Un enfoque basado en el riesgo: aplicar las medidas de seguridad exigidas por NIS 2

La Directiva NIS 2 promueve un enfoque de la ciberseguridad basado en el riesgo. En lugar de imponer una lista fija de controles técnicos, exige a las empresas queevalúen sus riesgos e implanten las medidas de seguridad adecuadas para reducirlos(Requisitos NIS2 | 10 medidas mínimas a abordar). Esto ofrece cierto grado de flexibilidad (cada entidad se adapta a su propia situación), pero también establece un conjunto mínimo de buenas prácticas que todos deben respetar. En resumen, NIS 2 define lo que hay que conseguir, no necesariamente cómo: corresponde a la organización identificar y desplegar las soluciones adecuadas para proteger sus sistemas. Esta filosofía exige una auténtica cultura de gestión de riesgos en los departamentos de TI.

Medidas de seguridad: ¿cuál es la situación de las empresas?

Antes de la NIS 2, muchas empresas (fuera de los sectores regulados) no disponían de un marco de referencia claro para las medidas de seguridad que debían aplicar. En consecuencia, el nivel de protección variaba enormemente de una empresa a otra, incluso las del mismo tamaño. Algunas estaban a la vanguardia (SOC 24/7, Zero Trust, cifrado intensivo), mientras que otras se quedaban muy atrás (simples contraseñas, falta de partición de la red, etc.). Por ejemplo, el 40% de las empresas aún no ha desplegado una arquitectura de Confianza Cero ni una segmentación avanzada ([Infografía] NIS2 : les entreprises entre confiance et défis), y el 80% no dispone de un plan/prueba derecuperación en caso de catástrofe, como vimos anteriormente(Resiliencia : ¡el 80% de las empresas no dispone de un verdadero plan de recuperación en caso de catástrofe!). Del mismo modo, a veces se descuidan ámbitos enteros de la seguridad: control de los derechos de administración del sistema, supervisión de los registros de acceso, protección de los datos que no son de SI (impresión, IoT, etc.).

Por ello,NIS 2 ha enumerado una decena de ámbitos de seguridad que deben abordarse como mínimo(Requisitos NIS2 | 10 medidas mínimas que debenabordarse). Estos ámbitos son

• Realización periódica de análisis de riesgos y establecimiento de políticas de seguridad para los sistemas de información.
• Mecanismos para evaluar la eficacia de las medidas de seguridad implantadas (revisión, auditoría, pruebas).
• Uso adecuado de la criptografía, incluido el cifrado de datos y comunicaciones sensibles.
• Aplicación de un plan de gestión de incidentes (véase el artículo anterior).
• Seguridad en laadquisición, desarrollo y mantenimiento de sistemas: seguridad tenida en cuenta desde la fase de diseño, gestión de vulnerabilidades (actualizaciones, parches).
• Formación y sensibilización de los empleados en materia de ciberseguridad y buenas prácticasde higiene informática.
• Medidas sólidas de control de acceso, en particular para el personal con acceso a datos o sistemas críticos (principio del menor privilegio, revisión de cuentas, etc.), así como mapeo de activos para saber exactamente lo que hay que proteger(Requisitos NIS2 | 10 medidas mínimas a tener en cuenta).
• Un plan de continuidad de la actividad que incluya copias de seguridad periódicas y comprobadas y que garantice el mantenimiento o la reanudación de las funciones esenciales en caso de incidente(Requisitos NIS2 | 10 Medidas mínimas a tener en cuenta).
• Uso deautenticación multifactor y otros mecanismos de seguridad avanzados (autenticación continua, cifrado de voz/vídeo, comunicaciones de emergencia seguras) cuando proceda(Requisitos NIS2 | 10 Medidas mínimas a adoptar).
• Seguridad de la cadena de suministro (véase el artículo 3).

Esta lista se solapa en gran medida con las mejores prácticas tradicionales de ciberseguridad, codificadas en normas como ISO 27002 o el Marco de Ciberseguridad del NIST. En otras palabras, NIS 2 institucionaliza estas prácticas: lo que se recomendaba se convierte, en cierto modo, en obligatorio.

