Refuerce el cumplimiento normativo con medidas de seguridad por capas

John Natale

escrito por

John Natale

May 02, 2025

John Natale

escrito por

John Natale

John Natale es el director global de Marketing de Contenido de Akamai.

Las entidades reguladoras exigen pruebas de que está haciendo todo lo posible para impedir que los atacantes dañen los datos y la infraestructura.
Las entidades reguladoras exigen pruebas de que está haciendo todo lo posible para impedir que los atacantes dañen los datos y la infraestructura.

Si su trabajo consiste en proteger la empresa frente a ciberamenazas, es muy probable que también deba asumir una responsabilidad adicional: garantizar el cumplimiento normativo. Actualmente, más de 130 países han promulgado leyes de privacidad de datos y 156 países, que representan el 80 % del total mundial, han aprobado leyes contra la ciberdelincuencia

Además, en cada normativa de privacidad se imponen pautas y requisitos específicos sobre cómo deben realizarse procesos como:

  • Evaluaciones de riesgos
  • Demostración de políticas y planes de seguridad
  • Informes para auditorías, así como informes de filtraciones de datos cuando sea necesario

Muchos directores de seguridad están dedicando parte del ya limitado tiempo del que disponen sus equipos para cumplir con las normativas relacionadas con los pilares de seguridad fundamentales. Tomemos como ejemplo la Directiva sobre Seguridad de las Redes y los Sistemas Informáticos 2 (NIS2) de la UE. Algunos proveedores de servicios que operan en territorio europeo están implementando controles de acceso de "privilegios mínimos", con el fin de cumplir los requisitos de la NIS2 en materia de protección de datos confidenciales. 

Entre las prácticas habituales se incluye el almacenamiento de credenciales de usuarios de TI con privilegios en almacenes, así como la entrega de informes a las entidades reguladoras donde se detalla quién tiene acceso a determinados recursos. De manera similar, la Ley de Transferibilidad y Responsabilidad de Seguros Médicos (HIPAA) exige a las empresas del sector de la salud que manejan información sanitaria protegida (PHI) de ciudadanos estadounidenses que garanticen la seguridad de los registros de los pacientes. 

Las medidas de seguridad convencionales contribuyen a proteger los datos y a cumplir con las normativas correspondientes. Sin embargo, no basta con franquear las puertas de acceso y esconder las llaves, ya que esta estrategia solo abarca algunas capas de la superficie de ataque. 

Para ir más allá, es fundamental comprender qué medidas está tomando la empresa para proteger sus recursos en caso de que un atacante identifique una vulnerabilidad y consiga aprovecharse de ella. Y, si se confirma la presencia de una brecha, cabe preguntarse: ¿está la empresa haciendo todo lo posible para contener al atacante, impedir movimientos laterales, la escalada de privilegios y prevenir daños significativos?

En esta serie de entradas de blog, hablaremos sobre qué capas de la superficie de ataque requieren mayor protección según las entidades reguladoras actuales, y cuáles son las prácticas recomendadas para cumplir con estos requisitos.

Por qué la implementación de principios de seguridad facilita el cumplimiento normativo

Los expertos del sector recomiendan a las empresas alinear sus esfuerzos de cumplimiento con marcos de seguridad fiables, como el marco NIST del Instituto Nacional de Estándares y Tecnología (marco NIST) o las normas ISO de la Organización Internacional de Normalización. Este enfoque es una forma práctica de:

  • Adoptar las prácticas recomendadas de instituciones reconocidas y ganar confianza
  • Alinear los esfuerzos de cumplimiento con diferentes normativas y aumentar la eficiencia 

Sin embargo, a medida que evolucionan las superficies de ataque y las normativas, ¿por qué no basar también los esfuerzos de cumplimiento en un principio de ciberseguridad fiable? Algunos se refieren a este enfoque como "defensa en profundidad", pero nosotros preferimos llamarlo seguridad por capas. En cualquier caso, es una práctica bien conocida.

Por qué adoptar un enfoque por capas

La seguridad por capas combina una cadena de obstáculos interconectados, trampas y sorpresas que no suelen agradar a los atacantes; elementos diseñados para limitar las opciones, el acceso y la visibilidad del atacante y, en última instancia, lograr que desista. Mediante este enfoque, los controles de seguridad que abordan riesgos específicos pueden respaldarse entre ellos. Es decir, si un control falla, el que viene después toma el relevo. Si uno identifica una señal de ataque, su homólogo  puede actuar en consecuencia y frenar el avance del atacante. Si uno autoriza el acceso a humanos, el otro lo autoriza a no humanos; y así sucesivamente.

Las empresas pueden utilizar este enfoque para el cumplimiento. Las entidades reguladoras exigen pruebas de que está haciendo todo lo posible para impedir que los atacantes dañen los datos y la infraestructura. Algunos ejemplos de ataques son aquellos que filtran los datos personales de millones de clientes o interrumpen las operaciones de sectores fundamentales, como es el caso de las depuradoras de agua. 

