<?xml version="1.0" encoding="utf-8"?><rss xmlns:atom="http://www.w3.org/2005/Atom" version="2.0"><channel><title>Ivanti Blog: Publicaciones de </title><description /><language>es</language><atom:link rel="self" href="https://www.ivanti.com/es/blog/authors/patrick-kaak/rss" /><link>https://www.ivanti.com/es/blog/authors/patrick-kaak</link><item><guid isPermaLink="false">11f97c04-7841-4c77-b468-b95d6b123b28</guid><link>https://www.ivanti.com/es/blog/modern-application-control-trusted-ownership-vs-allowlisting</link><atom:author><atom:name>Patrick Kaak</atom:name><atom:uri>https://www.ivanti.com/es/blog/authors/patrick-kaak</atom:uri></atom:author><category>Seguridad</category><title>Trusted Ownership: cómo Ivanti Application Control escala más allá de las listas de permitidos</title><description>&lt;p&gt;El control de aplicaciones es uno de esos temas de seguridad sobre los que muchas personas siguen teniendo ideas preconcebidas. Las listas de permitidos tradicionales parecen seguras, pero se convierten rápidamente en una carga de mantenimiento. Las listas de bloqueados resultan reactivas e incompletas. Y, aunque herramientas como Microsoft AppLocker llevaron a muchos a pensar que las listas de permitidos estrictas eran el estándar de referencia, los ataques modernos han demostrado lo contrario. Los atacantes recurren cada vez más a &lt;i&gt;herramientas legítimas y firmadas &lt;/i&gt;—utilizadas en el contexto incorrecto— para eludir por completo los controles basados en listas.&lt;/p&gt;

&lt;p&gt;Por eso, cuando las organizaciones evalúan &lt;a href="https://www.ivanti.com/es/products/application-control"&gt;Ivanti Application Control&lt;/a&gt; o &lt;a href="https://www.ivanti.com/es/products/app-control-and-privileged-management"&gt;Ivanti Neurons for App Control&lt;/a&gt; y se encuentran con Trusted Ownership, al principio puede parecerse a las listas de bloqueados porque permite bloqueos explícitos. En realidad, Trusted Ownership es un modelo de aplicación de políticas basado en la procedencia mucho más amplio y mucho más ligero desde el punto de vista operativo, que controla la ejecución en función del origen, no solo de la identidad.&lt;/p&gt;

&lt;p&gt;En lugar de gestionar listas cada vez más extensas, aplica la seguridad en función de quién ha colocado el software en el sistema, alineándose de forma clara con las prácticas modernas de distribución de software y los principios de zero trust. La mejor forma de entenderlo no es como otro mecanismo de listas, sino como un modelo de aplicación de políticas basado en la procedencia que controla la ejecución en función del origen, no solo de la identidad.&lt;/p&gt;

&lt;p&gt;Ese cambio de enfoque conduce a una pregunta más adecuada para el control de aplicaciones moderno: no solo qué &lt;i&gt;es&lt;/i&gt; un archivo, sino &lt;i&gt;cómo ha llegado hasta ahí.&lt;/i&gt;&lt;/p&gt;

&lt;h2&gt;Más allá de las listas: por qué el control de procedencia es ahora importante&lt;/h2&gt;

&lt;p&gt;La pregunta de cómo llegó un archivo al sistema está en el centro del control de procedencia. En lugar de confiar en los archivos basándose únicamente en el editor, la ruta o el hash, el control de procedencia evalúa el &lt;i&gt;origen y el proceso&lt;/i&gt; que los introdujeron. &lt;i&gt;¿Quién escribió el archivo en el disco? ¿A través de qué mecanismo? ¿La instalación siguió un flujo de trabajo de TI controlado?&lt;/i&gt; Esta evaluación desplaza el control de aplicaciones de la confianza en el objeto a la confianza en el proceso, creando un límite de seguridad mucho más sólido.&lt;/p&gt;

&lt;p&gt;En Ivanti Application Control, el control de procedencia se implementa como &lt;a href="https://help.ivanti.com/ap/help/en_US/am/2025/Content/Application_Manager/Trusted_Owners.htm" target="_blank"&gt;Trusted Ownership&lt;/a&gt;. Se permite cualquier archivo colocado por un propietario de confianza; todo lo introducido por un usuario se deniega de forma predeterminada. Esto se aplica de forma coherente a ejecutables, DLL, instaladores y scripts. Como identidades como SYSTEM, TrustedInstaller y Administrators son de confianza de forma predeterminada, el software entregado a través de canales de implementación estándar como MS Intune, MECM, Ivanti Endpoint Manager (EPM) u otras herramientas empresariales se ejecuta de inmediato sin mantenimiento de reglas ni excepciones.&lt;/p&gt;

&lt;p&gt;Esto marca una ruptura fundamental con las listas de permitidos clásicas. Las reglas de AppLocker dependen por completo de definiciones exactas de editor, ruta o hash. No evalúa el origen de la instalación ni confía automáticamente en sus mecanismos de implementación. El software entregado por Intune sigue requiriendo una regla de permiso preexistente, a menudo basada en valores predeterminados amplios que permiten los directorios Program Files o Windows.&lt;/p&gt;

&lt;p&gt;&lt;img alt="A flowchart illustrates an app provenance engine that allows trusted origins and blocks untrusted ones. On the left, a trusted IT admin provides a company app, which is allowed by the provenance engine and marked with a green check. On the right, a user tries to introduce an unknown executable (EXE), which is blocked by the provenance engine, marked with a red X. The blocked executable is shown again at the bottom with a cross mark. The diagram visually separates trusted, allowed content from untrusted, blocked content." src="https://static.ivanti.com/sites/marketing/media/images/blog/2026/02/actrustedownershipblog_image1.jpg"&gt;&lt;/p&gt;

&lt;p&gt;Esa distinción es importante porque los ataques modernos convierten cada vez más herramientas legítimas en armas en contextos inadecuados. El control de procedencia neutraliza gran parte de ese riesgo al exigir confianza en &lt;i&gt;cómo&lt;/i&gt; llega el software, no solo en &lt;i&gt;qué&lt;/i&gt; es. Se alinea con los principios de zero trust, reduce la exposición de la cadena de suministro y limita drásticamente, de forma predeterminada, las oportunidades de abuso mediante Living off the Land (LotL).&lt;/p&gt;

&lt;p&gt;Una vez que se comprende la importancia del origen, la siguiente pregunta es: ¿cómo se aplica a escala?&lt;/p&gt;

&lt;p&gt;La respuesta: aplicar la procedencia de forma coherente a todas las formas en que el software se ejecuta y se entrega.&lt;/p&gt;

&lt;h2&gt;Más allá de las listas de bloqueados: cobertura amplia diseñada para la implementación moderna de software&lt;/h2&gt;

&lt;p&gt;El control de procedencia desplaza la seguridad de las aplicaciones de la gestión de listas interminables a la validación del proceso por el que el software llega al sistema. Una vez adoptada esta perspectiva, queda claro que Trusted Ownership no es un enfoque de listas de bloqueados. Es un límite de confianza basado en el origen que se comporta de forma muy distinta a las listas de permitidos tradicionales.&lt;/p&gt;

&lt;p&gt;Un error habitual es pensar que Trusted Ownership se parece a las listas de bloqueados porque los administradores a veces añaden reglas de denegación específicas para herramientas conocidas de Windows. En la práctica, estas reglas de denegación son medidas de refuerzo defensivo frente a técnicas Living off the Land. Todo método serio de control de aplicaciones utiliza este tipo de restricciones específicas. El núcleo de Trusted Ownership es lo contrario de las listas de bloqueados. El software entregado mediante un proceso controlado y de confianza se permite de forma predeterminada, mientras que el contenido introducido por el usuario se deniega de forma predeterminada.&lt;/p&gt;

&lt;p&gt;&lt;object codetype="CMSInlineControl" type="Video"&gt;&lt;param name="platform" value="youtube"&gt;&lt;param name="lang" value="en"&gt;&lt;param name="id" value="cMWocpzF3Uo"&gt;&lt;param name="cms_type" value="video"&gt;&lt;/object&gt;&lt;/p&gt;

