La directiva NIS2 busca reducir los riesgos cibernéticos y para ello es esencial que tanto el personal de seguridad de la información como los directivos participen activamente en su implantación. Y en octubre dará un salto adelante, pues deberá estar traspuesta a las legislaciones nacionales de la UE. Check Point destaca en nueve pasos cómo cumplir con estos requisitos y asegurar la integridad de las infraestructuras informáticas:
Índice de temas
Análisis de riesgos y conceptos de seguridad
El primer paso es realizar un inventario exhaustivo de la infraestructura de TI, identificando bienes, medidas de seguridad actuales y posibles vulnerabilidades. Se recomienda contratar consultores especializados para realizar un análisis de carencias y riesgos conforme a la norma ISO 27001 y desarrollar un plan integral de seguridad.
Gestión de incidentes de seguridad
Es crucial contar con un equipo que monitorice y responda a incidentes de seguridad. Las pruebas de penetración deben ser regulares para evaluar la preparación ante ataques. Se sugiere la contratación de Servicios de Seguridad Gestionados (MSS) desde un Centro de Operaciones de Seguridad (SOC) de alta seguridad. La ciberseguridad ya no es sólo el terreno de juego de los CIO o CISO. La junta directiva y el resto del equipo ejecutivo necesitan poder confiar en que su estructura de ciberseguridad es lo suficientemente resistente frente a los tipos de ciberataques que se dirigen contra ellos.
Mantenimiento de operaciones
Para minimizar el impacto de un ataque, las empresas deben encargar a expertos en seguridad TI que prueben y analicen su preparación en caso de crisis. En caso de que ataque tenga éxito, la infraestructura informática debe restablecerse lo antes posible. Esto se consigue mediante la gestión de copias de seguridad, la recuperación de desastres y la gestión de crisis. Además, la implementación de una arquitectura de Zero Trust puede ayudar a minimizar los daños.
Seguridad de la cadena de suministro
Con NIS2, las empresas también deben proteger de forma exhaustiva sus cadenas de suministro, tanto físicas como digitales, contra posibles atacantes. Esto significa que todas las cadenas de suministro que entran y salen de la empresa o instalación deben ser examinadas en busca de posibles vulnerabilidades y las áreas pertinentes deben ser aseguradas adicionalmente.
Seguridad en la adquisición, desarrollo y mantenimiento sistemas
Es fundamental asegurar los puntos de acceso a la infraestructura informática. También debe garantizarse que personas ajenas no puedan acceder sin autorización a las comunicaciones, añadir datos o sustraerlos. Utilizar firewalls de nueva generación para controlar el acceso al servidor, asegurar que las API utilizadas estén autenticadas, autorizadas y cifradas para evitar fugas de datos e instalar un sistema de Gestión de Identidades y Accesos (IAM) y Zero Trust cuando se trate de derechos de acceso.
Evaluación de la eficacia de las medidas
Existen diversas herramientas y plataformas de seguridad con capacidades de automatización como ML y AI que ayudan a proteger las redes y los sistemas. También es importante contratar a expertos en seguridad para seleccionar, implantar y mantener los sistemas necesarios para que NIS2 garantice una información continua y establecer sistemas de supervisión para detectar y responder a actividades inusuales en tiempo real.
Formación para el personal
Las medidas básicas de ciberhigiene y la contratación de expertos para que impartan formación y educación periódicas en seguridad informática a los equipos TI, contribuyen a que estén preparados para una emergencia y pueda tomar medidas preventivas con antelación.
Cifrado de datos
Es clave para proteger los datos almacenados, procesados y transmitidos. Las empresas deben implementar políticas de cifrado robustas y actualizar constantemente sus métodos para estar preparados ante nuevas amenazas.
Control de acceso y seguridad de activos
Las directrices de control de acceso y la gestión de activos deben protegerse adicionalmente. Al fin y al cabo, constituyen la base de una gestión eficaz de identidades y accesos. Las empresas deben encargar a expertos en seguridad de la información que aseguren los datos de identidad necesarios para que funcione un sistema de gestión de identidades y accesos (IAM).
“La transición de la ciberseguridad a NIS2 sólo puede tener éxito si la dirección y el personal de seguridad de la información trabajan juntos y reman en la misma dirección. No se trata de un proyecto sencillo, ni de una tarea de unas pocas semanas o meses. NIS2 es una tarea continua y a largo plazo. A partir de 2028, las empresas tendrán que demostrar cada año la conformidad con NIS2 de su infraestructura informática”, concluye Mario García, director general de Check Point Software para España y Portugal.