El 17 de octubre de 2024 se implementa la directiva NIS2 y es crucial que las organizaciones revisen y actualicen sus políticas de seguridad para garantizar el cumplimiento de la normativa.
En nuestro artículo anterior, Qué es la directiva NIS2 y a qué empresas aplica, compartimos los fundamentos y el alcance de esta nueva regulación de la Unión Europea.
El apoyo de la alta dirección de las organizaciones a este tipo de medidas siempre ha sido deseable y esperado. En este caso, la directiva NIS2 en su artículo 20 menciona la relevancia y responsabilidades de los órganos de dirección que deberán aprobar y supervisar la puesta en marcha de las medidas adoptadas, así como seguir una formación constante en riesgos de Ciberseguridad y concienciación.
En esta ocasión destacamos algunas de las medidas más relevantes, detalladas en el artículo 21 de la normativa y cómo resolverlas para protegerse contra ciberataques y evitar sanciones:
Establecer políticas de seguridad de los sistemas de información y análisis de riesgos
De igual manera que otros marcos de referencia de seguridad como pueden ser la ISO 27001 o el ENS, la nueva directiva NIS2 incluye establecer una política de seguridad de los sistemas de información juntamente con un análisis de riesgos como una de las medidas a implementar.
La política de seguridad de la información es un documento aprobado por la alta dirección que refleja el compromiso de la empresa con la protección de sus datos. Este documento establece una serie de medidas y controles diseñados para garantizar la confidencialidad, integridad y disponibilidad de la información, así como para prevenir y mitigar los riesgos que puedan afectar a los activos informáticos de la empresa.
Un análisis de riesgos tiene como objetivo identificar los riesgos potenciales en los activos de TI y determinar la probabilidad de que se produzcan.
Ambas medidas requieren un enfoque consultivo, una metodología clara y experiencia. Al combinar estos elementos con un conocimiento profundo de los activos de TI y los objetivos de la organización, es posible desarrollar soluciones adaptadas a las necesidades específicas de la empresa.
Incorporación de las obligaciones de notificación de incidentes
Una de las medidas que probablemente generará más controversia en las organizaciones es la obligación de comunicar los incidentes tanto al CSIRT de la empresa como a la entidad estatal competente, y también informar a los usuarios si estos se ven afectados. Además de contar con sistemas adecuados para la detección de incidentes, las organizaciones deberán modificar sus procedimientos para cumplir con los plazos de notificación exigidos y poder informar a todas las partes implicadas. Si la gestión de incidentes está externalizada, deberán llegar a acuerdos con su proveedor de servicios para adaptar el servicio a los nuevos requerimientos.
Considerar la seguridad en la adquisición, el desarrollo y el mantenimiento de redes y sistemas de información, incluyendo la gestión y divulgación de vulnerabilidades
La Directiva NIS2 enfatiza la identificación, gestión y divulgación oportuna de las vulnerabilidades a lo largo del ciclo de vida de los sistemas de información. Para cumplir con esto, las organizaciones deberán adaptar sus políticas de gestión de activos y vulnerabilidades, utilizando herramientas que proporcionen esta información de manera continua y periódica, o contratando servicios de gestión de vulnerabilidades a terceros.
Contemplar la continuidad de las actividades, considerando la gestión de copias de seguridad, la recuperación en caso de catástrofe y la gestión de crisis
La nueva directiva también nos insta a disponer de un plan de contingencia y recuperación ante desastres bien estructurado. Este debe identificar los activos críticos de TI y definir los tiempos de recuperación necesarios. Además, debe estar respaldado por soluciones tecnológicas adecuadas, como copias de seguridad y una infraestructura en centros de datos secundarios.
Contemplar la seguridad relativa a los recursos humanos, políticas de control de acceso y la gestión de activos
Dado que las personas son el eslabón más débil en la cadena de seguridad y un objetivo constante de ataques de phishing e ingeniería social, esta medida abarca todo lo relacionado con la mejora de la seguridad de los empleados de la compañía. Esto incluye cursos de concienciación, implementación de sistemas de control de acceso a los sistemas o seguridad en el puesto de trabajo.
Contacta con nuestro equipo de expertos para saber si tu empresa debe cumplir con la NIS2 y qué medidas incorporar.