&lt;p&gt;Un diferenciador más importante es la cobertura. Muchas organizaciones que dependen de listas de permitidos clásicas acaban centrándose casi exclusivamente en archivos ejecutables. A menudo evitan aplicar el mismo cumplimiento a DLL, scripts y paquetes MSI porque estos tipos de archivo complican mucho más el mantenimiento de reglas. Esto crea brechas que los atacantes modernos explotan con frecuencia.&lt;/p&gt;

&lt;p&gt;Trusted Ownership evita estas brechas aplicando el mismo cumplimiento basado en el origen a toda la cadena de ejecución. Ejecutables, DLL, scripts, instaladores MSI y componentes relacionados se evalúan mediante el mismo modelo de confianza. Como la confianza viene determinada por quién introdujo el archivo, no hacen falta políticas independientes para cada tipo de archivo. Un script en la carpeta Descargas, una DLL creada en un directorio de compilación temporal o un EXE ejecutado desde un perfil de usuario reciben el mismo tratamiento de denegación predeterminada cuando se originan fuera de un proceso de instalación controlado.&lt;/p&gt;

&lt;p&gt;Este modelo de confianza también se alinea de forma natural con la manera en que las plataformas modernas de gestión de endpoints entregan software. Soluciones como Intune, MECM, Ivanti Neurons for MDM, &lt;a href="https://www.ivanti.com/es/products/endpoint-manager"&gt;Ivanti Endpoint Manager&lt;/a&gt; y sistemas similares suelen instalar aplicaciones utilizando la identidad SYSTEM u otra cuenta de servicio de confianza.&lt;/p&gt;

&lt;p&gt;Como estas identidades ya son propietarios de confianza, el software implementado a través de estos canales se ejecuta de inmediato sin crear reglas de permiso, mantener rutas de archivo ni actualizar políticas. Solo cuando se utilizan de forma intencionada cuentas de instalación alternativas, como agentes DevOps personalizados o instalaciones mediante scripts en contexto de usuario, es necesario identificar esa identidad como propietario de confianza.&lt;/p&gt;

&lt;p&gt;El resultado es un modelo con una cobertura amplia y coherente en todos los tipos de archivo relevantes. Funciona sin fisuras con las distribuciones modernas de software y evita la sobrecarga operativa asociada a las listas de permitidos clásicas, que se centran principalmente en archivos ejecutables.&lt;/p&gt;

&lt;p&gt;Trusted Ownership deposita la confianza no en objetos individuales, sino en los procesos controlados mediante los que se entrega el software, creando un enfoque más escalable y más seguro para el control de aplicaciones.&lt;/p&gt;

&lt;h2&gt;Dónde encaja WDAC (App Control for Business)&lt;/h2&gt;

&lt;p&gt;Microsoft mantiene dos tecnologías de control de aplicaciones: AppLocker y App Control for Business (anteriormente WDAC). Aunque ambas siguen existiendo, Microsoft es clara sobre sus funciones. AppLocker ayuda a impedir que los usuarios ejecuten aplicaciones no aprobadas, pero no cumple los criterios de mantenimiento de las características de seguridad modernas y, por tanto, se clasifica como un &lt;a href="https://learn.microsoft.com/en-us/windows/security/application-security/application-control/app-control-for-business/applocker/applocker-overview" rel="noopener" target="_blank"&gt;mecanismo de defensa en profundidad, no como un control de seguridad estratégico&lt;/a&gt;.&lt;/p&gt;

&lt;p&gt;La vía de futuro de Microsoft para el control de aplicaciones es App Control for Business, y la compañía indica explícitamente que AppLocker tiene las funciones completas y ya no está en desarrollo activo, más allá de las actualizaciones de seguridad esenciales. Esto significa que todas las nuevas capacidades se entregan solo en WDAC y no en AppLocker.&lt;/p&gt;

&lt;p&gt;App Control for Business introduce el concepto de &lt;i&gt;Managed Installer&lt;/i&gt;. Esto permite que Windows confíe automáticamente en las aplicaciones instaladas a través de plataformas de implementación designadas, como Intune o MECM. La confianza se deriva del canal de distribución y no de archivos individuales, lo que reduce significativamente el mantenimiento de reglas.&lt;/p&gt;

&lt;p&gt;Esto se alinea estrechamente con el modelo Trusted Ownership de Ivanti Application Control. Ambos enfoques confían en el software en función del proceso controlado que lo instaló, en lugar de basarse en atributos de archivo discretos. Sin embargo, Trusted Ownership aplica este concepto de una forma más sencilla y accesible desde el punto de vista operativo. Ivanti confía en identidades como SYSTEM y cuentas de servicio designadas sin requerir capas de políticas complejas, definiciones XML ni conocimientos profundos de WDAC.&lt;/p&gt;

&lt;p&gt;Ivanti escucha a muchas organizaciones que tienen dificultades para poner WDAC en funcionamiento. Las políticas de WDAC requieren un diseño cuidadoso, pruebas prolongadas en modo auditoría, gestión de excepciones de controladores y kernel, y mantenimiento continuo de varios conjuntos de políticas. &lt;a href="https://www.reddit.com/r/Intune/comments/16oov9d/is_anyone_actually_successfully_deploying_wdac_as/" rel="noopener" target="_blank"&gt;Esto suele llevar a las organizaciones a combinar WDAC con AppLocker&lt;/a&gt; para cubrir tanto el cumplimiento de bajo nivel como el control cotidiano del espacio de usuario, lo que termina generando sobrecarga administrativa.&lt;/p&gt;

&lt;p&gt;Ivanti Application Control ofrece una alternativa unificada. Mediante Trusted Ownership, Trusted Vendors y la validación de firmas digitales, proporciona un modelo de denegación predeterminada basado en la procedencia, con cobertura coherente en ejecutables, DLL, scripts y paquetes MSI.&lt;/p&gt;

&lt;p&gt;En lugar de mantener dos planos de control de Microsoft con ámbitos diferentes, las organizaciones gestionan una única política simplificada que aplica la confianza en función de cómo se introduce el software en el sistema. Esto proporciona muchos de los objetivos prácticos que los clientes intentan lograr con una implementación combinada de WDAC y AppLocker, pero con menor complejidad operativa y un único modelo de confianza cohesionado.&lt;/p&gt;

&lt;h2&gt;LOLBins y control a nivel de argumentos&lt;/h2&gt;

&lt;p&gt;Con una cobertura amplia ya establecida, la cuestión pasa a ser cómo gestionar las herramientas legítimas que ya están en todos los equipos y de las que los atacantes suelen abusar.&lt;/p&gt;

&lt;p&gt;Los atacantes modernos a menudo evitan utilizar malware tradicional y, en su lugar, recurren a las herramientas ya presentes en todos los dispositivos Windows. Estas herramientas Living off the Land (LOLBins) son legítimas y necesarias para las operaciones normales, lo que dificulta bloquearlas sin afectar a la productividad. Las listas de permitidos tradicionales tienen dificultades en este punto porque un bloqueo amplio interrumpe los flujos de trabajo, mientras que una permisividad amplia deja brechas peligrosas.&lt;/p&gt;

&lt;p&gt;Un modelo basado en la procedencia como Trusted Ownership cambia esta dinámica. Incluso si un atacante intenta utilizar una herramienta integrada, el contenido que trata de ejecutar normalmente no procede de un proceso de instalación de confianza. Como Ivanti evalúa el origen de ese contenido, la mayoría de los intentos de uso indebido fallan automáticamente. La herramienta puede ser legítima, pero el contenido que se le pide ejecutar no lo es, y Trusted Ownership lo detiene antes de que se ejecute.&lt;/p&gt;

&lt;p&gt;También es importante entender no solo qué herramientas se ejecutan, sino qué se les pide que hagan. Muchos intérpretes y entornos de ejecución, como PowerShell, Python o Java, pueden ser perfectamente seguros en un contexto y arriesgados en otro. Una aplicación empresarial puede depender de Java para iniciar un proceso específico y aprobado, mientras que un archivo JAR descargado por un usuario es un escenario totalmente distinto.&lt;/p&gt;

