.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Hoy en día, las organizaciones operan bajo un número considerable de obligaciones de cumplimiento normativo en materia de TI y ciberseguridad. Al definir requisitos para áreas como el control de acceso, la respuesta a incidentes, el cifrado, la gobernanza y la gestión de proveedores, las normas de cumplimiento ayudan a reducir la probabilidad y el impacto de los ciberataques, respaldan las obligaciones normativas y legales, y generan confianza en los ecosistemas digitales.
5000 líderes de TI y ciberseguridad comparten sus experiencias en materia de cumplimiento normativo
Para entender mejor la realidad del cumplimiento normativo en materia de TI y ciberseguridad a la que se enfrentan las organizaciones hoy en día, Sophos encargó una encuesta independiente a 5000 directivos de TI y ciberseguridad de 17 países y de una amplia gama de sectores públicos y privados. Realizada a principios de 2026, entre las conclusiones clave se incluyen:
- Múltiples obligaciones normativas: Los encuestados afirman cumplir con una media de 5 normas de cumplimiento (mediana), lo que subraya la amplitud de las obligaciones normativas en todas las regiones y sectores.
- Preocupación generalizada por el incumplimiento: El 82 % de los responsables está preocupado por que su organización pueda no cumplir plenamente con todas las normativas y requisitos necesarios, y casi una cuarta parte (24 %) está muy preocupada. Solo el 18 % afirma no estar preocupado por su situación de cumplimiento.
- Una carga significativa de recursos: El 39 % del tiempo del equipo de TI y ciberseguridad se dedica a actividades relacionadas con el cumplimiento normativo.
- Dificultades para mantenerse al día: Al 79 % de las organizaciones les resulta difícil mantenerse al día con los cambios en los requisitos de cumplimiento, y el 19 % afirma que es «muy difícil».
- Las empresas más pequeñas se ven afectadas de forma desproporcionada: Las empresas más pequeñas se enfrentan a un volumen similar de marcos de cumplimiento que las grandes, pero cuentan con menos recursos y experiencia para cumplirlos.
El sector y la ubicación geográfica influyen
En 17 países de América, EMEA y Asia-Pacífico, y en 15 sectores diferentes, las normativas más citadas son:
- ISO 27001/2: 51,2 % de los encuestados
- RGPD: 40,4 % de los encuestados
- CIS: 29,7 % de los encuestados
- NIST CSF: 23,8 % de los encuestados
- PCI DSS: 23,1 % de los encuestados
- HIPAA: 21,7 % de los encuestados
- DORA: 19,8 % de los encuestados
- NIS2: 16,1 % de los encuestados
Aunque estas son las normas más citadas en general, su adopción varía significativamente según el sector y la región.
Por ejemplo, el 66 % de las organizaciones del sector de la distribución y el transporte mencionaron la ISO 27001/2, frente al 38 % de las administraciones estatales y locales. Del mismo modo, el 60 % de las empresas en España aspiran a cumplir con la ISO 27001/2, frente al 35 % en México, y el 30 % de las organizaciones en EE. UU. cumplen con el NIST CSF, frente al 13 % en Australia.
El cumplimiento normativo hoy en día: tres conclusiones clave
Los resultados de la encuesta muestran que la carga que supone el cumplimiento normativo para las organizaciones es elevada y que mantenerlo es un reto constante. Las conclusiones clave para los responsables de TI y ciberseguridad incluyen:
La complejidad del cumplimiento está superando la capacidad de TI
Mantener el cumplimiento de una sola norma regulatoria ya es difícil; gestionar el cumplimiento de cinco es una tarea titánica para cualquier organización. Muchos marcos exigen información similar, lo que genera un alto nivel de trabajo duplicado para los implicados. Y dado que a ocho de cada diez organizaciones (79 %) les resulta difícil mantenerse al día con los cambios en los requisitos de cumplimiento, está claro que los equipos de TI y ciberseguridad están teniendo dificultades para seguir el ritmo.
El cumplimiento normativo tiene un gran impacto en la asignación de recursos
Las actividades relacionadas con el cumplimiento pueden ir desde comprender los requisitos normativos e implementar los controles necesarios, hasta informar sobre el estado de cumplimiento. Dado que dos quintas partes del tiempo de un equipo típico de TI y ciberseguridad se dedican a tareas de cumplimiento, es esencial que las organizaciones asignen los recursos adecuados para cumplir con sus obligaciones normativas y con las necesidades más amplias de TI y ciberseguridad de la empresa.
La falta de visibilidad crea puntos ciegos en materia de cumplimiento y seguridad
No basta con pensar que cumples con la normativa: necesitas saber que realmente lo haces. Sin embargo, dado que al 82 % de los responsables de TI y ciberseguridad les preocupa no cumplir plenamente con todas las normativas y requisitos necesarios, está claro que a los equipos les falta la visibilidad que necesitan para estar seguros de su estado de cumplimiento. Sin una visibilidad completa, las organizaciones también corren el riesgo de pasar por alto brechas de seguridad y operativas que aumentan su riesgo de sufrir ciberincidentes y pérdida de datos.
Mantener el cumplimiento continuo de múltiples normas regulatorias y de cumplimiento es una tarea importante para todas las organizaciones, y especialmente para las empresas más pequeñas, que se ven desproporcionadamente afectadas por los gastos financieros que supone contratar personal adicional para gestionar múltiples regulaciones en constante evolución. Dado que es probable que los requisitos de cumplimiento aumenten en volumen y complejidad, las organizaciones deberían plantearse cuál es la mejor manera de cumplir con sus obligaciones de cumplimiento continuo, incluyendo la posibilidad de trabajar con especialistas externos que puedan aportar su experiencia y recursos.