El reto para los CIO/CIO es comprobar que todas estas familias de medidas están debidamente cubiertas en la empresa, e identificar las lagunas que haya que cubrir. Muchas organizaciones tienen puntos débiles en determinadas áreas. Por ejemplo, no basta con tener una política de seguridad sobre el papel: hay que aplicarla y supervisarla. Del mismo modo, se pueden tener herramientas de detección sofisticadas, pero si nadie mira las alertas el fin de semana, su eficacia es limitada.

Una dificultad frecuente es la falta de recursos (humanos, financieros) para hacerlo todo a la vez. De ahí la importancia de un enfoque basado en los riesgos: asignar los recursos prioritariamente allí donde los riesgos identificados son los más críticos. La NIS 2 insiste en este punto: las medidas deben ser «proporcionales a los riesgos». Esto significa ser capaz deevaluar el nivel de riesgo en cada perímetro: qué representa el mayor peligro para la empresa (por ejemplo, ¿una interrupción de la producción?, ¿una fuga de datos de clientes?, ¿un fraude financiero?) para aplicar prioritariamente las medidas de reducción necesarias.

Prioridades y buenas prácticas para reforzar la seguridad

A la luz de la NIS 2, estas son las acciones prioritarias que los CIO/CIO deben considerar para mejorar su postura de seguridad de forma integral y sostenible:

• Formalizar un programa de gestión de riesgos: Si aún no lo ha hecho, instituya un proceso regularde análisis de riesgos c ibernéticos. Identifique sus principales escenarios de amenaza, evalúe su impacto y probabilidad y determine las medidas de tratamiento (reducción, transferencia, aceptación) para cada uno de ellos. Mantenga un registro de riesgos actualizado, presentado periódicamente al comité de riesgos. Este proceso debe implicar a las líneas de negocio para apreciar plenamente el impacto empresarial. Le servirá de brújula para dirigir sus esfuerzos de seguridad hacia donde aporten la mayor reducción del riesgo.
• Eleve el nivel de los controles básicos: asegúrese de que los fundamentos de la seguridad están implantados en toda la empresa. Por ejemplo: todas las cuentas sensibles tienen autenticación de dos factores; todas las máquinas están cubiertas por un antivirus/EDR con actualizaciones automáticas; los datos sensibles están cifrados en reposo y en tránsito; las copias de seguridad críticas se hacen a diario y se almacenan fuera de las instalaciones; un sistema de gestión de parches aplica parches de seguridad en plazos razonables (en pocos días para los fallos críticos). Esta ciberhigiene debe estar virtualmente automatizada para garantizar su coherencia.
• Rellenelas lagunas de las políticas y procedimientos: revise todas sus políticas de seguridad. ¿Son completas, están actualizadas y, sobre todo, se aplican? Por ejemplo, ¿tiene una política sobre el uso de software SaaS? ¿Seguridad en el teletrabajo? Si algunos temas no están cubiertos, redáctelos. A continuación, traduzca estas políticas en procedimientos operativos claros. NIS 2 también le exige que evalúe la eficacia de las medidas(Requisitos NIS2 | 10 medidas mínimas a tener en cuenta): así que piense en establecer controles internos o auditorías periódicas para comprobar que se aplican correctamente (por ejemplo, auditoría semestral de los derechos de acceso efectivos frente al principio del mínimo privilegio).