&lt;p&gt;&lt;img alt="A diagram explains how PowerShell scripts are evaluated in two security layers: Ownership and Intent. The first layer uses a trusted ownership check to block malicious scripts, while allowing approved commands using argument-level control. The second layer, focused on intent, uses policy enforcement to block malicious activity while allowing legitimate processes to run. Icons represent scripts, commands, and shield checks, with arrows showing allowed and blocked paths." src="https://static.ivanti.com/sites/marketing/media/images/blog/2026/02/actrustedownershipblog_image2.jpg"&gt;&lt;/p&gt;

&lt;p&gt;Ivanti aborda esto mediante un enfoque por capas. Un archivo JAR se evalúa primero con Trusted Ownership, que lo bloquea de inmediato si lo introdujo un usuario y no un proceso de implementación controlado. Además, los administradores pueden crear reglas de permiso sencillas que especifiquen exactamente qué comandos de Java están permitidos, garantizando que solo se ejecuten aplicaciones legítimas basadas en Java, mientras que los intentos de iniciar archivos JAR no aprobados se deniegan de forma silenciosa.&lt;/p&gt;

&lt;p&gt;El mismo principio se aplica también a otras herramientas. Las políticas pueden aprobar el comportamiento exacto que necesita su organización y bloquear las actividades que quedan fuera de esos límites. Esto evita reglas amplias y frágiles, y mantiene el trabajo diario funcionando sin interrupciones.&lt;/p&gt;

&lt;p&gt;El resultado es un enfoque equilibrado y moderno. Trusted Ownership detiene por defecto el contenido que no es de confianza. El refuerzo específico se alinea con las mejores prácticas gubernamentales y de la comunidad para reducir el abuso de técnicas Living off the Land, y los controles sensibles a la intención garantizan que los procesos legítimos sigan funcionando sin abrir puertas a los atacantes.&lt;/p&gt;

&lt;p&gt;Este enfoque se alinea estrechamente con las guías actuales de la comunidad y de organismos públicos sobre la mitigación de técnicas Living off the Land. Agencias como CISA, NSA, FBI y el &lt;a href="https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/identifying-and-mitigating-living-off-the-land-techniques#best-practice-recommendations" rel="noopener" target="_blank"&gt;Australian Cyber Security Centre&lt;/a&gt; hacen hincapié en reducir las oportunidades de los atacantes para utilizar herramientas integradas, controlando cómo se usan y restringiendo el contenido no confiable sobre el que actúan. Sus guías conjuntas destacan que los ataques LOTL dependen del abuso de herramientas nativas e insisten en la necesidad de controles que limiten ese uso indebido sin bloquear procesos legítimos del sistema.&lt;/p&gt;

&lt;p&gt;El modelo de Ivanti refleja estas guías. Trusted Ownership bloquea automáticamente el contenido no confiable del que dependen los atacantes, mientras que un pequeño número de restricciones específicas aborda el reducido conjunto de herramientas que requieren atención adicional.&lt;/p&gt;

&lt;h2&gt;Trusted Ownership en acción: escenarios reales&lt;/h2&gt;

&lt;p&gt;&lt;b&gt;Estos son algunos ejemplos operativos de cómo funcionan Ivanti Application Control y Trusted Ownership en la práctica.&lt;/b&gt;&lt;/p&gt;

&lt;ol&gt;
	&lt;li&gt;Se copia una aplicación portátil en el perfil de usuario. Ivanti la bloquea porque es propiedad del usuario. AppLocker solo la bloquea si existen reglas coincidentes. Sin las reglas de ruta o editor adecuadas, el comportamiento puede variar.&lt;/li&gt;
	&lt;li&gt;Un adjunto de correo electrónico inicia un script de PowerShell desde Descargas. Ivanti lo deniega debido a la propiedad del usuario. AppLocker depende de las reglas de script y, en eventos de bloqueo, fuerza PowerShell al modo Constrained Language Mode, que seguirá ejecutando el script.&lt;/li&gt;
	&lt;li&gt;Abuso de herramientas del sistema operativo como rundll32 o mshta. Ambos modelos necesitan refuerzo de denegación específico. Ivanti lo combina con el control de procedencia, que por lo general reduce el número de excepciones necesarias. AppLocker depende de conjuntos de denegación seleccionados y requiere ajustes periódicos.&lt;/li&gt;
	&lt;li&gt;Una actualización de proveedor entrega nuevos archivos firmados. Ivanti permite la actualización cuando llega a través del canal de implementación de confianza gracias a Trusted Ownership. AppLocker puede adaptarse a esto con reglas de editor, pero la reutilización de firmas en varios productos o las rutas de instalación poco habituales suelen generar mantenimiento adicional y una confianza más amplia de lo previsto.&lt;/li&gt;
	&lt;li&gt;Un usuario descarga un JAR e intenta ejecutarlo con Java. Ivanti bloquea el intento porque el JAR ha sido introducido por el usuario y no supera Trusted Ownership. Si es necesario, los administradores pueden permitir solo la invocación aprobada exacta haciendo coincidir la línea de comandos completa. AppLocker no puede comparar argumentos y depende de reglas de editor, ruta o hash.&lt;/li&gt;
&lt;/ol&gt;

&lt;h2&gt;Conclusión&lt;/h2&gt;

&lt;p&gt;El control de procedencia desplaza el control de aplicaciones de un problema de gestión a un modelo de confianza. En lugar de confiar en archivos individuales, confía en el proceso por el que el software llega a un sistema, lo que hace que la seguridad sea escalable y viable.&lt;/p&gt;

&lt;p&gt;Trusted Ownership encaja plenamente en este enfoque. No es una lista de bloqueados ni una lista de permitidos clásica, sino un modelo en el que el software que llega mediante un proceso de TI controlado se permite de forma predeterminada, mientras que todo lo que queda fuera de ese proceso se deniega de forma predeterminada. Al aplicar el control sobre el origen y la propiedad, en lugar de sobre archivos ad hoc, &lt;a href="https://www.ivanti.com/es/products/application-control"&gt;Ivanti Application Control&lt;/a&gt; e &lt;a href="https://www.ivanti.com/es/products/app-control-and-privileged-management"&gt;Ivanti Neurons for App Control&lt;/a&gt; se alinean mucho mejor con las técnicas de ataque modernas y con la distribución de software actual.&lt;/p&gt;

