El número de ciberataques se ha disparado en los últimos años y algunas estimaciones apuntan a un aumento del 600% desde 2020. Este incremento se debe en parte a la rápida transición al trabajo remoto, que está creando vulnerabilidades en los sistemas recientemente digitalizados. Los ciberdelincuentes también se dirigen a un conjunto más amplio de víctimas, desde empresas hasta instituciones educativas, y sus métodos evolucionan constantemente.
Esta tendencia alarmante pone de relieve la necesidad crítica de implementar medidas sólidas de ciberseguridad. Las empresas y organizaciones deben invertir en protección de datos, formación de empleados y software de seguridad actualizado para mantenerse un paso por delante de los ciberdelincuentes. Proteger nuestro mundo cada vez más interconectado requiere contar con un enfoque proactivo de la ciberseguridad.
En este sentido, la Unión Europea (UE) ha dado un importante paso al frente en la lucha contra la ciberdelincuencia con la introducción de la Directiva sobre Redes y Sistemas de Información 2, o NIS2. Esta directiva representa una importante revisión de las normas de ciberseguridad en todo el territorio, con el objetivo de reforzar las defensas contra las amenazas en constante evolución de la era digital.
La directiva aplica a una variedad más amplia de sectores y clasifica a las entidades en dos grupos en función de la importancia de sus servicios:
- Entidades esenciales: se trata de organizaciones consideradas esenciales para el funcionamiento diario de la UE. Incluye sectores como la energía, el transporte, la banca, el agua, la sanidad, la gestión de residuos y los proveedores de infraestructuras digitales (cloud computing, mercados online, motores de búsqueda).
- Entidades importantes: estas organizaciones suelen prestar servicios de apoyo a entidades esenciales. Podría tratarse de fabricantes, distribuidores, empresas de gestión de residuos en sectores críticos y proveedores de servicios de Internet (ISP).
Los objetivos clave de NIS2 son hacer cumplir una línea de base de medidas de ciberseguridad en estos sectores. Esto incluye prácticas de administración de riesgos, obligaciones de reporte de incidentes y evaluaciones de seguridad de la cadena de suministro. Por otro lado, se busca mejorar la cooperación en toda la UE en materia de amenazas de ciberseguridad. Así, la directiva establece una obligación para las autoridades competentes, las autoridades de gestión de crisis cibernéticas, los puntos de contacto únicos sobre ciberseguridad y los equipos de respuesta a incidentes de seguridad informática (CSIRT) en cada estado miembro, y fomenta el intercambio de información entre esas autoridades.
Cumplimiento de NIS2 y proveedores de servicios
La directiva NIS2 clasifica la administración de servicios TIC, que incluye a los proveedores de servicios gestionados (MSP) y proveedores de servicios de seguridad gestionada (MSSP), como un sector sumamente fundamental. Esto significa que los MSP y los MSSP están sujetos a requisitos de ciberseguridad más estrictos en virtud de la directiva NIS2, lo que implica que deben implementar medidas técnicas, operativas y organizativas adecuadas para manejar los riesgos de ciberseguridad, que abarcan la prevención de incidentes, la minimización del impacto y la presentación de informes a las autoridades. Además, con un mayor enfoque en la seguridad de la cadena de suministro, es posible que las organizaciones clasificadas como esenciales, que dependen de los MSP/MSSP, deban evaluar las prácticas de ciberseguridad de sus proveedores como parte de la administración de riesgos de los proveedores.
Medidas de ciberseguridad de base
Como se ha mencionado, las entidades esenciales e importantes de diversos sectores están obligadas a cumplir de base una serie de medidas de ciberseguridad que se centran en un enfoque de gestión de riesgos y requiere que las organizaciones realicen evaluaciones de riesgos periódicas, implementen protecciones técnicas y organizativas (como firewalls y controles de acceso) y establezcan procedimientos para detectar y reportar incidentes de seguridad, y para responder a estos.
Estas medidas deben adaptarse a los riesgos de los sistemas de redes e información específicos de la entidad. En este aspecto se incluyen medidas para prevenir incidentes, minimizar su impacto en los destinatarios de servicios y otros servicios y, en última instancia, mantener un nivel de seguridad que se alinee con los riesgos potenciales.
Para determinar las medidas apropiadas, deben tenerse en cuenta factores como los avances tecnológicos, las normas de seguridad europeas e internacionales pertinentes y los costes de implementación. Además, la proporcionalidad de estas medidas debe evaluarse en función del tamaño de la entidad, la probabilidad y la gravedad de posibles incidentes (incluidos los impactos sociales y económicos) y la exposición general de la entidad a las amenazas cibernéticas.
Cómo cumplir con NIS2
Agilizar y facilitar el cumplimiento de la directiva apoyándose en tecnologías de vanguardia es posible, aunque cumplir con los estrictos requisitos que marca la normativa es más fácil de decir que de hacer.
Sin embargo, la tendencia a la consolidación de tecnologías es una fórmula que está ganando tracción entre los MSP en tanto que les ayuda a simplificar la presentación de informes, la detección de amenazas y la postura de seguridad general, proporcionando la visibilidad, el control y la escalabilidad necesarias para ejecutar NIS2. Esto facilita enormemente el cumplimiento normativo.
Por tanto, contar con una única plataforma que permita desplegar y gestionar un conjunto estrechamente integrado de funciones de seguridad de forma rápida y eficaz, y poder intervenir a distancia en cualquier momento para gestionar esos diferentes servicios, es algo que sin duda ayudará a los MSP ser más efectivos y eficaces en la protección de sus clientes al mismo tiempo que ganan tranquilidad en lo que al cumplimiento normativo se refiere.
Ricardo de Ena Quintana, area sales manager de WatchGuard Iberia
