Puntos Clave
- La aceptación de la dirección y el presupuesto son fundamentales para el cumplimiento de NIS2.
- El incumplimiento puede acarrear multas de hasta 10 millones de euros o el 2 % de los ingresos globales, mientras que el cumplimiento puede reducir los costes de las brechas, mejorar la reputación y requerir un aumento de hasta el 22 % del gasto en seguridad TIC.
- Las organizaciones deben desplegar controles organizativos y técnicos continuos, incluidas políticas basadas en riesgos, respuesta a incidentes, continuidad del negocio, MFA, cifrado, aplicación de parches y acceso de confianza cero, empezando ya en enero de 2024 para cumplir el plazo de octubre de 2024.
- La formación completa y continua para todos los empleados, incluida la dirección, es obligatoria, y realizar un seguimiento de la finalización de la concienciación sobre amenazas, la ciberhigiene y los procedimientos de notificación es esencial para cerrar la brecha del factor humano.
En una entrada de blog anterior, analicé las dos áreas principales que debe auditar antes de que la Directiva de Seguridad de las Redes y de la Información (NIS2) actualizada de la Unión Europea se ratifique como ley en octubre de 2024. En concreto, estas auditorías permitirían:
Identificar ya sus brechas respecto a los requisitos de la Directiva NIS2.
Revisar las deficiencias actuales de seguridad en su cadena de suministro.
Ahora que hemos descubierto estas deficiencias de seguridad, debemos corregirlas antes de que se agote el plazo en octubre de 2024.
Por eso, en esta entrada le explicaremos cómo resolver sus problemas de seguridad más débiles antes de que llegue la fecha límite de la Directiva NIS2, abordando estas tres áreas clave:
- Informar a la dirección sobre sus brechas de ciberseguridad
- Implementar correctamente nuevas medidas de seguridad organizativas y técnicas
- Encontrar tiempo para formar a todos sus empleados
1. Informe a la dirección sobre sus brechas y consiga presupuesto para subsanarlas
La Directiva NIS2 impone obligaciones importantes a las organizaciones incluidas en su ámbito de aplicación, lo que puede conllevar costes y recursos considerables. La Directiva también introduce multas y sanciones elevadas por incumplimiento, hasta un máximo de 10 millones de euros o el 2 % de los ingresos anuales globales de una organización (artículo 34).
Además, la nueva directiva puede ampliar la responsabilidad de las entidades a sus representantes individuales en determinadas situaciones. Asimismo, cuando se cumplan ciertas condiciones, las personas que ocupen puestos de dirección podrían ser suspendidas temporalmente (artículo 32-5b).
Por tanto, cumplir la Directiva NIS2 es una necesidad legal y una prioridad estratégica.
Para cumplirla, debe:
- Informar a la dirección sobre sus implicaciones y beneficios, y convencerla de que asigne presupuesto y recursos suficientes para implementar el cumplimiento.
- Presentar un caso de negocio claro que describa los riesgos del incumplimiento, las oportunidades del cumplimiento y el retorno de la inversión.
- Demostrar cómo el cumplimiento mejorará la reputación, la fiabilidad, la competitividad y la resiliencia de su organización.
Informar a la dirección y conseguir presupuesto es una tarea compleja que requiere un argumento persuasivo y basado en evidencias que demuestre el valor de la ciberseguridad para su organización.
Cuanto antes inicie este proceso, más tiempo tendrá para lograr la aceptación y el apoyo de la dirección.
Posibles beneficios empresariales de un caso de negocio para el cumplimiento de NIS2
Estos son algunos posibles beneficios que puede destacar en su caso de negocio:
- Reducir los costes operativos al evitar o minimizar las pérdidas derivadas de ciberataques, como tiempos de inactividad, filtraciones de datos, pagos de rescates, demandas, etc.
- Aumentar los ingresos atrayendo o reteniendo a clientes que valoran la seguridad, la privacidad, la calidad, etc.
- Mejorar la eficiencia optimizando procesos, mejorando el rendimiento, reduciendo errores, etc.
- Innovar adoptando nuevas tecnologías, desarrollando nuevos productos o servicios, creando nuevos mercados y mucho más.
- Cumplir otras normativas o estándares de ciberseguridad más allá de NIS2, como RGPD, ISO 27001, PCI DSS y otros, ya que los marcos globales suelen solaparse en gran medida con los requisitos de cumplimiento de NIS2.
Posibles fuentes de información para justificar su caso de negocio de cumplimiento de NIS2
Estas son algunas fuentes que puede utilizar para respaldar su caso de negocio:
- Estadísticas o datos que muestren la prevalencia, el impacto o el coste de los ciberataques en su sector o región.
- Casos prácticos o ejemplos que ilustren cómo otras organizaciones se han beneficiado de cumplir la Directiva NIS2 o normativas similares. Por ejemplo, el informe Enisa NIS Investments 2022 muestra que, para el 62 % de las organizaciones que implementaron la directiva NIS anterior, dichas implementaciones les ayudaron a detectar incidentes de seguridad; para el 21 %, ayudaron durante la recuperación de incidentes de seguridad.