&lt;p&gt;Si se sigue tratando el control de aplicaciones como un ejercicio de gestión de listas, se notará la carga administrativa. Si se trata como un límite de confianza, se obtiene escalabilidad, seguridad y viabilidad operativa.&lt;/p&gt;
</description><pubDate>Wed, 25 Feb 2026 14:25:15 Z</pubDate></item><item><guid isPermaLink="false">7d446af5-c5c9-4977-991a-a14941de6f54</guid><link>https://www.ivanti.com/es/blog/5-reasons-why-nis2-directive-preparation-should-start-now-part-two-implementation-takes-time</link><atom:author><atom:name>Patrick Kaak</atom:name><atom:uri>https://www.ivanti.com/es/blog/authors/patrick-kaak</atom:uri></atom:author><category>Seguridad</category><title>5 razones por las que la preparación para la Directiva NIS2 debe empezar ya, segunda parte: la implementación lleva tiempo</title><description>&lt;p&gt;En una entrada de blog anterior, analicé las &lt;a href="https://www.ivanti.com/blog/5-reasons-why-nis2-directive-preparation-should-start-now-part-one-audits-take-time" target="_blank" rel="noopener"&gt;dos áreas principales que debe auditar&lt;/a&gt; antes de que la Directiva de Seguridad de las Redes y de la Información (NIS2) actualizada de la Unión Europea se ratifique como ley en octubre de 2024. En concreto, estas auditorías permitirían:&lt;/p&gt;&lt;p&gt;Identificar ya sus brechas respecto a los requisitos de la Directiva NIS2.&lt;/p&gt;&lt;p&gt;Revisar las deficiencias actuales de seguridad en su cadena de suministro.&lt;/p&gt;&lt;p&gt;Ahora que hemos descubierto estas deficiencias de seguridad, debemos corregirlas antes de que se agote el plazo en octubre de 2024.&lt;/p&gt;&lt;p&gt;Por eso, en esta entrada le explicaremos cómo resolver sus problemas de seguridad más débiles antes de que llegue la fecha límite de la Directiva NIS2, abordando estas tres áreas clave:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;&lt;a href="#one"&gt;Informar a la dirección sobre sus brechas de ciberseguridad&lt;/a&gt;&lt;/li&gt;&lt;li&gt;&lt;a href="#two"&gt;Implementar correctamente nuevas medidas de seguridad organizativas y técnicas&lt;/a&gt;&lt;/li&gt;&lt;li&gt;&lt;a href="#three"&gt;Encontrar tiempo para formar a todos sus empleados&lt;/a&gt;&lt;/li&gt;&lt;/ul&gt;&lt;h2&gt;1. Informe a la dirección sobre sus brechas y consiga presupuesto para subsanarlas&lt;/h2&gt;&lt;p&gt;La Directiva NIS2 &lt;a href="https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022L2555#d1e3312-80-1" rel="noopener" target="_blank"&gt;impone obligaciones importantes&lt;/a&gt; a las organizaciones incluidas en su ámbito de aplicación, lo que puede conllevar costes y recursos considerables. La Directiva también introduce multas y sanciones elevadas por incumplimiento, hasta un máximo de 10 millones de euros o el 2 % de los ingresos anuales globales de una organización (&lt;a href="https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022L2555#d1e4350-80-1" rel="noopener" target="_blank"&gt;artículo 34&lt;/a&gt;).&lt;/p&gt;&lt;p&gt;Además, la nueva directiva puede ampliar la responsabilidad de las entidades a sus representantes individuales en determinadas situaciones. Asimismo, cuando se cumplan ciertas condiciones, las personas que ocupen puestos de dirección podrían ser suspendidas temporalmente (&lt;a href="https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022L2555#d1e3949-80-1" rel="noopener" target="_blank"&gt;artículo 32-5b&lt;/a&gt;).&lt;/p&gt;&lt;p&gt;Por tanto, cumplir la Directiva NIS2 es una &lt;strong&gt;necesidad legal&lt;/strong&gt; y una &lt;strong&gt;prioridad estratégica&lt;/strong&gt;.&lt;/p&gt;&lt;p&gt;Para cumplirla, debe:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;&lt;strong&gt;Informar a la dirección &lt;/strong&gt;sobre sus implicaciones y beneficios, y convencerla de que asigne presupuesto y recursos suficientes para implementar el cumplimiento. &lt;/li&gt;&lt;li&gt;&lt;strong&gt;Presentar un caso de negocio claro&lt;/strong&gt; que describa los riesgos del incumplimiento, las oportunidades del cumplimiento y el retorno de la inversión.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Demostrar cómo el cumplimiento&lt;/strong&gt; mejorará la reputación, la fiabilidad, la competitividad y la resiliencia de su organización.&lt;/li&gt;&lt;/ul&gt;&lt;p&gt;Informar a la dirección y conseguir presupuesto es una tarea compleja que requiere un argumento persuasivo y basado en evidencias que demuestre el valor de la ciberseguridad para su organización.&lt;/p&gt;&lt;p&gt;Cuanto antes inicie este proceso, más tiempo tendrá para lograr la aceptación y el apoyo de la dirección. &lt;/p&gt;&lt;h3&gt;Posibles beneficios empresariales de un caso de negocio para el cumplimiento de NIS2&lt;/h3&gt;&lt;p&gt;Estos son algunos posibles beneficios que puede destacar en su caso de negocio:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;&lt;strong&gt;Reducir los costes operativos &lt;/strong&gt;al evitar o minimizar las pérdidas derivadas de ciberataques, como tiempos de inactividad, filtraciones de datos, pagos de rescates, demandas, etc.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Aumentar los ingresos&lt;/strong&gt; atrayendo o reteniendo a clientes que valoran la seguridad, la privacidad, la calidad, etc.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Mejorar la eficiencia&lt;/strong&gt; optimizando procesos, mejorando el rendimiento, reduciendo errores, etc.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Innovar&lt;/strong&gt; adoptando nuevas tecnologías, desarrollando nuevos productos o servicios, creando nuevos mercados y mucho más.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Cumplir otras normativas o estándares de ciberseguridad más allá de NIS2&lt;/strong&gt;, como &lt;a href="https://commission.europa.eu/law/law-topic/data-protection/data-protection-eu_en" rel="noopener" target="_blank"&gt;RGPD&lt;/a&gt;, &lt;a href="https://www.iso.org/standard/27001" rel="noopener" target="_blank"&gt;ISO 27001&lt;/a&gt;, &lt;a href="https://listings.pcisecuritystandards.org/documents/PCI_DSS-QRG-v3_2_1.pdf" rel="noopener" target="_blank"&gt;PCI DSS&lt;/a&gt; y otros, ya que los marcos globales suelen solaparse en gran medida con los requisitos de cumplimiento de NIS2. &lt;/li&gt;&lt;/ul&gt;&lt;h3&gt;Posibles fuentes de información para justificar su caso de negocio de cumplimiento de NIS2&lt;/h3&gt;&lt;p&gt;Estas son algunas fuentes que puede utilizar para respaldar su caso de negocio:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;&lt;strong&gt;Estadísticas o datos&lt;/strong&gt; que muestren la prevalencia, el impacto o el coste de los ciberataques en su sector o región.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Casos prácticos o ejemplos&lt;/strong&gt; que ilustren cómo otras organizaciones se han beneficiado de cumplir la Directiva NIS2 o normativas similares. Por ejemplo, el informe Enisa NIS Investments 2022 muestra que, para el 62 % de las organizaciones que implementaron la directiva NIS anterior, dichas implementaciones les ayudaron a detectar incidentes de seguridad; para el 21 %, ayudaron durante la recuperación de incidentes de seguridad.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Testimonios o comentarios&lt;/strong&gt; de clientes, socios, reguladores o expertos que avalen o recomienden cumplir la Directiva NIS2 o normativas similares.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Referencias o indicadores&lt;/strong&gt; que revelen el rendimiento o el progreso actual o previsto de su ciberseguridad en relación con la Directiva NIS2 o con sus competidores.