Probablemente haya oído hablar de la Directiva de Seguridad de las Redes y de la Información actualizada de la Unión Europea (NIS2). Esta directiva se transpondrá al ordenamiento jurídico en octubre de 2024. Conviene estar preparado, ya que el incumplimiento puede acarrear multas y sanciones elevadas. 

Pero quizá piense que octubre de 2024 queda lejos, ¿verdad? Piénselo dos veces. 

Al fin y al cabo, ¿cómo puede saber si dispone de tiempo suficiente para prepararse si no sabe en qué medida cumple actualmente la normativa prevista?

Por tanto, de aquí a octubre de 2024 debe auditar su estado actual de ciberseguridad. En concreto:

  1. Identificar las brechas en el cumplimiento de los requisitos de la Directiva NIS2, empezando ya
  2. Revisar las deficiencias actuales de seguridad de su cadena de suministro

En la segunda parte de esta serie, analizaré las tres áreas que deberá abordar para subsanar las brechas que revelen sus auditorías , incluyendo cómo:

  1. Informar a la dirección sobre sus brechas de ciberseguridad.
  2. Implementar correctamente nuevas medidas de seguridad organizativas y técnicas.
  3. Encontrar tiempo para formar a todos sus empleados.

1. Identificar las brechas en el cumplimiento de los requisitos de la Directiva NIS2, empezando ya

La Directiva NIS2 es la legislación sobre ciberseguridad de ámbito europeo que proporciona medidas legales para elevar el nivel general de ciberseguridad en la UE. Moderniza el marco jurídico existente para adaptarse al aumento de la digitalización y a un panorama de amenazas de ciberseguridad en constante evolución. 

La directiva amplía el alcance de las normas de ciberseguridad a nuevos sectores y entidades, mejorando las capacidades de resiliencia y respuesta ante incidentes de entidades públicas y privadas, autoridades competentes y de toda la UE. 

La Directiva NIS2 establece medidas reforzadas de resiliencia frente a ciberataques para minimizar vulnerabilidades y mejorar la ciberdefensa. 

Para cumplir la Directiva NIS2, debe:

  • Evaluar su postura de ciberseguridad e identificar cualquier brecha o debilidad que pueda exponerle a riesgos cibernéticos. 
  • Mapear sus políticas, procedimientos y controles existentes con los requisitos de la directiva y determinar dónde mejorarlos o actualizarlos. 
  • Evaluar sus capacidades de respuesta ante incidentes y mecanismos de notificación, y asegurarse de que se ajustan a los estándares de la directiva. 

Uno de los principales problemas de NIS2 es que indica qué se debe hacer, pero no cómo hacerlo. Afortunadamente, hay varios marcos que pueden ayudarle con el cómo, entre ellos:

En Bélgica, el CCB ha creado un marco Cyberfundamentals basado en varios marcos, con referencias a cómo se relacionan las distintas partes de los marcos con el RGPD y NIS2.

Una vez seleccionado el marco, debe identificar las brechas en relación con el marco elegido y los requisitos de la directiva. Identificar brechas no es una tarea sencilla ni rápida; requiere un análisis exhaustivo y sistemático de la madurez y preparación en ciberseguridad de su organización. 

No solo debe revisar su estrategia y sus políticas de ciberseguridad, sino también realizar un análisis de riesgos para identificar los activos más críticos y los riesgos de ciberseguridad que presentan; después, considerar controles de seguridad para reducir la puntuación de riesgo de esos activos esenciales. 

Cuanto antes inicie este proceso, más tiempo tendrá para obtener el presupuesto necesario para abordar cualquier problema e implementar los cambios que sean necesarios. 

Posibles brechas del entorno NIS2

Algunas de las posibles brechas que puede encontrar en su entorno son:

  • Falta de una estrategia o política integral de ciberseguridad que cubra todos los aspectos de la gestión de riesgos, la respuesta ante incidentes, la continuidad del negocio, la protección de datos, etc.
  • Falta de un equipo o función de ciberseguridad dedicado que supervise, coordine y monitorice todas las actividades e iniciativas de ciberseguridad en toda la organización.
  • Falta de controles o medidas de seguridad adecuados para proteger sus sistemas de red e información frente al acceso, uso, divulgación, modificación o destrucción no autorizados.
  • Falta de pruebas o auditorías periódicas de sus controles o medidas de seguridad para garantizar su eficacia y el cumplimiento de los requisitos de la directiva.
  • Falta de programas adecuados de formación o concienciación para su personal, la dirección, otros empleados u otras partes interesadas sobre cuestiones y buenas prácticas de ciberseguridad.
  • Falta de canales claros de comunicación o notificación para informar a las autoridades o partes pertinentes de cualquier incidente o brecha que afecte a sus servicios.

Posibles soluciones de seguridad para que su entorno cumpla NIS2

Para identificar y corregir estas brechas de seguridad, puede:

  • Utilizar marcos o modelos de análisis de brechas que le ayuden a comparar su estado actual con el estado deseado e identificar áreas de mejora.
  • Implementar modelos o estándares de madurez en ciberseguridad que le ayuden a medir su nivel de rendimiento y progreso en ciberseguridad.
  • Realizar una evaluación de riesgos para identificar sus activos, amenazas, vulnerabilidades, impactos y probabilidades de ciberataques.
  • Solicitar auditorías o evaluaciones externas que le ayuden a validar su estado de cumplimiento e identificar cualquier debilidad o deficiencia.

