NIS2: ciberseguridad y resiliencia, de la teoría a la práctica
La normativa europea NIS2 ha traído consigo un cambio cultural para las organizaciones, que deberán acogerse a nuevos requerimientos en materia de ciberseguridad. Contar con un socio estratégico que les ayude en el viaje será diferencial. Así impactará.
En la actualidad se vislumbra un escenario global complejo marcado por una situación geopolítica enrevesada, que ha traído consigo un incremento exponencial de los ciberataques. Unas amenazas que, a su vez, se han tornado más sofisticados gracias a la irrupción y popularización de tecnologías como la inteligencia artificial o el machine learning. En este contexto, la ciberseguridad cobra un indiscutible papel protagonista constatable de manera empírica. De hecho, según cálculos de la firma de análisis e investigación IDC, el gasto en ciberseguridad continúa al alza en el Viejo Continente aumentando a un ritmo del 10%. Un incremento a doble dígito que permanecerá impasible, al menos, hasta 2026, cuando la consultora estima que alcance un techo de 71.000 millones de dólares.
Teniendo esto en consideración, las grandes prioridades de las organizaciones europeas del siglo XXI pasan por adoptar una estrategia de confianza cero, fortalecer sus medidas de seguridad e implementar controles de acceso seguro en redes, aplicaciones y dispositivos. Y todo ello sin faltar al compliance. Así, con el fin de arrojar algo de luz sobre la adecuación de las compañías y sus políticas de seguridad a la normativa europea NIS2, dos grandes nombres propios del sector tecnológico, Kyndryl y Oracle, aúnan esfuerzos en un encuentro protagonizado por la ciberseguridad y la resiliencia cibernética.
Bajo la batuta de Esther Macías, directora editorial de Foundry (grupo editor de CSO y ComputerWorld, entre otras cabeceras), José Javier Romero, director de Retail & Consumer Products en Kyndryl España, y Guillermo Best, Technology Architect Manager de Oracle España, ahondan en las oportunidades y desafíos que conlleva la adopción de NIS2 para las organizaciones españolas al recordar que deberá ser aplicable desde el próximo 18 de octubre de 2024. He aquí su particular vademécum.
Al detalle
La directiva de la Unión Europea 2022/2555, bautizada como NIS2, responde a la nueva legislación europea en materia de ciberseguridad. La normativa sustituye a su antecesora NIS1 e implica nuevas obligaciones y medidas en torno a la citada materia. De hecho, ya no solo afecta al grupo de los Veintisiete, sino que además impacta en múltiples empresas de diversos sectores que hasta la fecha no se consideraban infraestructuras críticas y que ahora sí se contemplan. Una medida esperable teniendo en consideración que el propósito de la Comisión Europea con la luz verde a la norma no era otro que mejorar la resiliencia y capacidad de respuesta ante ciberincidentes tanto en el sector público como en el privado a lo largo y ancho del territorio.
Tal y como se ha avanzado durante el encuentro, NIS2 robustece los requisitos de seguridad de las empresas mediante tres vías: una regulación más precisa respecto al proceso de notificación de incidentes, introduciendo medidas de supervisión para las autoridades nacionales y armonizando los regímenes sancionadores en los Estados miembro. Siguiendo esta misma línea, los ejecutivos han destacado que el impacto de la norma, recogido en el artículo 21, “se fundamenta en la protección de los sistemas de redes, de información y del entorno físico de los sistemas frente a posibles incidentes”. Para ello fomentan las políticas de seguridad y los análisis de riesgos; la gestión de incidentes y de copias de seguridad; la recuperación en caso de catástrofe; la gestión de crisis y divulgación de las vulnerabilidades, y las prácticas basadas en una ciberhigiene, entre otras.
José Javier Romero, director de Retail & Consumer Products en Kyndryl España. Créditos: Frederic Ramírez (GARPRESS).
Así, según han detallado los portavoces, se han de aplicar y ejecutar medidas para la gestión del riesgo como la puesta en práctica de “principios de confianza cero, actualización de software, configuración de dispositivos y segmentación de la red”. También han hecho hincapié en la “gestión de las identidades y la concesión de privilegios, en las medidas de concienciación y formación de las plantillas y la definición de un plan articulado y estratégico” que dé respuesta a los incidentes de seguridad.
Para lograr establecer una hoja de ruta que responda a los posibles incidentes que se produzcan y que, por supuesto, cumpla con la inminente normativa NIS2, Oracle y Kyndryl coinciden en la necesidad de llevar a cabo un assessment que ayude a la organización a comprender cuál es su situación actual. Posteriormente, dicen, enfrentan el resultado final de dicha evaluación con los requerimientos que contempla NIS2 para determinar si se cumple o no con la normativa. A continuación, optan por “definir un roadmap estratégico” y adecuar los flecos a los requisitos del regulador europeo para, finalmente, implementar las novedades en el seno de la organización redundando en “la resiliencia corporativa y la ciberhigiene”.
Punto de partida
Aunque todavía queda “camino por recorrer” hasta la entrada en aplicación de la normativa, los representantes corporativos coinciden en que la posición de partida de las compañías españolas “no es mala”. No obstante, insisten en ponerse manos a la obra de manera inmediata, ya que en muchos casos “van tarde”. Reconocen, por otra parte, un alto grado de sensibilización en materia de ciberseguridad al entender que se trata de una cuestión “estratégica”; sin embargo, en lo relativo a NIS2, como otras grandes normas de la Unión Europea que resultan “farragosas”, “no termina de haber permeado”. A su entender, esto se debe a que sus requisitos “van más allá de los conceptos de seguridad que todos teníamos asumidos”, trae consigo un “cambio cultural” que debe ser asumido como el inicio de un aumento progresivo de la carga normativa que conlleva “formación” y “sensibilización”. En este viaje, los sectores más avanzados son “los que ya estaban incorporados a NIS1; es decir, sectores más sensibles como la banca, seguros, mercados financieros, electricidad o suministros”.
Guillermo Best, Technology Architect Manager de Oracle España. Créditos: Frederic Ramírez (GARPRESS).
Ante la nueva normativa, el rol del CIO se redefine, el del CISO cobra una relevancia singular y la relación entre ambos perfiles se estrecha. El primero deberá “hacerse cargo del cumplimiento de la norma conforme a los plazos establecidos; lograr un alineamiento presupuestario y equilibrio opex-capex; reestructurar las arquitecturas para eliminar obsolescencias; evaluar, adecuar, implantar y supervisar los procedimientos DRP-BCP en busca de la anhelada ciberhigiene y vigilar proactivamente que no se produzcan amenazas y notificarlas en caso oportuno”.
De ahora en adelante, el mayor desafío del CISO tendrá que ver con demostrar “proactivamente” una responsabilidad y comunicar qué se está haciendo en materia de ciberseguridad. En este sentido, defendían, se debe ver esto como “un valor diferencial para la empresa, además de como mero cumplimiento de la norma”. “A la hora de contratar a una empresa hay que hablar de transparencia y visibilidad de quién cumple y quien no cumple. Aquellas que han hecho ese trabajo son diferenciales para garantizar la seguridad de los entornos".
Reportaje completo sobre el encuentro próximamente en ComputerWorld Insider.
