Para lograr el cumplimiento de NIS2, la seguridad de la identidad juega un papel crucial. Con esto se pueden abordar cinco de los diez requisitos. Por lo tanto, la seguridad de la identidad también se menciona como una herramienta importante en las mejores prácticas establecidas por la UE. Punto de vela.
El 17 de octubre de 2024 es la fecha de entrada en vigor de la política NIS2. Si las empresas aún no han empezado a implementarlo, ahora es el momento.
Análisis de riesgos y seguridad para sistemas de información.
El concepto de seguridad para los sistemas de información debe contener reglas para las identidades, tales como
- el uso de cuentas nombradas en contraposición a cuentas generales;
- controlar cuentas privilegiadas;
- la aplicación de los principios de privilegio mínimo y confianza cero;
- Identificar proactivamente a personas con acceso riesgoso que representan una amenaza para la organización.
La segregación de funciones (SOD) también juega un papel importante en el control y prevención de riesgos comerciales. La eficacia de estas normas debe medirse en términos de reducción de riesgos. La seguridad de la identidad proporciona información sobre la realidad del acceso a TI y las herramientas para detectar y corregir desviaciones de políticas.
Seguridad de la cadena de suministro
Otro aspecto importante de NIS2 es la seguridad de la cadena de suministro. Las empresas se ven cada vez más amenazadas indirectamente por ataques a las identidades de personas que no son empleados, como proveedores, vendedores, socios, contratistas y otros. Un ataque exitoso a un proveedor puede resultar en que la propia empresa se vea comprometida y, en algunos casos, ya no pueda actuar. Este tipo de ataque a la cadena de suministro se está volviendo más común que los ataques de malware o ransomware y debe tomarse muy en serio. Es fundamental gestionar y proteger todas las identidades, incluidas las de los proveedores de servicios, consultores o socios. Siempre es importante asegurarse de tener acceso solo a los recursos que necesita en el momento adecuado.
Efectividad de las medidas de gestión de riesgos
Las organizaciones suelen tener dificultades para evaluar la eficacia de sus medidas de seguridad o identificar vulnerabilidades que persisten a pesar de estas medidas. A muchas personas les resulta difícil revocar inmediatamente el acceso a sus empleados cuando cambian de puesto o abandonan la empresa. La Comisión Europea recomienda que los operadores de infraestructuras críticas implementen estrategias de confianza cero y gestión de identidades y accesos. Estos enfoques implican que las partes autorizadas sólo tengan acceso a los sistemas más necesarios y con los derechos más bajos posibles. Esto puede ser esencial para gestionar el acceso de socios y contratistas.
Ciberhigiene básica
Para garantizar una higiene cibernética sólida, las empresas deben tener una visión general de todo su hardware y software, y de quién puede acceder a él. Esto también incluye la higiene de las contraseñas. Para evitar que los empleados utilicen la misma contraseña para todas las cuentas, las empresas pueden confiar en el control de identidad: esto garantiza el acceso automatizado a un entorno de TI en constante crecimiento y cambio, al tiempo que reduce los posibles riesgos de seguridad y cumplimiento.
La política NIS2 también exige que los empleados, socios y todas las personas dentro de la empresa estén formadas y sensibilizadas en materia de ciberseguridad. Según un informe de IDC sobre la implementación de NIS2, tres cuartas partes de las empresas europeas (72 por ciento) todavía necesitan trabajar para ofrecer formación en ciberseguridad.
Control de acceso y gestión de activos.
La directriz NIS2 también hace referencia a la “seguridad del personal”. Esta es un área muy amplia, pero también muestra que la gestión de usuarios es un aspecto importante de la ciberseguridad. Un método central para los ciberdelincuentes es atacar a los usuarios: el control de acceso basado en roles (de identidades humanas y de máquinas) utiliza diferentes recursos y niveles de autorización para el rol del usuario respectivo. Esto permite a las empresas adoptar un enfoque de gobernanza de la identidad en el que las políticas se desarrollan e implementan de forma proactiva utilizando IA y ML. Al mismo tiempo, también se puede incluir el contexto tanto del usuario como del recurso al que se accede. Esto simplifica la carga de gestión para los equipos de TI y seguridad y puede garantizar que las vulnerabilidades se mitiguen antes de que los ciberdelincuentes puedan explotarlas.
“La información en tiempo real sobre el acceso de los usuarios puede crear indicadores avanzados de la postura de seguridad de la identidad. Esto es especialmente cierto para cuentas compartidas o sin propietario, cuentas no desactivadas o aquellas con altos privilegios. También ayuda con los derechos no utilizados y las acumulaciones de derechos de acceso que pueden ser perjudiciales para la empresa”, afirma Klaus Hild, estratega principal de identidad de SailPoint. “Esto permite identificar situaciones de alto riesgo y priorizar las acciones correctivas. Y el uso de la IA ayuda a generar conocimientos adicionales y sugerencias específicas para tomar medidas correctivas. El resultado son tiempos de respuesta significativamente más cortos y un mayor nivel general de seguridad. Si se sabe más sobre la realidad del acceso, se podrán tomar mejores decisiones en materia de seguridad de TI”.
Más en SailPoint.com
Acerca de SailPoint
SailPoint es líder en seguridad de identidad para la empresa moderna. La seguridad empresarial comienza y termina con las identidades y el acceso a ellas, pero la capacidad de administrar y proteger las identidades ahora está mucho más allá de las capacidades humanas. Con tecnología de inteligencia artificial y aprendizaje automático, SailPoint Identity Security Platform ofrece el nivel correcto de acceso a las identidades y recursos correctos en el momento correcto.