Con la inminente entrada en vigor de la Directiva NIS2 en la Unión Europea a partir de este mismo mes de octubre –concretamente el día 18–, las organizaciones deberán poner en marcha medidas de ciberseguridad que, hasta ahora, venían postergando. De todos los puntos que se contemplan en la normativa, hay dos novedades que impelen a mover ficha dentro de las compañías: una es la responsabilidad que tendrán los órganos directivos en el ámbito de la seguridad de su empresa, algo que antes recaía casi exclusivamente en el CISO; y otra es la necesaria formación en ciberseguridad de los empleados.
Este último punto puede llegar a ser un verdadero quebradero de cabeza para los CISO, pero, bien resuelto, podrá ser la tabla de salvación del responsable de seguridad de una empresa cuando reciba un ataque cibernético. Jinan Budge, VP, Principal Analyst en Forrester, ha publicado que su compañía «predice que el 90 por ciento de las violaciones de datos incluirán el elemento humano en 2024. Sin embargo, nuestros esfuerzos por comprender y gestionar esta importante amenaza siguen siendo tibios» a pesar de que, de 2017 a 2022, se han cuadruplicado las pérdidas «para las empresas defraudadas por ataques exitosos de compromiso de correo electrónico».
Urgente e imperativo
Al aumento de los ciberataques a las organizaciones se suma ahora la sofisticación de los mismos, dado que las nuevas tecnologías, con la inteligencia artificial a la cabeza, son también herramientas utilizadas por los atacantes. Así, reforzar la formación de los empleados en materia de seguridad se ha vuelto algo urgente y, tras la normativa NIS2, también imperativo.
Además, la urgencia adquiere mayor importancia a medida que bajamos en la pirámide empresarial. Las compañías que conforman el Ibex 35 en nuestro país son susceptibles de ser atacadas, pero son también las que más invierten en ciberseguridad y en formar a sus empleados, lo que las convierte en las más seguras, al menos sobre el papel. La Directiva NIS2 les afectará y tendrán que actuar, pero ya tienen recorrido un buen trecho del camino. Sin embargo, la mediana empresa –especialmente golosa para los cibercriminales por su capacidad económica para hacer frente a una extorsión, por ejemplo, con un ransomware; y a la vez por ser más vulnerables que las grandes cuentas– deberá doblar sus esfuerzos.
Pero el gran reto de la industria española para atenerse a la Directiva NIS2 y, especialmente, para formar a sus trabajadores, no está en la cúspide ni en la zona media de la pirámide, sino en su base, en ese grueso del tejido industrial que conforman las pequeñas empresas que carecen de la figura del CISO en su inmensa mayoría; mientras solo un reducido número de ellas cuenta con un responsable informático que actúa de «chico para todo» en asuntos tecnológicos y, el resto, que viene a ser la mayor parte de ellas, que no dispone de ninguna figura con la formación adecuada para implantar las medidas que pide la normativa.
En contraposición, casi todas estas compañías, sea cual sea su tamaño o sector, hacen uso del correo electrónico en su día a día, cuentan con una página web y utilizan el teléfono móvil para gestionar su negocio; es decir, son susceptibles de recibir ciberataques.
¿De qué sirve contar con una adecuada ciberseguridad interna si los proveedores con los que trabajamos no son tan rigurosos?
La cadena de suministro, el nuevo eslabón más débil
Aun así, las organizaciones más fuertes y con mayor inversión en ciberseguridad tampoco podrán relajarse, porque la entrada de los ciberataques ya no es el portón del castillo, sino la puerta de acceso de la cadena de suministro.
¿De qué vale contar con una adecuada ciberseguridad interna si los proveedores con los que trabajamos no son tan rigurosos y están infectados con malware, ransomware o cualquier otro virus y no ponen medidas? Este problema adquiere una mayor dimensión cuando una empresa contrata a un suministrador que, a su vez, trabaja con terceros. La cadena de suministro puede ser más larga de lo que pensamos, y no tenemos visibilidad ni control de ella. El hecho es que, en caso de una infección cibernética en un eslabón de esa cadena, la empresa contratante puede verse afectada.
La gestión del riesgo humano tendrá pues un papel cada vez más relevante en las organizaciones. Antes se hablaba de concienciación del usuario ante las amenazas existentes; ahora, el término empleado es ‘gestión del riesgo’, pero el trasfondo es el mismo: hay que potenciar la formación en materia de ciberseguridad entre los usuarios; y no de una manera puntual, sino con garantías de continuidad en el tiempo. Y, más importante aún, no quedarse con una seguridad que llega hasta la puerta de entrada, sino que amplía su campo de acción a la cadena de suministro.
La entrada La gestión del riesgo humano impulsa el cumplimiento de NIS2 se publicó primero en Red Seguridad.