Durante el Jueves 25 de Septiembre tuvo lugar en TECNOSEC la mesa redonda de seguridad en las comunicaciones en la que se debatió de la aplicación de la directiva NIS2aplicada a operadores de telecomunicaciones como entidades críticas. Durante este debate estuvieron presentes el coronel Luis Fernando Hernández García de Guardia Civil, José Miguel Rincón Suz Policía Municipal de Madrid, Airbus y EPICOM. Algunos de los temas tratados son las novedades que trae la NIS2, sus implicaciones para empresas y entidades y recomendaciones para implementarla.
Tendencia actual en este campo
Se debe prever una mayor integración de IA en la detección de amenazas, secularizar las infraestructuras 5G y el cloud híbrido, y aumentar la capacidad de ciberresiliencia, lo que nos lleva al análisis de riesgos. Este análisis se ha convertido en un requisito obligatorio para las entidades sujetas al Esquema Nacional de Seguridad (ENS) y, una vez transpuesta la directiva NIS2 y aprobado su anteproyecto de ley, también afectará a las entidades críticas y de referencia incluidas en dicho proyecto.
La directiva NIS2 obligará de forma indirecta a seguir el Esquema Nacional de Seguridad, ya que toda esta normativa se centra en el análisis de riesgos; además, las entidades del sector financiero deberán cumplir el reglamento DORA, que es un reglamento previo que afecta a este sector y que marca en sus requisitos específicos la resiliencia.
Qué novedades trae el anteproyecto de ley de la NIS2
La NIS2 es una transposición de la normativa 25/55 de 2022 y se articula en tres ejes fundamentales: crea el Centro Nacional de Ciberseguridad para coordinar, impulsar y gestionar crisis; define los sectores que son críticos; y establece la figura del responsable de ciberseguridad en las empresas, que actuará como interlocutor con el Centro Nacional de Ciberseguridad. Este centro se enfocará en 5 áreas clave: monitoreo de amenazas, respuesta rápida a incidentes, colaboración internacional, formación y asesoramiento, investigación e innovación. Estarán obligadas al cumplimiento de esta normativa todas las empresas residentes en España y también aquellas que aunque no residan en el país operen en él.
Las implicaciones que la directiva NIS2 tiene en la operativa de Policía Municipal de Madrid
La aparición de la directiva NIS2 implicará una revisión de políticas y una adaptación a la norma; gracias al ENS ya ha recorrido gran parte de ese camino, por lo que solo hará falta repasar las normativas en colaboración con el Centro Nacional de Ciberseguridad. NIS2 exige una mayor implicación de la alta dirección y refuerza la continuidad del negocio: el apagón nos hizo reflexionar y tomar conciencia de que nada es infalible, por lo que para servicios críticos como la red TETRA es necesario empezar a trabajar en un modelo de continuidad de negocio que permitan a las entidades seguir funcionando pese a un fallo de red.
NIS2 también exige revisar la cadena de suministro y a los proveedores de servicios; incidentes como el apagón pueden repetirse en otras circunstancias, siendo algo que no se pueden dejar al azar, por lo que el compromiso de los proveedores debe reflejarse en contratos y procedimientos establecidos para que se pueda operar. El plan de acción debe hacerse en colaboración con el Centro de Ciberseguridad: realizar una evaluación inicial de impacto y un análisis de riesgo conforme a NIS2, adaptar las políticas de seguridad y ejecutar las inversiones necesarias para implantar las medidas técnicas en los puntos identificados para mejora.
La NIS2 no es una normativa sancionadora sino una oportunidad para que las empresas estén más protegidas
Cuando llega una normativa la mayoría de empresas lo ven como algo que restringe, que exige una cierta serie de requisitos, y es un enfoque erróneo. Por ello hay que afrontar la NIS2 con un enfoque de vista más integral, un enfoque GRC que empiece con la G de gobernanza, es decir, tiene que implicarse la dirección de la empresa. Tiene que ser un enfoque top down que vaya estableciéndose en toda la organización. Este compromiso debe traducirse en asignación de responsabilidades, recursos y en la creación de políticas y procedimientos claros.
Cada organización difiere en cuáles son sus activos y cómo deben protegerlos, y ahí entra la identificación de riesgos, que pueden estar, por ejemplo, en la cadena de suministro. La NIS2 pone mucho énfasis en afrontar la cadena de suministro; sin embargo, hasta ahora las soluciones en el mercado suelen limitarse a explorar si un dominio ha sido comprometido o si hay información sensible en la dark web, quedando así en la superficialidad de la responsabilidad sobre la cadena de suministro.
Esa misma gestión de riesgos que aplicamos a la empresa debe trasladarse a nuestros proveedores; no basta con que cumplan el ENS o normativas establecidas, también hay que centrarse en la formación. La gestión de riesgos abarca dispositivos e infraestructuras de red, por ello hay que asegurar cómo se comunican los dispositivos propios de una empresa con sus infraestructuras red y las de los proveedores. La formación es esencial porque los ataques se están sofisticando con IA, es mucho más sencillo manipular un email que crear un sistema tecnológico sofisticado. Por ello se suele atacar por la vía social, que es el eslabón más débil; por eso la formación debe extenderse a toda la cadena de suministro, no solo dentro de la organización.
Cómo gestionar los riesgos y recomendaciones
Siempre se va a tener que gestionar una cantidad importante de riesgos; como recomendación, las empresas tienen que implementar soluciones de sistemas de gestión de seguridad de la información. Una ventaja en España es disponer de metodologías como el ESN. Las organizaciones que aún no han empezado con la NIS2 deberían comenzar por el ESN, porque ese trabajo ya cubre gran parte de la gestión de riesgos.
Otro reto clave es la recuperación y la detección en la gestión de incidentes, pues existe una dificultad importante para disponer de la capacidad y los mecanismos necesarios que permitan a las empresas garantizar la continuidad del negocio de forma inmediata.
Se debe mantener este enfoque GRC de forma habitual y activa, no basta con implantar controles y olvidarlos: las simulaciones deben ser reales y prácticas, no ejercicios en papel con procedimientos al lado, integrar la gestión de crisis en seguridad y en safety y security —áreas que en España no siempre se distinguen— para que, cuando ocurra un incidente, estemos preparados.
Dado que la mayoría de las empresas sufren o han sufrido ataques, se deben de identificar bien nuestros activos y adoptar una gestión integral GRC, dejando el cumplimiento como resultado final y no como objetivo único, y ver la NIS2 como una oportunidad para elevar el nivel de seguridad de empresas y administraciones públicas.
La entrada Directiva NIS2 aplicada a operadores de telecomunicaciones como entidades críticas: novedades, implicaciones y recomendaciones se publicó primero en El Radar.
La entrada Directiva NIS2 aplicada a operadores de telecomunicaciones como entidades críticas: novedades, implicaciones y recomendaciones aparece primero en APTIE -Tecnologías e Industrias Estratégicas.