- Testimonios o comentarios de clientes, socios, reguladores o expertos que avalen o recomienden cumplir la Directiva NIS2 o normativas similares.
- Referencias o indicadores que revelen el rendimiento o el progreso actual o previsto de su ciberseguridad en relación con la Directiva NIS2 o con sus competidores.
- Kit de herramientas de ciberestrategia de Ivanti 2023 para conseguir apoyo interno también es un recurso excelente que explica el tiempo hasta la funcionalidad y el coste, cómo una solución ayuda a defenderse frente a determinados tipos de ciberataques, y cómo reaccionar ante las objeciones habituales y superarlas.
Beneficios empresariales generales del cumplimiento de la Directiva NIS2
Algunos de los beneficios de cumplir la Directiva NIS2 incluyen:
- Reducir los costes operativos al evitar o minimizar las pérdidas derivadas de ciberataques, como tiempos de inactividad, filtraciones de datos, pagos de rescates, demandas, etc. Según un informe de IBM, el coste medio de una filtración de datos en 2022 fue de 4,82 millones de dólares estadounidenses para las organizaciones de infraestructuras críticas, y el tiempo medio para identificar y contener una brecha fue de 277 días. Si está tomando medidas para cumplir la Directiva NIS2, el tiempo medio dedicado a identificar y contener una brecha será mucho menor, y los costes del ataque serán inferiores.
- Aumentar los ingresos atrayendo o reteniendo a clientes que valoran la seguridad, la privacidad, la calidad y factores similares. Según una encuesta de PwC, el 87 % de los consumidores afirma que llevaría su negocio a otra parte si no confía en las prácticas de datos de una empresa, y el 71 % afirma que dejaría de utilizar los productos o servicios de una empresa si descubriera que comparte sus datos sin su permiso, algo que podría ocurrir con una fuga de datos.
- Mejorar la eficiencia optimizando procesos, mejorando el rendimiento, reduciendo errores, etc. Accenture ha constatado que las empresas que adoptan tecnologías de seguridad avanzadas pueden reducir el coste de la ciberdelincuencia hasta en un 48 %.
- Cumplir otras normativas o estándares que requieren ciberseguridad, como el RGPD, ISO 27001, PCI DSS u otros. Cisco señala que el 97 % de las organizaciones que cumplen el RGPD perciben beneficios como obtener una ventaja competitiva, lograr eficiencia operativa y reducir los retrasos en las ventas. Es probable que puedan conseguirse resultados similares cumpliendo NIS2.
En cuanto al presupuesto, la propuesta de directiva de la Comisión Europea (Anexo 7 - 1.4.3) menciona que, para las empresas incluidas en el ámbito de aplicación del marco NIS2, se estima que necesitarían un aumento máximo del 22 % de su gasto actual en seguridad TIC durante los primeros años posteriores a la introducción del marco NIS2.
Sin embargo, la propuesta también menciona que este aumento medio del gasto en seguridad TIC generaría un beneficio proporcionado de dichas inversiones, en particular gracias a una reducción considerable del coste de los incidentes de ciberseguridad.
2. Implemente correctamente nuevas medidas de seguridad organizativas y técnicas
Tras investigar las brechas y obtener presupuesto, llega el momento de cerrarlas. La Directiva NIS2 exige a las empresas implementar medidas organizativas y técnicas adecuadas para gestionar sus riesgos de ciberseguridad y garantizar un alto nivel de seguridad en sus redes y sistemas de información.
Estas medidas incluyen:
- Adoptar políticas y procedimientos para la gestión de riesgos, la respuesta a incidentes, la continuidad del negocio, la protección de datos, etc.
- Establecer funciones y responsabilidades para el gobierno, la supervisión, la coordinación y otras áreas de la ciberseguridad.
- Proporcionar programas de formación y concienciación para el personal, la dirección, los clientes, etc.
- Implementar una ciberhigiene básica como cifrado, autenticación multifactor (MFA), cortafuegos, software antivirus, aplicación de parches, acceso de confianza cero, etc.
- Realizar pruebas, monitorización, auditorías y otras medidas de forma periódica.
Implementar esas medidas organizativas y técnicas no es una tarea puntual ni estática. Requiere establecer un proceso continuo y dinámico que se adapte a la evolución de las amenazas, las tecnologías, las normativas y las necesidades empresariales.
Por tanto, para este proceso se aplica el mismo consejo que para los demás puntos que ya hemos tratado: cuanto antes empiece, más tiempo tendrá para implementar las medidas necesarias y garantizar su eficacia y eficiencia.
Recomendaría empezar la implementación al menos en enero de 2024, para estar preparado antes de las vacaciones de verano.