&lt;/li&gt;&lt;li&gt;&lt;a href="https://www.ivanti.com/es/resources/v/doc/ivi/2702/fa749d5d96a9" target="_blank"&gt;Kit de herramientas de ciberestrategia de Ivanti 2023 para conseguir apoyo interno&lt;/a&gt; también es un recurso excelente que explica el tiempo hasta la funcionalidad y el coste, cómo una solución ayuda a defenderse frente a determinados tipos de ciberataques, y cómo reaccionar ante las objeciones habituales y superarlas. &lt;/li&gt;&lt;/ul&gt;&lt;h3&gt;Beneficios empresariales generales del cumplimiento de la Directiva NIS2&lt;/h3&gt;&lt;p&gt;Algunos de los beneficios de cumplir la Directiva NIS2 incluyen:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;&lt;strong&gt;Reducir los costes operativos&lt;/strong&gt; al evitar o minimizar las pérdidas derivadas de ciberataques, como tiempos de inactividad, filtraciones de datos, pagos de rescates, demandas, etc. &lt;a href="https://www.ibm.com/reports/data-breach" rel="noopener" target="_blank"&gt;Según un informe de IBM&lt;/a&gt;, el coste medio de una filtración de datos en 2022 fue de 4,82 millones de dólares estadounidenses para las organizaciones de infraestructuras críticas, y el tiempo medio para identificar y contener una brecha fue de 277 días. Si está tomando medidas para cumplir la Directiva NIS2, el tiempo medio dedicado a identificar y contener una brecha será mucho menor, y los costes del ataque serán inferiores.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Aumentar los ingresos&lt;/strong&gt; atrayendo o reteniendo a clientes que valoran la seguridad, la privacidad, la calidad y factores similares. Según &lt;a href="https://www.fisglobal.com/-/media/fisglobal/worldpay/docs/insights/consumer-intelligence-series-protectme.pdf" rel="noopener" target="_blank"&gt;una encuesta de PwC&lt;/a&gt;, el 87 % de los consumidores afirma que llevaría su negocio a otra parte si no confía en las prácticas de datos de una empresa, y el 71 % afirma que dejaría de utilizar los productos o servicios de una empresa si descubriera que comparte sus datos sin su permiso, algo que podría ocurrir con una fuga de datos.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Mejorar la eficiencia&lt;/strong&gt; optimizando procesos, mejorando el rendimiento, reduciendo errores, etc. &lt;a href="https://www.accenture.com/us-en/insights/security/state-cybersecurity" rel="noopener" target="_blank"&gt;Accenture&lt;/a&gt; ha constatado que las empresas que adoptan tecnologías de seguridad avanzadas pueden reducir el coste de la ciberdelincuencia hasta en un 48 %.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Cumplir otras normativas o estándares&lt;/strong&gt; que requieren ciberseguridad, como el RGPD, ISO 27001, PCI DSS u otros. &lt;a href="https://www.cisco.com/c/dam/en_us/about/doing_business/trust-center/docs/dpbs-2019.pdf" rel="noopener" target="_blank"&gt;Cisco&lt;/a&gt; señala que el 97 % de las organizaciones que cumplen el RGPD perciben beneficios como obtener una ventaja competitiva, lograr eficiencia operativa y reducir los retrasos en las ventas. Es probable que puedan conseguirse resultados similares cumpliendo NIS2.&lt;/li&gt;&lt;/ul&gt;&lt;p&gt;En cuanto al presupuesto, la propuesta de directiva de la Comisión Europea (&lt;a href="https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12475-Cybersecurity-review-of-EU-rules-on-the-security-of-network-and-information-systems_en" rel="noopener" target="_blank"&gt;Anexo 7 - 1.4.3&lt;/a&gt;) menciona que, para las empresas incluidas en el ámbito de aplicación del marco NIS2, se estima que necesitarían un aumento máximo del 22 % de su gasto actual en seguridad TIC durante los primeros años posteriores a la introducción del marco NIS2. &lt;/p&gt;&lt;p&gt;Sin embargo, la propuesta también menciona que este aumento medio del gasto en seguridad TIC generaría un &lt;strong&gt;beneficio proporcionado &lt;/strong&gt;de dichas inversiones, en particular gracias a una reducción considerable del coste de los incidentes de ciberseguridad.&lt;/p&gt;&lt;h2 id="two"&gt;2. Implemente correctamente nuevas medidas de seguridad organizativas y técnicas &lt;/h2&gt;&lt;p&gt;Tras investigar las brechas y obtener presupuesto, llega el momento de cerrarlas. La Directiva NIS2 exige a las empresas implementar medidas organizativas y técnicas adecuadas para gestionar sus riesgos de ciberseguridad y garantizar un alto nivel de seguridad en sus redes y sistemas de información.&lt;/p&gt;&lt;p&gt;Estas medidas incluyen:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;&lt;strong&gt;Adoptar políticas y procedimientos&lt;/strong&gt; para la gestión de riesgos, la respuesta a incidentes, la continuidad del negocio, la protección de datos, etc.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Establecer funciones y responsabilidades&lt;/strong&gt; para el gobierno, la supervisión, la coordinación y otras áreas de la ciberseguridad.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Proporcionar programas de formación y concienciación&lt;/strong&gt; para el personal, la dirección, los clientes, etc.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Implementar una ciberhigiene básica&lt;/strong&gt; como cifrado, autenticación multifactor (MFA), cortafuegos, software antivirus, aplicación de parches, acceso de confianza cero, etc.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Realizar&lt;/strong&gt; pruebas, monitorización, auditorías y otras medidas de forma periódica.&lt;/li&gt;&lt;/ul&gt;&lt;p&gt;Implementar esas medidas organizativas y técnicas no es una tarea puntual ni estática. Requiere &lt;strong&gt;establecer un proceso continuo y dinámico&lt;/strong&gt; que se adapte a la evolución de las amenazas, las tecnologías, las normativas y las necesidades empresariales. &lt;/p&gt;&lt;p&gt;Por tanto, para este proceso se aplica el mismo consejo que para los demás puntos que ya hemos tratado: cuanto antes empiece, más tiempo tendrá para implementar las medidas necesarias y garantizar su eficacia y eficiencia. &lt;/p&gt;&lt;p&gt;Recomendaría empezar la implementación al menos en enero de 2024, para estar preparado antes de las vacaciones de verano.&lt;/p&gt;&lt;h3&gt;Próximos pasos para las implementaciones de la Directiva NIS2&lt;/h3&gt;&lt;p&gt;Estos son algunos posibles pasos que puede dar para implementar medidas organizativas y técnicas:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;&lt;strong&gt;Desarrollar e implementar &lt;/strong&gt;&lt;strong&gt;un proceso de gestión basado en riesgos&lt;/strong&gt; que defina sus objetivos, alcance, funciones, responsabilidades, recursos, plazos y métricas para gestionar sus riesgos de ciberseguridad.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Implementar una política de seguridad&lt;/strong&gt; que establezca sus principios, directrices, estándares y procedimientos para garantizar la seguridad de su red y sus sistemas de información.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Realizar evaluaciones de riesgos&lt;/strong&gt; para identificar sus activos, amenazas, vulnerabilidades, impactos y probabilidades de ciberataques; y priorizar sus acciones en función de su apetito y tolerancia al riesgo.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Implementar controles de seguridad&lt;/strong&gt; que protejan su red y sus sistemas de información frente al acceso, uso, divulgación, modificación o destrucción no autorizados. Estos controles pueden clasificarse en tres categorías: preventivos (por ejemplo, cifrado); de detección (por ejemplo, monitorización) y correctivos (por ejemplo, copias de seguridad).&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Implementar un &lt;/strong&gt;&lt;strong&gt;plan de respuesta a incidentes&lt;/strong&gt; que defina sus procesos, funciones, responsabilidades, recursos, herramientas y canales de comunicación para responder a los ciberincidentes de forma eficaz y eficiente.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Implementar un plan de continuidad del negocio&lt;/strong&gt; que defina sus procesos, funciones, responsabilidades, recursos, herramientas y canales de comunicación para mantener o restaurar sus procesos de negocio críticos durante una interrupción o desastre relacionado con la ciberseguridad.