Bitácora de fernand0 Cambiando de aires

Fatiga regulatoria, riesgos y consecuencias

02 Mar 2026

Obligación estadística

Cuando hablamos de seguridad (aunque también si hablamos solo de llevar adelante nuestro trabajo) aparecen los aspectos de las regulaciones: muchas veces nos parecen un inconveniente y un freno, pero la realidad es que a veces hay que hacer normas para que determinadas operaciones (que parecen de lógica) se lleven adelante: las operaciones son lo importante, y hacer las cosas ‘bien’ siempre es algo que puede esperar.

Otra coas es el exceso de regulaciones y, claro, el exceso de tareas asociadas. En Compliance Fatigue Is Real—And It’s Putting Cybersecurity at Risk se habla del tema como un riesgo más.

Se basa en un estudio de una consultora (Bridewell Consulting) que afirma que el 44% de las empresas financieras en Gran Bretaña señalan las tareas relacionadas con el cumplimiento normativo (compliance) como uno de los principales retos para la ciberseguridad. No solo por la propia, sino por las obligaciones relacionadas con su operación en diferentes países del mundo.

New research by Bridewell Consulting revealed that 44% of all financial services institutions in the UK listed compliance as the top cybersecurity challenge their organizations currently face. And it may be no surprise as many financial institutions do business in other countries, making them subject to not only UK-based cybersecurity law but those established around the world.

Cuando el cumplimiento se convierte en una tarea más, y es de las importantes, puede ocurrir que otras se dejen de lado. Por ejemplo, gestión de vulnerabilidades, actualización de sistemas y reducción en los equipos de respuesta a incidentes.

When inundated with a lot of Governance, Risk, and Compliance (GRC) documentation, it can all start to blur. Compliance fatigue is the result of such overwhelm and can ironically jeopardize security measures at the helm.

Luego lista una serie de regulaciones de Gran Bretaña que incluye cinco de estas normas y que no es completa.

This list is not comprehensive; other frameworks like NIS2, AML/CTF regulations, and more widely apply as well.

Interesante.

Lo que decía arriba de la necesidad de regulaciones no es solo mi idea. Un experto como Bruce Schneier ya lleva tiempo diciéndolo en artículos como Why Was SolarWinds So Vulnerable to a Hack? donde habla de incentivos, asimetría de la información y otras cuestiones que muchas veces se pasan por alto.

Así que: desregular no, regular sí, pero con cuidado.

Related posts