Próximos pasos para las implementaciones de la Directiva NIS2
Estos son algunos posibles pasos que puede dar para implementar medidas organizativas y técnicas:
- Desarrollar e implementar un proceso de gestión basado en riesgos que defina sus objetivos, alcance, funciones, responsabilidades, recursos, plazos y métricas para gestionar sus riesgos de ciberseguridad.
- Implementar una política de seguridad que establezca sus principios, directrices, estándares y procedimientos para garantizar la seguridad de su red y sus sistemas de información.
- Realizar evaluaciones de riesgos para identificar sus activos, amenazas, vulnerabilidades, impactos y probabilidades de ciberataques; y priorizar sus acciones en función de su apetito y tolerancia al riesgo.
- Implementar controles de seguridad que protejan su red y sus sistemas de información frente al acceso, uso, divulgación, modificación o destrucción no autorizados. Estos controles pueden clasificarse en tres categorías: preventivos (por ejemplo, cifrado); de detección (por ejemplo, monitorización) y correctivos (por ejemplo, copias de seguridad).
- Implementar un plan de respuesta a incidentes que defina sus procesos, funciones, responsabilidades, recursos, herramientas y canales de comunicación para responder a los ciberincidentes de forma eficaz y eficiente.
- Implementar un plan de continuidad del negocio que defina sus procesos, funciones, responsabilidades, recursos, herramientas y canales de comunicación para mantener o restaurar sus procesos de negocio críticos durante una interrupción o desastre relacionado con la ciberseguridad.
- Implementar un plan de revisión y mejora que defina sus procesos, funciones, responsabilidades, recursos, herramientas y canales de comunicación para evaluar, informar y mejorar periódicamente sus medidas de ciberseguridad.
- Implementar los controles técnicos para la gestión de activos y la ciberhigiene básica.
La referencia de la Directiva a la «ciberhigiene básica» es algo imprecisa en el artículo 21, por lo que profundizaremos en ello en otra entrada de blog. Por ahora, piense en medidas de seguridad básicas como:
- MFA.
- Aplicar parches a su sistema operativo y sus aplicaciones lo antes posible.
- Proteger las conexiones de red en redes públicas.
- Cifrar todas las unidades (especialmente las extraíbles).
- Gestionar privilegios y formar a todos los empleados.
- Suscribirse a canales que le proporcionen información sobre los últimos parches y prioridades, como los webinars de Patch Tuesday de Ivanti.
3. Corrija el eslabón más débil: encuentre tiempo para formar a todos los empleados
La Directiva NIS2 reconoce que los factores humanos son cruciales para la ciberseguridad y que los empleados suelen ser el eslabón más débil, además de la primera línea de defensa, a la hora de prevenir o detectar ciberataques.
La Directiva exige a las organizaciones proporcionar programas adecuados de formación y concienciación a sus empleados, usuarios de servicios digitales y otras partes interesadas sobre cuestiones de ciberseguridad.
Formar a todos sus empleados no es una tarea esporádica ni opcional. Requiere un programa periódico y completo que cubra temas como:
- Conceptos y terminología básicos de ciberseguridad.
- Ciberamenazas y vectores de ataque habituales.
- Buenas prácticas y consejos de ciberhigiene.
- Políticas y procedimientos de ciberseguridad, relevantes y simplificados para los usuarios finales.
- La función y las responsabilidades de cada usuario en la ciberseguridad de la organización.
- Cómo notificar incidentes y responder ante ellos.
Es importante señalar que esta formación debe recibirla todo el mundo dentro de la empresa, no solo los empleados de TI. Incluso la dirección debería realizar esta formación.
Una encuesta realizada para Ivanti muestra que muchos empleados ni siquiera conocen la formación obligatoria en ciberseguridad. Solo el 27 % se siente «muy preparado» para reconocer y notificar amenazas como malware y phishing en el trabajo. El 6 % se siente «muy preparado» para reconocer y notificar amenazas como malware y phishing en el trabajo.
En el informe Enisa NIS Investments 2022, Enisa menciona que el 40 % de los OES (operadores de servicios esenciales) encuestados no cuenta con ningún programa de concienciación en seguridad para el personal ajeno a TI.
Es importante supervisar quién no ha recibido aún la formación y actuar al respecto. Formar a todos sus empleados no solo es beneficioso para el cumplimiento, sino también para la productividad, la calidad, la innovación y la satisfacción del cliente.
El mejor consejo sobre NIS2 que podemos ofrecerle
La Directiva NIS2 es una legislación histórica cuyo objetivo es reforzar la ciberseguridad de sectores críticos en la UE. Impone obligaciones importantes a las organizaciones incluidas en su ámbito de aplicación, junto con multas y sanciones elevadas por incumplimiento.
Cumplir la Directiva NIS2 es una tarea compleja. Exige un enfoque proactivo e integral que implique múltiples pasos, partes interesadas y recursos.
Cuanto antes empiece a prepararse, mejor preparado estará cuando entre en vigor en octubre de 2024.
¿El mejor consejo que podemos ofrecerle? No espere hasta entonces: empiece a prepararse para la Directiva NIS2 ahora.