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Implementar un plan de revisión y mejora&lt;/strong&gt; que defina sus procesos, funciones, responsabilidades, recursos, herramientas y canales de comunicación para evaluar, informar y mejorar periódicamente sus medidas de ciberseguridad.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Implementar los controles técnicos&lt;/strong&gt; para la gestión de activos y la &lt;a href="https://www.ivanti.com/blog/cyber-hygiene-definition-and-best-practices" target="_blank" rel="noopener"&gt;&lt;strong&gt;ciberhigiene básica&lt;/strong&gt;&lt;/a&gt;.&lt;/li&gt;&lt;/ul&gt;&lt;p&gt;La referencia de la Directiva a la «ciberhigiene básica» es algo imprecisa en el &lt;a href="https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022L2555#d1e3337-80-1" rel="noopener" target="_blank"&gt;artículo 21&lt;/a&gt;, por lo que profundizaremos en ello en otra entrada de blog. Por ahora, piense en medidas de seguridad básicas como:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;MFA.&lt;/li&gt;&lt;li&gt;Aplicar parches a su sistema operativo y sus aplicaciones lo antes posible.&lt;/li&gt;&lt;li&gt;Proteger las conexiones de red en redes públicas.&lt;/li&gt;&lt;li&gt;Cifrar todas las unidades (especialmente las extraíbles).&lt;/li&gt;&lt;li&gt;Gestionar privilegios y formar a todos los empleados.&lt;/li&gt;&lt;li&gt;Suscribirse a canales que le proporcionen información sobre los últimos parches y prioridades, como los webinars de Patch Tuesday de Ivanti.&lt;/li&gt;&lt;/ul&gt;&lt;h2 id="three"&gt;3. Corrija el eslabón más débil: encuentre tiempo para formar a todos los empleados&lt;/h2&gt;&lt;p&gt;La Directiva NIS2 reconoce que los factores humanos son cruciales para la ciberseguridad y que los empleados suelen ser el &lt;strong&gt;eslabón más débil&lt;/strong&gt;, además de la primera línea de defensa, a la hora de prevenir o detectar ciberataques.&lt;/p&gt;&lt;p&gt;La Directiva exige a las organizaciones &lt;strong&gt;proporcionar programas adecuados de formación y concienciación&lt;/strong&gt; a sus empleados, usuarios de servicios digitales y otras partes interesadas sobre cuestiones de ciberseguridad.&lt;/p&gt;&lt;p&gt;Formar a todos sus empleados no es una tarea esporádica ni opcional. Requiere un programa periódico y completo que cubra temas como:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;Conceptos y terminología básicos de ciberseguridad.&lt;/li&gt;&lt;li&gt;Ciberamenazas y vectores de ataque habituales.&lt;/li&gt;&lt;li&gt;&lt;a href="https://www.ivanti.com/blog/cyber-hygiene-definition-and-best-practices" target="_blank" rel="noopener"&gt;Buenas prácticas y consejos de ciberhigiene&lt;/a&gt;.&lt;/li&gt;&lt;li&gt;Políticas y procedimientos de ciberseguridad, relevantes y simplificados para los usuarios finales.&lt;/li&gt;&lt;li&gt;La función y las responsabilidades de cada usuario en la ciberseguridad de la organización.&lt;/li&gt;&lt;li&gt;Cómo notificar incidentes y responder ante ellos. &lt;/li&gt;&lt;/ul&gt;&lt;p&gt;Es importante señalar que esta formación &lt;strong&gt;debe recibirla todo el mundo&lt;/strong&gt; dentro de la empresa, no solo los empleados de TI. Incluso la dirección debería realizar esta formación. &lt;/p&gt;&lt;p&gt;Una encuesta realizada para Ivanti muestra que muchos empleados ni siquiera conocen la formación obligatoria en ciberseguridad. Solo el 27 % se siente «muy preparado» para reconocer y notificar amenazas como malware y phishing en el trabajo. El 6 % se siente «muy preparado» para reconocer y notificar amenazas como malware y phishing en el trabajo.&lt;/p&gt;&lt;p&gt;En el &lt;a href="https://www.enisa.europa.eu/publications/nis-investments-2022" rel="noopener" target="_blank"&gt;informe Enisa NIS Investments 2022&lt;/a&gt;, Enisa menciona que el 40 % de los OES (operadores de servicios esenciales) encuestados no cuenta con ningún programa de concienciación en seguridad para el personal ajeno a TI. &lt;/p&gt;&lt;p&gt;Es importante supervisar quién no ha recibido aún la formación y actuar al respecto. Formar a todos sus empleados no solo es beneficioso para el cumplimiento, sino también para la productividad, la calidad, la innovación y la satisfacción del cliente. &lt;/p&gt;&lt;h2&gt;El mejor consejo sobre NIS2 que podemos ofrecerle&lt;/h2&gt;&lt;p&gt;La Directiva NIS2 es una legislación histórica cuyo objetivo es reforzar la ciberseguridad de sectores críticos en la UE. Impone obligaciones importantes a las organizaciones incluidas en su ámbito de aplicación, junto con multas y sanciones elevadas por incumplimiento.&lt;/p&gt;&lt;p&gt;Cumplir la Directiva NIS2 es una tarea compleja. Exige &lt;strong&gt;un enfoque proactivo e integral&lt;/strong&gt; que implique múltiples pasos, partes interesadas y recursos.&lt;/p&gt;&lt;p&gt;Cuanto antes empiece a prepararse, mejor preparado estará cuando entre en vigor en octubre de 2024.&lt;/p&gt;&lt;p&gt;¿El mejor consejo que podemos ofrecerle? &lt;strong&gt;No espere hasta entonces: empiece&lt;/strong&gt; a prepararse para la Directiva NIS2 ahora.&lt;/p&gt;&lt;p&gt;&lt;/p&gt;</description><pubDate>Mon, 28 Aug 2023 17:43:02 Z</pubDate></item><item><guid isPermaLink="false">01de4cc9-79a0-4225-bb1c-b1362852ab98</guid><link>https://www.ivanti.com/es/blog/5-reasons-why-nis2-directive-preparation-should-start-now-part-one-audits-take-time</link><atom:author><atom:name>Patrick Kaak</atom:name><atom:uri>https://www.ivanti.com/es/blog/authors/patrick-kaak</atom:uri></atom:author><category>Seguridad</category><title>5 razones por las que debe empezar ya a prepararse para la Directiva NIS2, primera parte: las auditorías llevan tiempo</title><description>&lt;p&gt;Probablemente haya oído hablar de la Directiva de Seguridad de las Redes y de la Información actualizada de la Unión Europea (NIS2). Esta directiva se transpondrá al ordenamiento jurídico en octubre de 2024. Conviene estar preparado, ya que el incumplimiento puede acarrear multas y sanciones elevadas.&amp;nbsp;&lt;/p&gt;&lt;p&gt;Pero quizá piense que octubre de 2024 queda lejos, ¿verdad?&amp;nbsp;Piénselo dos veces.&amp;nbsp;&lt;/p&gt;&lt;p&gt;Al fin y al cabo, ¿cómo puede saber si dispone de tiempo suficiente para prepararse&amp;nbsp;si no sabe en qué medida cumple actualmente&amp;nbsp;la normativa prevista?&lt;/p&gt;&lt;p&gt;Por tanto, de aquí a octubre de 2024 debe auditar su estado actual de ciberseguridad. En concreto:&lt;/p&gt;&lt;ol&gt;&lt;li&gt;&lt;a href="#one"&gt;Identificar las brechas en el cumplimiento de los requisitos de la Directiva NIS2, empezando ya&lt;/a&gt;&lt;/li&gt;&lt;li&gt;&lt;a href="#two"&gt;Revisar las deficiencias actuales de seguridad de su cadena de suministro&lt;/a&gt;&lt;/li&gt;&lt;/ol&gt;&lt;p&gt;En la segunda parte de esta serie, analizaré&amp;nbsp;&lt;em&gt;las &lt;a href="https://www.ivanti.com/blog/5-reasons-why-nis2-directive-preparation-should-start-now-part-two-implementation-takes-time" target="_blank" rel="noopener"&gt;tres áreas que deberá abordar para subsanar&amp;nbsp;las brechas que revelen sus auditorías&lt;/a&gt;&lt;/em&gt;&amp;nbsp;, incluyendo cómo:&lt;/p&gt;&lt;ol&gt;&lt;li&gt;Informar a la dirección sobre sus brechas de ciberseguridad.&lt;/li&gt;&lt;li&gt;Implementar correctamente nuevas medidas de seguridad organizativas y técnicas.&lt;/li&gt;&lt;li&gt;Encontrar tiempo para formar a todos sus empleados.&lt;/li&gt;&lt;/ol&gt;&lt;h2 id="one"&gt;1. Identificar las brechas en el cumplimiento de los requisitos de la Directiva NIS2, empezando ya&lt;/h2&gt;&lt;p&gt;La&amp;nbsp;&lt;a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022L2555" rel="noopener" target="_blank"&gt;Directiva NIS2&lt;/a&gt; es la legislación sobre ciberseguridad de ámbito europeo que proporciona medidas legales para elevar el nivel general de ciberseguridad en la UE. Moderniza el marco jurídico existente para adaptarse al aumento de la digitalización y a un panorama de amenazas de ciberseguridad en constante evolución.