2. Revisar las deficiencias actuales de seguridad de la cadena de suministro con tiempo suficiente para coordinar acciones con los proveedores

La Directiva NIS2 también introduce nuevas disposiciones sobre la seguridad de la cadena de suministro (capítulo 0, puntos 54 y 56), reconociendo que las ciberamenazas pueden proceder de proveedores externos o subcontratistas. 

La directiva exige a las organizaciones que garanticen que sus proveedores sigan estándares y prácticas de seguridad adecuados (artículo 21-2d) y que monitoricen periódicamente su rendimiento y cumplimiento (artículo 21–3). 

No es casualidad. Los ataques a la cadena de suministro van en aumento:

En una investigación de BlackBerry realizada en 2022 con más de 1500 responsables de TI, cuatro de cada cinco encuestados afirmaron haber recibido notificación de un ataque o una vulnerabilidad en su cadena de suministro durante el año. El 77 % afirmó haber descubierto participantes ocultos en su cadena de suministro de software de los que no tenía conocimiento previamente. 

Una investigación de Accenture también revela que el 40 % de las brechas de seguridad son indirectas y se producen a través de la cadena de suministro.

Por tanto, proteger su cadena de suministro es esencial para garantizar la continuidad del negocio, la resiliencia, la reputación y la confianza.

Pero en Press Reset: informe sobre el estado de la ciberseguridad en 2023 de Ivanti, constatamos que solo el 42 % de los más de 1300 directivos y profesionales de seguridad encuestados afirmaron estar preparados para protegerse frente a las amenazas de la cadena de suministro, aunque el 46 % las considera una amenaza de alto nivel. 

Las amenazas de la cadena de suministro no solo proceden de ataques a proveedores de soluciones como OktaKaseya o SolarWinds, sino también de socios conectados directamente a su infraestructura de TI o que pueden iniciar sesión en ella. 

Y no olvide los ataques a sus proveedores de recursos, que pueden paralizarlos e impedirles entregar determinados recursos que necesita para sus propias operaciones. Debe estar preparado y contar con proveedores de respaldo disponibles que puedan suministrar esos recursos si su proveedor principal queda fuera de servicio por un ciberataque u otra causa.

La seguridad de la cadena de suministro es una cuestión compleja y exigente que implica múltiples actores, dependencias e interconexiones, y no puede lograrse de la noche a la mañana. 

Debe:

  • Establecer canales de comunicación claros y transparentes con sus proveedores y definir sus expectativas y obligaciones en materia de ciberseguridad. 
  • Realizar auditorías y evaluaciones periódicas de las prácticas de seguridad de sus proveedores y verificar que cumplen los requisitos de la directiva. 
  • Establecer planes de contingencia y soluciones de respaldo en caso de interrupción o compromiso de su cadena de suministro.

Además, debe empezar a interactuar con sus proveedores lo antes posible y trabajar conjuntamente con ellos para garantizar que su cadena de suministro sea segura y resiliente. 

Retos de seguridad de la cadena de suministro para NIS2

Estos son algunos de los posibles retos a los que puede enfrentarse al proteger su cadena de suministro:

  • Falta de visibilidad o transparencia sobre las prácticas, políticas o incidentes de seguridad de sus proveedores.
  • Falta de confianza o cooperación entre sus proveedores o entre usted y sus proveedores.
  • Falta de coherencia o alineación en los estándares, requisitos o expectativas de seguridad en toda su cadena de suministro.
  • Falta de recursos o capacidades para monitorizar, auditar o verificar el rendimiento o el cumplimiento en materia de seguridad de sus proveedores.
  • Falta de planes de contingencia o soluciones de respaldo para mitigar cualquier interrupción o compromiso de su cadena de suministro, o recuperarse de ellos.
  • Falta de información sobre lo que espera de las prácticas de seguridad de sus proveedores.

Soluciones de seguridad de la cadena de suministro para NIS2

Para superar estos retos de seguridad de la cadena de suministro, puede:

  • Establecer contratos o acuerdos claros con sus proveedores que especifiquen sus obligaciones, responsabilidades y responsabilidades legales en materia de seguridad.
  • Desarrollar criterios, directrices o marcos de seguridad comunes que se apliquen a todos los proveedores de su cadena de suministro y se ajusten a los requisitos de la directiva. 
  • Implementar controles, medidas o herramientas de seguridad que le permitan realizar el seguimiento, monitorizar o verificar las actividades, incidentes o estado de cumplimiento de seguridad de sus proveedores.
  • Crear equipos, comités o foros conjuntos de seguridad que faciliten el intercambio de información, la colaboración y la coordinación entre sus proveedores o entre usted y sus proveedores.
  • Generar confianza y entendimiento mutuo con sus proveedores mediante comunicación periódica, comentarios y reconocimiento.

Cuando haya completado sus auditorías de la Directiva NIS2, ¿qué viene ahora?

Ahora que ha determinado cuál es su situación actual con respecto a la Directiva NIS2, es el momento de implementar cambios críticos para garantizar el cumplimiento antes de octubre de 2024. Estoy seguro de que abordar las brechas identificadas por sus auditorías requerirá todo el tiempo del que dispone —¡e incluso algo más!— antes de que la normativa se implemente oficialmente en su país.

Pero ¿cómo puede abordar estas brechas de forma sistemática y oportuna? Analizamos las tres áreas de cambios de seguridad que necesitará para NIS2 en nuestra próxima entrada del blog, donde examinaremos cómo:

  1. Informar a la dirección sobre sus brechas de ciberseguridad.
  2. Implementar correctamente nuevas medidas de seguridad organizativas y técnicas.
  3. Encontrar tiempo para formar a todos sus empleados.