	Proceso de rechazo de cookies más difícil que el de aceptación — dark pattern	2022

Leyes de Protección de Datos en América Latina: Análisis Profundo

Perú — Ley 29733 (2011) y DS 003-2013

La Ley de Protección de Datos Personales de Perú establece principios similares al GDPR: consentimiento, finalidad, proporcionalidad, seguridad y flujo transfronterizo controlado. Puntos clave:

ANPD: la Autoridad Nacional de Protección de Datos, dentro del Ministerio de Justicia, es el ente regulador
Registro obligatorio: los bancos de datos personales (bases de datos) deben registrarse ante la ANPD
Consentimiento: debe ser previo, informado, libre, expreso y unívoco
Transferencias internacionales: solo a países con nivel de protección adecuado o con garantías contractuales
Datos sensibles: categoría especial que incluye salud, vida sexual, datos financieros, religión, opinión política, origen étnico

Colombia — Ley Estatutaria 1581/2012

El Habeas Data es un derecho constitucional en Colombia (Art. 15 de la Constitución), lo que da a esta ley un peso constitucional único en la región
La Superintendencia de Industria y Comercio (SIC) es la autoridad de aplicación, con facultades de inspección, vigilancia y control
Las empresas deben designar un responsable de datos y publicar su política de tratamiento
Los titulares tienen derechos de acceso, corrección, supresión, revocatoria del consentimiento y queja ante la SIC

Brasil — LGPD (Lei 13.709/2018)

La Lei Geral de Proteção de Dados, vigente desde 2021, es la ley de protección de datos más completa de América Latina y la más similar al GDPR europeo:

10 bases legales: consentimiento, cumplimiento de obligación legal, ejecución de políticas públicas, estudios e investigaciones, ejecución de contratos, ejercicio regular de derechos, protección de la vida, tutela de la salud, interés legítimo, y protección del crédito
Derechos del titular: confirmación de tratamiento, acceso, corrección, anonimización/bloqueo/eliminación, portabilidad, información sobre terceros, revocación del consentimiento, revisión de decisiones automatizadas
DPO obligatorio: el Encargado de Protección de Datos (DPO) es requerido para grandes procesadores
ANPD brasileña: la Autoridade Nacional de Proteção de Dados puede imponer multas de hasta el 2% de los ingresos de la empresa en Brasil, limitado a R$50 millones por infracción

México — LFPDPPP (2010)

Ley Federal de Protección de Datos Personales en Posesión de los Particulares — una de las primeras leyes de privacidad modernas de la región
Los derechos ARCO: Acceso, Rectificación, Cancelación y Oposición — el estándar de la ley
El INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales) es la autoridad reguladora con facultades de verificación y sanción
Aviso de Privacidad obligatorio: documento que informa al titular sobre el tratamiento de sus datos

NIS2 — Directiva de Seguridad de Infraestructura Crítica (UE, 2024)

La Directiva NIS2 (Network and Information Security 2) entró en vigor en la Unión Europea en octubre de 2024, reemplazando a NIS1. Amplía significativamente el alcance a sectores críticos: energía, transporte, agua, salud, infraestructura digital, gestión de servicios TIC, administración pública y espacio.

Notificación de incidentes más estricta: alerta inicial a la autoridad en 24 horas, notificación completa en 72 horas
Responsabilidad de la dirección: los órganos de gobierno (directorio, consejo) son responsables del cumplimiento y pueden ser personalmente sancionados
Multas: hasta €10 millones o el 2% de la facturación global anual para entidades esenciales
Gestión de riesgos en la cadena de suministro: las organizaciones deben evaluar y gestionar los riesgos de sus proveedores

Gestión de Riesgos de Terceros

El 62% de las brechas de datos involucran a terceros (proveedores, partners, contratistas). La cadena de suministro de software es un vector de ataque cada vez más explotado (SolarWinds, Kaseya VSA). Los elementos de un programa de gestión de riesgos de terceros incluyen:

Cuestionarios de seguridad a proveedores antes de contratarlos
Solicitar reportes SOC 2 Tipo II o certificación ISO 27001 como evidencia
Cláusulas contractuales de seguridad (requisitos mínimos, derecho de auditoría, notificación obligatoria de brechas)
Monitoreo continuo de proveedores de alto riesgo (SecurityScorecard, BitSight)
Inventario y clasificación de todos los terceros por nivel de acceso y criticidad

Construyendo un Programa de Cumplimiento

Las 6 etapas de un programa de cumplimiento en ciberseguridad:

Gap Assessment: evaluar el estado actual vs. los requisitos del framework o regulación elegida
Desarrollo de políticas: crear las políticas y procedimientos necesarios (política de contraseñas, gestión de incidentes, clasificación de datos)
Implementación de controles: desplegar los controles técnicos y organizacionales identificados en el gap assessment
Capacitación: todo el personal debe entender sus responsabilidades; el 95% de las brechas involucran error humano
Auditoría: auditoría interna trimestral de controles clave; auditoría externa anual para certificaciones; prueba de penetración anual
Remediación y mejora continua: corregir hallazgos, actualizar controles con el panorama de amenazas cambiante, repetir el ciclo

Resumen / Summary

El cumplimiento importa por razones legales (multas, sanciones), financieras ($4.45M promedio por brecha según IBM 2023), reputacionales y competitivas (SOC 2 e ISO 27001 como requisito de contratos).
El NIST CSF 2.0 (2024) añade la función Govern a las cinco originales (Identify, Protect, Detect, Respond, Recover) y define cuatro niveles de madurez; es el framework más adoptado en infraestructura crítica de EE.UU.
ISO/IEC 27001:2022 tiene 93 controles en 4 temas (organizacional, personas, físico, tecnológico); la certificación requiere auditoría de dos etapas y es renovable cada 3 años con vigilancia anual.
PCI-DSS 4.0 obliga a cualquier entidad que maneje tarjetas de pago; incluye 12 requisitos y exige prueba de penetración anual; el incumplimiento puede resultar en la revocación del derecho a procesar pagos.
Las multas GDPR llegan a €1,200M (Meta 2023); en América Latina, la LGPD de Brasil (2021) es la más similar al GDPR con 10 bases legales y multas de hasta 2% de ingresos en Brasil; Perú, Colombia y México tienen marcos propios con autoridades de aplicación activas.
La gestión de riesgos de terceros es crítica: el 62% de las brechas involucra proveedores; se gestiona con cuestionarios de seguridad, SOC 2/ISO 27001 como evidencia y cláusulas contractuales obligatorias.