&amp;nbsp;&lt;/p&gt;&lt;p&gt;La directiva&amp;nbsp;&lt;a href="https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2021)689333" rel="noopener" target="_blank"&gt;amplía el alcance de las normas de ciberseguridad&lt;/a&gt;&amp;nbsp;a nuevos sectores y entidades, mejorando las capacidades de resiliencia y respuesta ante incidentes de entidades públicas y privadas, autoridades competentes y de toda la UE.&amp;nbsp;&lt;/p&gt;&lt;p&gt;La Directiva NIS2 establece medidas reforzadas de resiliencia frente a ciberataques para minimizar vulnerabilidades y mejorar la ciberdefensa.&amp;nbsp;&lt;/p&gt;&lt;p&gt;Para cumplir la Directiva NIS2, debe:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;&lt;strong&gt;Evaluar&amp;nbsp;&lt;/strong&gt;su postura de ciberseguridad&amp;nbsp;e identificar cualquier brecha o debilidad que pueda exponerle a riesgos cibernéticos.&amp;nbsp;&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Mapear&lt;/strong&gt;&amp;nbsp;sus políticas, procedimientos y controles existentes con los requisitos de la directiva y determinar dónde mejorarlos o actualizarlos.&amp;nbsp;&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Evaluar&lt;/strong&gt;&amp;nbsp;sus capacidades de respuesta ante incidentes y mecanismos de notificación, y asegurarse de que se ajustan a los estándares de la directiva.&amp;nbsp;&lt;/li&gt;&lt;/ul&gt;&lt;p&gt;Uno de los principales problemas de NIS2 es que indica qué se debe hacer, pero no cómo hacerlo. Afortunadamente, hay varios marcos que pueden ayudarle con el cómo, entre ellos:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;&lt;a href="https://www.nist.gov/cyberframework" rel="noopener" target="_blank"&gt;NIST CSF (Cybersecurity Framework)&lt;/a&gt;&lt;/li&gt;&lt;li&gt;Las normas&amp;nbsp;&lt;a href="https://www.iso.org/standard/27001" rel="noopener" target="_blank"&gt;ISO27001&lt;/a&gt;&amp;nbsp;e&amp;nbsp;&lt;a href="https://www.iso.org/standard/75652.html" rel="noopener" target="_blank"&gt;ISO27002&lt;/a&gt;&lt;/li&gt;&lt;li&gt;&lt;a href="https://www.cisecurity.org/controls" rel="noopener" target="_blank"&gt;Controles CIS&lt;/a&gt;&lt;/li&gt;&lt;li&gt;&lt;a href="https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards" rel="noopener" target="_blank"&gt;IEC 62443&lt;/a&gt;&lt;/li&gt;&lt;/ul&gt;&lt;p&gt;En Bélgica, el&amp;nbsp;&lt;a href="https://ccb.belgium.be/en/cyberfundamentals-framework" rel="noopener" target="_blank"&gt;CCB ha creado un marco Cyberfundamentals&lt;/a&gt;&amp;nbsp;basado en varios marcos, con referencias a cómo se relacionan las distintas partes de los marcos con el RGPD y NIS2.&lt;/p&gt;&lt;p&gt;Una vez seleccionado el marco,&amp;nbsp;&lt;strong&gt;debe identificar las brechas&lt;/strong&gt;&amp;nbsp;en relación con el marco elegido y los requisitos de la directiva. Identificar brechas no es una tarea sencilla ni rápida; requiere un análisis exhaustivo y sistemático de la madurez y preparación en ciberseguridad de su organización.&amp;nbsp;&lt;/p&gt;&lt;p&gt;No solo debe revisar su estrategia y sus políticas de ciberseguridad, sino también realizar un análisis de riesgos para identificar los activos más críticos y los riesgos de ciberseguridad que presentan; después, considerar controles de seguridad para reducir la puntuación de riesgo de esos activos esenciales.&amp;nbsp;&lt;/p&gt;&lt;p&gt;&lt;strong&gt;Cuanto antes inicie este proceso, más tiempo tendrá&lt;/strong&gt;&amp;nbsp;para obtener el presupuesto necesario para abordar cualquier problema e implementar los cambios que sean necesarios.&amp;nbsp;&lt;/p&gt;&lt;h3&gt;Posibles brechas del entorno NIS2&lt;/h3&gt;&lt;p&gt;Algunas de las posibles brechas que puede encontrar en su entorno son:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;&lt;strong&gt;Falta de una estrategia o política integral de ciberseguridad&lt;/strong&gt;&amp;nbsp;que cubra todos los aspectos de la gestión de riesgos, la respuesta ante incidentes, la continuidad del negocio, la protección de datos, etc.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Falta de un equipo o función de ciberseguridad dedicado&lt;/strong&gt;&amp;nbsp;que supervise, coordine y monitorice todas las actividades e iniciativas de ciberseguridad en toda la organización.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Falta de controles o medidas de seguridad adecuados&lt;/strong&gt;&amp;nbsp;para proteger sus sistemas de red e información frente al acceso, uso, divulgación, modificación o destrucción no autorizados.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Falta de pruebas o auditorías periódicas&lt;/strong&gt;&amp;nbsp;de sus controles o medidas de seguridad para garantizar su eficacia y el cumplimiento de los requisitos de la directiva.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Falta de programas adecuados de formación o concienciación&lt;/strong&gt;&amp;nbsp;para su personal, la dirección, otros empleados u otras partes interesadas sobre cuestiones y buenas prácticas de ciberseguridad.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Falta de canales claros de comunicación o notificación&lt;/strong&gt;&amp;nbsp;para informar a las autoridades o partes pertinentes de cualquier incidente o brecha que afecte a sus servicios.&lt;/li&gt;&lt;/ul&gt;&lt;h3&gt;Posibles soluciones de seguridad para que su entorno cumpla NIS2&lt;/h3&gt;&lt;p&gt;Para identificar y corregir estas brechas de seguridad, puede:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;&lt;strong&gt;Utilizar marcos o modelos de análisis de brechas&lt;/strong&gt;&amp;nbsp;que le ayuden a comparar su estado actual con el estado deseado e identificar áreas de mejora.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Implementar modelos o estándares de madurez en ciberseguridad&lt;/strong&gt;&amp;nbsp;que le ayuden a medir su nivel de rendimiento y progreso en ciberseguridad.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Realizar una evaluación de riesgos&lt;/strong&gt;&amp;nbsp;para identificar sus activos, amenazas, vulnerabilidades, impactos y probabilidades de ciberataques.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Solicitar auditorías o evaluaciones externas&lt;/strong&gt;&amp;nbsp;que le ayuden a validar su estado de cumplimiento e identificar cualquier debilidad o deficiencia.&lt;/li&gt;&lt;/ul&gt;&lt;h2 id="two"&gt;2. Revisar las deficiencias actuales de seguridad de la cadena de suministro con tiempo suficiente para coordinar acciones con los proveedores&lt;/h2&gt;&lt;p&gt;La Directiva NIS2 también&amp;nbsp;introduce nuevas disposiciones sobre la seguridad de la cadena de suministro&amp;nbsp;(&lt;a href="https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022L2555#d1e40-80-1" rel="noopener" target="_blank"&gt;capítulo 0, puntos 54 y 56&lt;/a&gt;), reconociendo que las ciberamenazas pueden proceder de proveedores externos o subcontratistas.&amp;nbsp;&lt;/p&gt;&lt;p&gt;La directiva&amp;nbsp;exige a las organizaciones que garanticen que sus proveedores sigan&amp;nbsp;estándares y prácticas de seguridad adecuados&amp;nbsp;(&lt;a href="https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022L2555#d1e3337-80-1" rel="noopener" target="_blank"&gt;artículo 21-2d&lt;/a&gt;) y que monitoricen periódicamente su rendimiento y cumplimiento (&lt;a href="https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022L2555#d1e3337-80-1" rel="noopener" target="_blank"&gt;artículo 21–3&lt;/a&gt;).&amp;nbsp;&lt;/p&gt;&lt;p&gt;No es casualidad.&amp;nbsp;&lt;strong&gt;Los ataques a la cadena de suministro van en aumento&lt;/strong&gt;:&lt;/p&gt;&lt;p&gt;En una&amp;nbsp;&lt;a href="https://www.blackberry.com/us/en/company/newsroom/press-releases/2022/blackberry-commissioned-research-reveals-four-in-five-software-supply-chains-exposed-to-cyberattack-in-the-last-12-months" rel="noopener" target="_blank"&gt;investigación de BlackBerry&lt;/a&gt;&amp;nbsp;realizada en 2022 con más de 1500 responsables de TI, cuatro de cada cinco encuestados afirmaron haber recibido notificación de un ataque o una vulnerabilidad en su cadena de suministro durante el año. El 77 % afirmó haber descubierto participantes ocultos en su cadena de suministro de software de los que no tenía conocimiento previamente.