El uso correcto de la ciberseguridad es ahora más importante que nunca. Debido al aumento de las amenazas, el riesgo de ataques aumenta constantemente. El legislador también lo reconoció y creó la directriz NIS2. Axians ofrece consejos sobre cómo deberían proceder las empresas ahora.
Un cuarto de millón de nuevas variantes de malware descubiertas, 2.000 vulnerabilidades detectadas en productos de software al mes, 21.000 nuevos sistemas infectados cada día, 68 ataques exitosos de ransomware y dos intentos al mes sólo en instalaciones o empresas municipales. En el informe actual sobre la situación de la ciberseguridad de la Oficina Federal de Seguridad de la Información (BSI) se mencionan cifras alarmantes: la oficina advierte que los delincuentes están evolucionando. Hoy en día, los ciberdelincuentes profesionales están ampliamente conectados en red y trabajan en una división del trabajo. Utilizan inteligencia artificial (IA) y otras tecnologías modernas para sus ataques.
Debido a estas condiciones en el panorama de la seguridad cibernética, la UE ha emitido la Directiva NIS2. Los requisitos de la directiva se están incorporando actualmente a las leyes nacionales y deben codificarse antes del 17 de octubre de 2024. Todas las instituciones afectadas están entonces obligadas a implementar una serie de medidas de ciberseguridad.
¿Qué requisitos deben cumplir las empresas para NIS2?
Entre otras cosas, las empresas deben tener un concepto de gestión de riesgos, implementar planes de emergencia e informar de los incidentes de seguridad a la BSI. Se necesitan medidas técnicas de protección, como una copia de seguridad sistemática de los datos, conceptos de control de acceso, cifrado y gestión de vulnerabilidades. De manera análoga a la Ley de Seguridad de TI 2.0, la NIS2 también estipula que las empresas deben tener en cuenta las vulnerabilidades de sus cadenas de suministro en sus conceptos de seguridad para que los delincuentes no puedan acceder a los sistemas a través de los proveedores. Es importante implementar finalmente el estado del arte incorporando estándares y procesos de seguridad que ya eran recomendados como mejores prácticas antes de NIS2.
Quien en los últimos años se ha preocupado por proteger su negocio contra los delincuentes de acuerdo con las normas aplicables, sólo necesita hacer algunos ajustes para cumplir con los requisitos. Pero las empresas e instituciones que ahora entran por primera vez en el área NIS2 y que anteriormente habían descuidado el tema de la ciberseguridad se enfrentan ahora a grandes desafíos. Para prepararse para los requisitos, las nuevas empresas deberían tomar medidas de protección con antelación. El camino hacia la meta consta de cinco pasos.
¿La empresa está afectada por la legislación NIS2?
En primer lugar, las empresas deberían aclarar si pertenecen al círculo ampliado del reglamento NIS2. Hay dos grupos principales: operadores de instalaciones críticas e instalaciones “particularmente importantes” o “importantes”. Lo que importa es si estas empresas operan en sectores económicos sujetos a regulación. Todavía hay mucha incertidumbre aquí. Para aportar claridad, las empresas deberían plantearse las siguientes preguntas: ¿Estoy activo en uno de los sectores regulados? ¿Mi empresa cumple con los umbrales oficiales? ¿La rotación es lo suficientemente alta y el número de empleados es correcto? Si la respuesta a estas preguntas es sí, se aplican los requisitos de protección NIS2. Sin embargo, es aconsejable que todas las empresas, independientemente de si pertenecen o no a NIS2, pongan a prueba sus propios conceptos de seguridad y comprueben si se corresponden con los últimos avances. Los responsables de TI tampoco deben olvidarse de determinar qué áreas de la empresa deben protegerse.
¿Qué tan segura es la infraestructura de TI?
El siguiente paso es descubrir dónde se encuentran los mayores puntos débiles. ¿Cómo se estructura la ciberseguridad en la empresa? ¿Cuál es el nivel de protección actual? Una evaluación de riesgos muestra dónde comienza mejor la estrategia de seguridad, es decir, dónde las empresas pueden lograr las mejoras más rápidas. Posteriormente, los usuarios deberán repetir el proceso a intervalos regulares. La evaluación continua puede ayudar a aumentar gradualmente la resiliencia de TI.
¿Cuál es la seguridad de la cadena de suministro?
En la evaluación de riesgos obligatoria no sólo deben influir los riesgos propios de la empresa, sino que también se deben tener en cuenta los puntos débiles específicos de la cadena de suministro. Si se identifican vulnerabilidades, se deben tomar contramedidas para cumplir con los requisitos reglamentarios y proteger las interfaces. Los escaneos de la superficie de ataque externo (EAS), por ejemplo, pueden ayudar con esto. Es recomendable actuar de forma proactiva y realizar un análisis de riesgos para identificar posibles vulnerabilidades en las cadenas de suministro. Las instalaciones afectadas pueden desarrollar entonces un concepto de seguridad común con sus empresas proveedoras.
¿Qué sistema es adecuado para la detección de ataques?
Para garantizar la seguridad requerida de los sistemas de información, también se recomiendan sistemas de detección de ataques. Para muchas empresas, es aconsejable implementar una solución de gestión de eventos e información de seguridad (sistema SIEM), ya que constituye la base para la mayoría de los sistemas de detección de intrusos. El SIEM recopila datos que también pueden evaluarse en un centro de operaciones de seguridad (SOC). Proporciona información útil para las operaciones de TI, como indicaciones de configuraciones incorrectas. La variedad de opciones SIEM ofrece numerosas posibilidades para satisfacer las necesidades propias de la empresa. Por ejemplo, las empresas pueden decidir si utilizan un sistema SIEM autogestionado o los servicios de un SOC profesional. La gama de servicios ofrecidos abarca desde su propia operación interna o un SIEM cogestionado hasta servicios IT/OT SOC totalmente gestionados de proveedores de servicios TIC externos como Axians.
¿Cómo sería un concepto de seguridad sensato para NIS2?
Es importante no sólo comprar sistemas de seguridad de TI que consisten en hardware y software, sino también establecer reglas y procedimientos que definan, administren, monitoreen, mantengan y mejoren continuamente la seguridad de la información. Las empresas pueden proceder según el principio modular: en primer lugar, se deben tomar medidas que aumenten rápidamente el nivel de seguridad. Luego, la protección se puede ampliar nivel por nivel. Los estándares de seguridad como BSI-Grundschutz o ISO 2700x, así como una arquitectura de confianza cero, pueden servir de guía. En particular, la orientación al Compendio de Protección Básica ofrece una gran ayuda, ya que contiene un catálogo de mejores prácticas en medidas de seguridad.
El legislador ha reconocido la gravedad de la situación y ha endurecido los requisitos con nuevas normas. La creciente situación de amenaza muestra que las empresas deberían abordar la implementación directamente. Para no perderse en decisiones técnicas detalladas, puede buscar ayuda de proveedores de servicios TIC experimentados como Axians. Estos implementan sistemas para los clientes diariamente según lo exige la regulación NIS2. Las evaluaciones profesionales, el asesoramiento avanzado y el soporte continuo ayudan a desarrollar rápidamente una estrategia adecuada y aliviar la carga de los departamentos de TI de las empresas.
Más en Axians.com
Acerca de los axianos
Axians apoya a empresas privadas, instituciones públicas, operadores de redes y proveedores de servicios en la modernización de sus infraestructuras y soluciones digitales. Ya sean aplicaciones o análisis de datos, redes corporativas, espacios de trabajo compartidos, centros de datos, soluciones en la nube, infraestructuras de telecomunicaciones o seguridad en Internet.