• Invierta en modernizar su arquitectura: aproveche el impulso de NIS 2 para modernizar su arquitectura de seguridad. Por ejemplo, migrar a una arquitectura de confianza cero (verificación sistemática de cada acceso, microsegmentación de la red) puede parecer ambicioso, pero es una tendencia inevitable a medio plazo para contrarrestar los movimientos laterales de los atacantes. Del mismo modo, la implantación de soluciones de gestión de accesos privilegiados (PAM) para controlar las cuentas de administrador, o el despliegue de análisis de comportamiento (UEBA) para detectar anomalías, son medidas avanzadas a tener en cuenta. Por supuesto, estos proyectos deberán justificarse mediante un análisis de riesgos: hay que centrarse primero en las áreas en las que la arquitectura actual presenta lagunas.
• Reforzar la resistencia y el BCP/ERP: Un área que a menudo se descuida es la continuidad de la actividad en caso de incidente grave. Como hemos visto, el 80% de las empresas no disponen de un PRCadecuado (Resiliencia: ¡el 80% de las empresas no disponen de un PRC adecuado!), lo cual es incompatible con el SRI 2. Es imperativo elaborar o actualizar sus Planes de Recuperación y Continuidad ante Desastres, y sobre todo ponerlos a prueba (muchos descubren al probarlos que el restablecimiento completo tarda días, lo cual es demasiado tiempo). La resiliencia también incluye la redundancia: identifique los puntos únicos de fallo (un único servidor sin copia de seguridad, dependencia de un único proveedor crítico, etc.) y busque soluciones alternativas (redundancia técnica, proveedores alternativos en caso de problema, etc.).
• Sensibilizar continuamente al personal: puesto que las personas son la primera línea de defensa (o de debilidad), hay que inculcar una cultura de la seguridad. Asegúrese de que cada empleado conoce los reflejos adecuados (contraseñas seguras, detección de phishing, notificación de incidentes). Además de la formación ocasional, cree un clima en el que la seguridad forme parte de la vida cotidiana: campañas de carteles, recordatorios en seminarios internos, ejercicios sorpresa (simulación de phishing). Mida la eficacia de estas acciones (porcentaje de clics en las estafas de phishing, etc.) y ajústelas en consecuencia. El SRI 2 requiere formación, también para los directivos: no deje a nadie al margen, desde los becarios hasta los directores generales.
• Manténgase al día y adáptese: por último, tenga en cuenta que la seguridad es un campo dinámico. Las amenazas evolucionan (nuevas técnicas de ataque, nuevas vulnerabilidades como Log4Shell ayer u otra cosa mañana), y también lo hacen las buenas prácticas. Mantente atento a los avances tecnológicos y normativos. Participe en grupos del sector o en eventos de ANSSI/ENISA para compartir opiniones. Actualice periódicamente su hoja de ruta de seguridad para tener en cuenta los nuevos avances. La NIS 2 tampoco está grabada en piedra: los actos de aplicación especificarán ciertos requisitos técnicos de aquí a finales de 2024, así que prepárese para tenerlos en cuenta. En resumen, haga de su SGSI (sistema de gestión de la seguridad) parte de un proceso de mejora continua.