&amp;nbsp;&lt;/p&gt;&lt;p&gt;&lt;a href="https://www.accenture.com/_acnmedia/PDF-116/Accenture-Cybersecurity-Report-2020.pd" rel="noopener" target="_blank"&gt;Una investigación de Accenture&lt;/a&gt;&amp;nbsp;también revela que el 40 % de las brechas de seguridad son indirectas y se producen a través de la cadena de suministro.&lt;/p&gt;&lt;p&gt;Por tanto,&amp;nbsp;&lt;strong&gt;proteger su cadena de suministro es esencial&lt;/strong&gt;&amp;nbsp;para garantizar la continuidad del negocio, la resiliencia, la reputación y la confianza.&lt;/p&gt;&lt;p&gt;Pero en&amp;nbsp;&lt;a href="/es/resources/v/doc/ivi/2732/7b4205775465" target="_blank"&gt;&lt;em&gt;Press Reset: informe sobre el estado de la ciberseguridad en 2023&lt;/em&gt;&lt;/a&gt; de Ivanti,&amp;nbsp;constatamos que&amp;nbsp;solo el 42 %&amp;nbsp;de los más de 1300 directivos y profesionales de seguridad encuestados afirmaron estar preparados para protegerse frente a las amenazas de la cadena de suministro, aunque el 46 % las considera una amenaza de alto nivel.&amp;nbsp;&lt;/p&gt;&lt;p&gt;Las amenazas de la cadena de suministro no solo proceden de ataques&amp;nbsp;a proveedores de soluciones como&amp;nbsp;&lt;a href="https://www.theverge.com/2022/3/22/22990637/okta-breach-single-sign-on-lapsus-hacker-group" rel="noopener" target="_blank"&gt;Okta&lt;/a&gt;,&amp;nbsp;&lt;a href="https://techcrunch.com/2021/07/05/kaseya-hack-flood-ransomware/" rel="noopener" target="_blank"&gt;Kaseya&lt;/a&gt;&amp;nbsp;o&amp;nbsp;&lt;a href="https://www.techtarget.com/whatis/feature/SolarWinds-hack-explained-Everything-you-need-to-know" rel="noopener" target="_blank"&gt;SolarWinds&lt;/a&gt;, sino también de socios conectados directamente a su infraestructura de TI o que pueden iniciar sesión en ella.&amp;nbsp;&lt;/p&gt;&lt;p&gt;Y no olvide los ataques a sus proveedores de recursos, que pueden paralizarlos e impedirles entregar determinados recursos que necesita para sus propias operaciones. Debe estar preparado y&amp;nbsp;&lt;strong&gt;contar con proveedores de respaldo disponibles&lt;/strong&gt;&amp;nbsp;que puedan suministrar esos recursos si su proveedor principal queda fuera de servicio por un ciberataque u otra causa.&lt;/p&gt;&lt;p&gt;La seguridad de la cadena de suministro es una cuestión compleja y exigente que implica múltiples actores, dependencias e interconexiones, y no puede lograrse de la noche a la mañana.&amp;nbsp;&lt;/p&gt;&lt;p&gt;Debe:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;&lt;strong&gt;Establecer canales de comunicación claros y transparentes&lt;/strong&gt;&amp;nbsp;con sus proveedores y definir sus expectativas y obligaciones en materia de ciberseguridad.&amp;nbsp;&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Realizar auditorías y evaluaciones periódicas&lt;/strong&gt;&amp;nbsp;de las prácticas de seguridad de sus proveedores y verificar que cumplen los requisitos de la directiva.&amp;nbsp;&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Establecer planes de contingencia y soluciones de respaldo&lt;/strong&gt;&amp;nbsp;en caso de interrupción o compromiso de su cadena de suministro.&lt;/li&gt;&lt;/ul&gt;&lt;p&gt;Además, debe empezar a interactuar con sus proveedores&amp;nbsp;&lt;strong&gt;lo antes posible&lt;/strong&gt;&amp;nbsp;y trabajar conjuntamente con ellos para garantizar que su cadena de suministro sea segura y resiliente.&amp;nbsp;&lt;/p&gt;&lt;h3&gt;Retos de seguridad de la cadena de suministro para NIS2&lt;/h3&gt;&lt;p&gt;Estos son algunos de los posibles retos a los que puede enfrentarse al proteger su cadena de suministro:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;&lt;strong&gt;Falta de visibilidad o transparencia&lt;/strong&gt;&amp;nbsp;sobre las prácticas, políticas o incidentes de seguridad de sus proveedores.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Falta de confianza o cooperación&lt;/strong&gt;&amp;nbsp;entre sus proveedores o entre usted y sus proveedores.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Falta de coherencia o alineación&lt;/strong&gt;&amp;nbsp;en los estándares, requisitos o expectativas de seguridad en toda su cadena de suministro.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Falta de recursos o capacidades&lt;/strong&gt;&amp;nbsp;para monitorizar, auditar o verificar el rendimiento o el cumplimiento en materia de seguridad de sus proveedores.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Falta de planes de contingencia o soluciones de respaldo&lt;/strong&gt;&amp;nbsp;para mitigar cualquier interrupción o compromiso de su cadena de suministro, o recuperarse de ellos.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Falta de información&lt;/strong&gt;&amp;nbsp;sobre lo que espera de las prácticas de seguridad de sus proveedores.&lt;/li&gt;&lt;/ul&gt;&lt;h3&gt;Soluciones de seguridad de la cadena de suministro para NIS2&lt;/h3&gt;&lt;p&gt;Para superar estos retos de seguridad de la cadena de suministro, puede:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;&lt;strong&gt;Establecer contratos o acuerdos claros&lt;/strong&gt;&amp;nbsp;con sus proveedores que especifiquen sus obligaciones, responsabilidades y responsabilidades legales en materia de seguridad.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Desarrollar criterios, directrices o marcos de seguridad comunes&lt;/strong&gt;&amp;nbsp;que se apliquen a todos los proveedores de su cadena de suministro y se ajusten a los requisitos de la directiva.&amp;nbsp;&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Implementar controles, medidas o herramientas de seguridad&lt;/strong&gt;&amp;nbsp;que le permitan realizar el seguimiento, monitorizar o verificar las actividades, incidentes o estado de cumplimiento de seguridad de sus proveedores.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Crear equipos, comités o foros conjuntos de seguridad&lt;/strong&gt;&amp;nbsp;que faciliten el intercambio de información, la colaboración y la coordinación entre sus proveedores o entre usted y sus proveedores.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Generar confianza y entendimiento mutuo&lt;/strong&gt;&amp;nbsp;con sus proveedores mediante comunicación periódica, comentarios&amp;nbsp;y reconocimiento.&lt;/li&gt;&lt;/ul&gt;&lt;h2&gt;Cuando haya completado sus auditorías de la Directiva NIS2, ¿qué viene ahora?&lt;/h2&gt;&lt;p&gt;Ahora que ha determinado cuál es su situación actual con respecto a la Directiva NIS2, es el momento de implementar cambios críticos para garantizar el cumplimiento antes de octubre de 2024. Estoy seguro de que abordar las brechas identificadas por sus auditorías requerirá todo el tiempo del que dispone —¡e incluso algo más!— antes de que la normativa se implemente oficialmente en su país.&lt;/p&gt;&lt;p&gt;Pero ¿cómo puede abordar estas brechas de forma sistemática y oportuna? Analizamos&amp;nbsp;&lt;em&gt;las &lt;a href="https://www.ivanti.com/blog/5-reasons-why-nis2-directive-preparation-should-start-now-part-two-implementation-takes-time" target="_blank" rel="noopener"&gt;tres áreas de cambios de seguridad que necesitará para NIS2&lt;/a&gt;&lt;/em&gt; en nuestra próxima entrada del blog, donde examinaremos cómo:&lt;/p&gt;&lt;ol&gt;&lt;li&gt;Informar a la dirección sobre sus brechas de ciberseguridad.&lt;/li&gt;&lt;li&gt;Implementar correctamente nuevas medidas de seguridad organizativas y técnicas.&lt;/li&gt;&lt;li&gt;Encontrar tiempo para formar a todos sus empleados.&lt;/li&gt;&lt;/ol&gt;</description><pubDate>Mon, 28 Aug 2023 17:14:55 Z</pubDate></item></channel></rss>