Ley de seguridad de TI 2.0: los operadores de infraestructuras críticas (KRITIS) están legalmente obligados a tomar "precauciones organizativas y técnicas razonables" para prevenir ataques cibernéticos. Con la aprobación de la "Ley de seguridad de TI 2.0" (ITSiG 2.0) en la primavera de 2021, estas obligaciones se endurecieron nuevamente. A partir de mayo de 2023, los operadores de infraestructuras críticas deberán implantarlos y, sobre todo, disponer de “sistemas de detección de ataques”.
Sophos, como proveedor de servicios de respuesta APT (Advanced Persistent Threat) oficialmente calificado por BSI, ha creado un informe de solución para KRITIS que ayuda a las empresas y organizaciones a adaptar sus medidas de seguridad a tiempo de acuerdo con los nuevos requisitos.
144 millones de nuevos programas maliciosos en 2021
El foco de las actividades de los ciberdelincuentes está en empresas e instituciones públicas, principalmente para paralizar operaciones o robar dinero de chantajes. Los hechos muestran que la situación de riesgo es tensa: según BSI, en 2021 se identificaron alrededor de 144 millones de nuevos programas de malware. Alrededor del 25 por ciento de las empresas y organizaciones afectadas vieron los ataques como una amenaza grave o existencial.
Este riesgo potencial es aún más grave cuando las infraestructuras críticas son el objetivo de los ciberdelincuentes, por ejemplo en el sector de la salud, en las áreas de suministro de energía y agua o en el suministro de alimentos. Por ello, los operadores de infraestructuras críticas (KRITIS) están legalmente obligados a tomar "precauciones organizativas y técnicas razonables" para prevenir ciberataques. Con la aprobación de la Ley de Seguridad de TI 2.0 en la primavera de 2021, estas obligaciones se endurecieron nuevamente. A partir de mayo de 2023, los operadores de infraestructuras críticas deberán implantarlos y, sobre todo, disponer de “sistemas de detección de ataques”.
Nuevas ediciones pero pocas recomendaciones concretas para la acción
Como en el pasado, las autoridades que exigen seguridad en KRITIS también tienen ideas precisas sobre cómo se sancionarán las infracciones y se sancionará con la nueva edición del reglamento. Sin embargo, dan a las empresas y organizaciones una gran libertad para implementar la seguridad de TI. Justificación: las recomendaciones concretas para la acción podrían obstaculizar la innovación progresiva en el campo de la tecnología de la información y provocar que las obligaciones legales vuelvan a quedar obsoletas rápidamente con la aparición de nuevas tecnologías. Desde el punto de vista de los órganos de control, este enfoque es comprensible, pero no ayuda a las empresas en la implementación concreta de la Ley de Seguridad Informática 2.0.
Enfoque de solución de seguridad para KRITIS
Como proveedor de servicios de respuesta APT (Advanced Persistent Threat) calificado oficialmente por la BSI creó un informe de solución para KRITIS que ayuda a las empresas y organizaciones a ajustar sus medidas de seguridad a tiempo de acuerdo con los nuevos requisitos. Para determinar las medidas necesarias con más detalle, las empresas y organizaciones de KRITIS pueden utilizar dos puntos de referencia: los "estándares de seguridad específicos de la industria" que fueron desarrollados por las asociaciones industriales individuales de los sectores en cuestión, y las directrices actuales de la BSI.
Si bien los estándares de seguridad específicos de la industria solo se aplican al sector respectivo, el folleto de BSI ofrece requisitos generales que se aplican a todos los sectores e industrias. En este catálogo de requisitos, la BSI define 100 temas relevantes y explica las respectivas precauciones de seguridad.
Catálogo de requisitos de la BSI
En el Resumen de la solución, Sophos describe qué temas del catálogo de requisitos de BSI se pueden abordar con qué componentes de seguridad para implementar las precauciones de seguridad requeridas, especialmente en relación con la nueva Ley de seguridad de TI 2.0 - ITSiG 2.0. Uno de los enfoques de las nuevas leyes es la detección de ataques. Las empresas y organizaciones de KRITIS deben poder comparar continuamente los datos procesados en TI con la información y los patrones técnicos para identificar posibles ataques. Para ello, los parámetros y características durante el funcionamiento deben registrarse de forma continua y automática y, sobre todo, evaluarse.
La sofisticación y el rápido desarrollo de los ciberdelincuentes requiere una combinación de seguridad automatizada enriquecida con inteligencia artificial y experiencia humana. Tanto la seguridad técnica como la humana deben unirse en un ecosistema para evitar amenazas y, sobre todo, para eliminar las interrupciones que se hayan producido lo antes posible.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.