Hay mucho en juego: en 2024, el incumplimiento normativo elevó el coste medio de una filtración de datos de 4,88 millones de dólares a casi 5,12 millones de dólares.

A continuación, hablaremos sobre algunas lagunas comunes y cómo abordarlas. Explicaremos cómo trazar un plan completo con el que demostrar el cumplimiento normativo y cómo optimizar la elaboración de informes.

Ejemplos clave de seguridad por capas aplicada al cumplimiento normativo

Muchas empresas han logrado avances en materia de protección de las credenciales de usuarios de TI que, en las manos equivocadas, permitirían a los atacantes controlar sus redes y datos confidenciales. Desde la norma de seguridad de datos del Sector de las tarjetas de pago (PCI DSS) v4.0 hasta el Reglamento general de protección de datos (RGPD), las entidades reguladoras esperan controles de acceso con privilegios estrictos. 

También se recomienda implementar controles para aislar y proteger los datos en segmentos, en los que cada tipo de dato se protege mediante controles de autorización adaptados a criterios específicos. Esto incluye la confidencialidad de los datos y los requisitos normativos de la región. 

Al dividir la red en segmentos más pequeños y aislados, cada uno con sus propias políticas de seguridad de la información, los equipos de seguridad adquieren un control más preciso sobre el acceso a los datos y el movimiento lateral. 

Con las herramientas de microsegmentación adecuadas, este enfoque detallado:

  • Reduce la superficie de ataque
  • Limita el daño de posibles brechas o ataques de ransomware 
  • Proporciona a los equipos de seguridad la capacidad necesaria para demostrar cómo protegen los datos, sistemas y operaciones, ya sea en auditorías recurrentes o en sus protocolos generales

¿De qué otra forma pueden los equipos de seguridad utilizar la seguridad por capas en el cumplimiento normativo? Veamos por qué la protección de datos es fundamental en cualquier ámbito.

Sobre los requisitos de seguridad de API

Según el informe de investigación de Verizon sobre filtraciones de datos (DBIR) de 2025, el 60 % de las filtraciones se deben al "elemento humano"; por ejemplo, cuando un empleado es víctima de phishing y provoca el robo de datos. Por ello, las empresas implementan sistemas de gestión de acceso e identidades para evitar multas cuantiosas y daños a la reputación. La necesidad es obvia, y muchos marcos y entidades reguladoras insisten en ella. 

Es posible que su organización pueda demostrar a las entidades reguladoras cómo está reduciendo la dependencia de las contraseñas y aplicando métodos de autenticación de dos factores para los usuarios. Pero, ¿qué ocurre con el elemento no humano? 

Es muy probable que, en una sola empresa, miles de interfaces de programación de aplicaciones (API) trabajen en segundo plano para intercambiar datos rápidamente. Los atacantes saben que las API suelen estar mal configuradas, carecen de controles de autenticación y son fáciles de manipular para obtener información confidencial. 

De hecho, en los últimos 12 meses, el 84 % de las empresas sufrieron un incidente de seguridad de API. Los líderes de TI y seguridad lamentan un coste medio de 943 162 dólares.

El enfoque de seguridad por capas aplicado al cumplimiento normativo permite a los equipos de seguridad reforzar los controles de acceso de su plantilla mediante herramientas diseñadas para supervisar y proteger todo su entorno de API. Estas herramientas incluyen capacidades de gestión de la estrategia de seguridad de las API para:

  • Comparar el comportamiento de una API con un estándar de referencia y detectar anomalías

  • Identificar actividad maliciosa en tiempo real y alertar a otras herramientas para que intervengan, por ejemplo, bloqueando el acceso no autorizado

  • Obtener una visibilidad continua de los posibles incidentes de seguridad de API de conformidad con los marcos de cumplimiento correspondientes

Prácticas recomendadas para lograr el cumplimiento en materia de seguridad de datos: Las cuatro capas de seguridad clave

No se pierda las próximas entradas de blog de esta serie, donde hablaremos sobre cómo los equipos de seguridad de las empresas están abordando los retos y carencias en materia de cumplimiento. Creemos que el cumplimiento de las leyes de protección de datos exige un enfoque estratégico que se asemeje en gran medida a cómo las empresas implementan medidas de seguridad por capas para proteger todas las áreas de la superficie de ataque. 

Abordaremos las prácticas recomendadas directamente relacionadas con las expectativas de las entidades reguladoras actuales, incluida la obtención de una visibilidad completa de toda la infraestructura de TI.

Más información

Para obtener más información sobre cómo Akamai puede ayudarle, visite nuestra página de cumplimiento relacionado con la ciberseguridad.



John Natale

escrito por

John Natale

May 02, 2025

John Natale

escrito por

John Natale

John Natale es el director global de Marketing de Contenido de Akamai.