En resumen, el enfoque basado en el riesgo que propugna la NIS 2 pide a las empresas que estructuren metódicamente su ciberseguridad. No se trata de instalar unas cuantas herramientas deprisa y corriendo y decir «ya hemos hecho el trabajo», sino de construir un sistema coherente en el que cada medida de seguridad responda a un riesgo identificado, se gestione a lo largo del tiempo y se verifique. Para muchas organizaciones, esto significa aumentar la madurez de su gestión de la seguridad, lo que puede llevar tiempo. De ahí la importancia de empezar ahora, no sólo para cumplir la ley, sino para reducir realmente la probabilidad y el impacto de futuros incidentes.

Gobernanza global inteligente para un enfoque eficaz de los riesgos y el cumplimiento de la normativa

La plataforma Smart Global Governance está diseñada específicamente para apoyar un enfoque integral y continuo de la gestión de riesgos y el cumplimiento de la normativa de seguridad. Gracias a sus módulos integrados, permite a los CIO/CIO gestionar de forma centralizada todas las medidas de seguridad, garantizando que no se deja ningún área al azar y que todo está alineado con los riesgos reales.

He aquí cómo Smart Global Governance le ayuda a desplegar y supervisar las medidas exigidas por NIS 2:

• Gestión de riesgos centralizada: El módulo Risk Manager de Smart Global Governance apoya su proceso de análisis de riesgos de principio a fin. Puede documentar sus activos, amenazas y escenarios, evaluar impactos y probabilidades mediante matrices personalizables y obtener un registro dinámico de riesgos. Cada riesgo puede vincularse a controles/medidas de seguridad dentro de la herramienta. Así podrá ver inmediatamente qué medidas mitigan qué riesgos y dónde quedan vulnerabilidades. Esta trazabilidad directa riesgo -> control es una baza importante para priorizar sus esfuerzos en el cumplimiento de la norma NIS 2.
• Biblioteca de controles de seguridad: La plataforma ofrece una biblioteca de controles alineados con las principales normas (ISO 27002, CIS Controls, etc.) y los requisitos de NIS 2. Puede seleccionar los controles que sean relevantes para su contexto y, a continuación, evaluar el nivel de implantación de cada uno de ellos. Por ejemplo, un control de «autenticación MFA para acceso remoto» puede marcarse como implantado al 80% (si aún quedan algunas aplicaciones por cubrir) con un plan de acción asociado. De un vistazo, puede ver qué buenas prácticas aún no están totalmente implantadas. Esta visión estructurada evita que te olvides de ninguna: cubre todos los temas (desde la red hasta la gestión de soportes extraíbles, sin olvidar la continuidad).
• Plan de acción y seguimiento del cumplimiento: para cada medida de seguridad que deba implantarse, Smart Global Governance le permite crear acciones asignadas a responsables con plazos. Por ejemplo: «Implementar el cifrado de datos en el servidor X – responsable: administrador del sistema – fecha límite: 30/06». La plataforma realiza un seguimiento de estas acciones y recuerda automáticamente a los responsables si se retrasan. En cualquier momento se puede ver la lista de acciones iniciadas, finalizadas, atrasadas, etc. Esta gestión granular garantiza que los proyectos de refuerzo progresen realmente y no se olviden una vez finalizada la reunión.
• Evaluación de la eficacia: Smart Global Governance integra funcionalidades deauditoría interna y de seguimiento continuo. Puede programar evaluaciones periódicas de determinados controles (por ejemplo, una auditoría trimestral de la gestión de cuentas inactivas). La herramienta hace un seguimiento de los resultados y de las no conformidades detectadas, y supervisa su corrección. Esto se corresponde con el requisitoNIS 2 de evaluar la eficacia de las medidas(Requisitos NIS2 | 10 medidas mínimas a abordar). Además, la plataforma puede conectarse a algunas de sus herramientas técnicas (escáner de vulnerabilidades, SIEM) para recuperar indicadores técnicos (por ejemplo, % de parches aplicados a tiempo) que alimentan la evaluación de los controles. Así tendrá una visión casi en tiempo real de su nivel de seguridad real.
• Documentación centralizada: todo, desde las políticas y procedimientos hasta los informes de auditoría, puede almacenarse y versionarse en Smart Global Governance. Esto facilita el trabajo del CISO, que tiene todos los documentos a mano para demostrar el cumplimiento de los requisitos. Por ejemplo, si la autoridad pide «pruebas de la formación en seguridad de los empleados», basta con consultar el informe de la campaña de concienciación documentado en la herramienta. La centralización de las pruebas de cada medida (quién ha recibido formación, cuándo se ha realizado la última prueba de restauración, etc.) le protege en caso de auditoría y le ahorra mucho tiempo en la compilación de los expedientes de conformidad.
• Alineaciónde múltiples repositorios: Una característica clave de Smart Global Governance es la capacidad dealinear múltiples repositorios. Si está sujeto a NIS 2 pero también a otras normas (por ejemplo, ISO 27001, RGPD para datos, PCI-DSS para pagos), la plataforma le evita tener que gestionarlo todo por separado. Muchos controles se solapan: la herramienta mapea entre repositorios. Por ejemplo, el control «copias de seguridad periódicas» es exigido tanto por NIS 2 como por ISO 27001: se documenta una vez y cubre ambas. Según nuestras observaciones, este enfoque integrado reduce en un 50% la complejidad operativa asociada a la conformidad cruzada. Se gana en eficacia y coherencia general.

Al adoptar la Gobernanza Global Inteligente, la empresa adquiere un auténtico sistema nervioso para su ciberseguridad. En lugar de esfuerzos parciales y ad hoc, pondrá a prueba un programa estructurado, medible y adaptable. La plataforma le ayuda a mantener el rumbo a lo largo del tiempo, lo cual es esencial porque la seguridad no es un estado estático, sino un viaje continuo. Podrá demostrar en todo momento en qué punto se encuentra en materia de gestión de riesgos y justificar las medidas aplicadas en relación con las amenazas. Este es exactamente el espíritu de la NIS 2: una seguridad gestionada de forma racional, justificada y continuamente mejorada. Smart Global Governance le apoya en este camino proporcionándole las herramientas para transformar las obligaciones en acciones concretas, y las acciones en resultados tangibles en términos de reducción de riesgos.