Cuando leemos titulares sobre multas millonarias por la gestión negligente de datos, es fácil pensar: "eso no nos pasará a nosotros". Sin embargo, casos recientes en el sector retail estadounidense, como las demandas colectivas contra gigantes como Walmart o los problemas de seguridad en cadenas como LensCrafters, han puesto las barbas en remojo a medio mundo. Aunque estas situaciones a menudo ocurren bajo normativas como la CCPA de California, la lección para Europa es cristalina: la gestión de los datos ya no es un problema técnico; es un riesgo de negocio existencial. Si trasladamos esto a nuestro marco legal —el **Reglamento General de Protección de Datos (GDPR)**, la directiva **NIS2** y el **Reglamento DORA**—, el escenario se vuelve aún más crítico. ## De la multa administrativa a la responsabilidad penal Ya no hablamos solo de perder un porcentaje de la facturación global anual, que ya es devastador. Con la entrada en vigor de la **NIS2**, la responsabilidad se escala directamente a la sala de juntas. Los directivos y el consejo de administración pueden enfrentar consecuencias personales e incluso penales si se demuestra negligencia en la supervisión de la ciberseguridad. Para un CISO o un responsable de cumplimiento, esto cambia las reglas del juego. La pregunta ya no es "¿cuánto nos costará la multa?", sino "¿quién responderá ante la ley?". ## El Mainframe: El gigante olvidado en la habitación Aquí reside la gran paradoja. Muchas grandes organizaciones de los sectores retail, banca y seguros protegen sus fronteras con firewalls de última generación, pero descuidan el corazón de su negocio: el **mainframe**. Todavía hay quien se pregunta **qué es un mainframe** en el contexto de la ciberseguridad moderna. La respuesta es sencilla: es donde residen los datos más críticos (tarjetas de crédito bajo **PCI DSS**, datos personales bajo **Reglamento (UE) 2016/679**, etc.). Si no aplicamos un bastionado (hardening) estricto a las particiones lógicas (LPAR) y al sistema operativo **z/OS**, estamos dejando la caja fuerte abierta. ## La necesidad de ver para proteger: SIEM y SOC El cumplimiento de normativas como el **Reglamento (UE) 2016/679 del Parlamento Europeo** exige la capacidad de detectar y notificar de forma rápida las brechas. Esto es imposible si tu entorno mainframe es una caja negra para el equipo de seguridad. Integrar los logs del mainframe en un **SIEM** (Security Information and Event Management) es obligatorio. Entender **qué es un SIEM** y cómo correlaciona eventos en tiempo real permite al **SOC de ciberseguridad** detectar movimientos laterales o la exfiltración de datos antes de que se conviertan en una demanda colectiva. ## DATAPASS: Auditoría cíclica frente a la "foto fija" Los auditores tradicionales suelen hacer una "foto fija" una vez al año. Pero los atacantes trabajan todos los días. Para evitar sustos como los del sector retail, es necesario aumentar la frecuencia y la profundidad de los controles. En Bsecure, abogamos por sistemas de mejora continua, como **DATAPASS**. Este servicio de auditoría cíclica no se limita a poner un sello de "aprobado". * Analiza continuamente el estado de seguridad del mainframe. * Detecta desviaciones frente a **PCI DSS**, **GDPR** o **DORA** en tiempo real. * Permite remediar vulnerabilidades de forma proactiva, no reactiva. ## Conclusión Ignorar la **normativa GDPR** o los requisitos de resiliencia operativa de **DORA** en tus sistemas centrales es jugar a la ruleta rusa con la reputación de la empresa y la libertad de sus directivos. El coste del cumplimiento siempre será infinitamente menor que el de una brecha de seguridad.