Caminando hacia la próxima aplicación de la normativa de ciberseguridad que cambiará la estrategia en las organizaciones
El próximo año empezará a ser efectiva la entrada en vigor de la Directiva europea NIS2, que es la legislación a escala de la Unión Europea en materia de ciberseguridad, y que tiene como objetivo ofrecer medidas legales para impulsar el nivel general de ciberseguridad en la UE.
Partiendo de la inevitabilidad de sufrir un incidente de ciberseguridad, la CIBERresiliencia es una estrategia para que las organizaciones puedan continuar con sus operaciones ante un ciberataque. La sociedad y más el entorno empresarial no obliga a ser ciberresilientes. Y es que hay una razón social: cuánto más empresas CIBERresilientes menos posibilidad de triunfo por parte de los ciberatacantes.
En este sentido, el cambio de matiz que trae consigo la NIS2 y que se nos avecina el año que viene, es que, más allá de la inclusión de nuevos obligados, nuevas medidas, novedades en las sanciones, etc., los nuevos requerimientos se enfocarán en la gestión de riesgos y las empresas pasarán a ser responsables de la actuación de sus proveedores y suministradores.
Un ejemplo de ello será cuando un cliente, con el que se lleva colaborando muchos años, no pueda seguir trabajando con nuestra empresa, no por la falta de calidad de los productos o servicios, del trato, de los precios, etc. sino porque no se cumplan con los estándares de ciberseguridad y que, a causa de la escasa postura de ciberseguridad, los responsables de la compañía podrían tener responsabilidades penales, el panorama cambia completamente.
Desde Datos101, empresa española especialista en soluciones de seguridad de datos para compañías, destacan que “la NIS2 cambiará la perspectiva de muchas empresas y las excusas de ‘no soy CIBERresiliente porque no soy objetivo y mi información no importa a nadie o soy demasiado pequeño y no me van a sancionar…’ se acabará cuando el cliente no quiera o no pueda trabajar con nosotros”.
Juan Llamazares, CEO de Datos101, avisa que “más pronto que tarde, las organizaciones van a tener que constatar la postura de ciberseguridad de sus proveedores, socios y colaboradores de negocio”.
La importancia de la cadena de suministro
En relación con los ataques a la cadena de suministro, la Agencia de la Unión Europea (UE) para la Ciberseguridad (ENISA) advierte sobre el crecimiento espectacular de éstos de un año a otro: un 17% de las intrusiones fueron incidentes relacionados con las cadenas de suministro.
Un ataque a la cadena de suministro sucede cuando el ciberatacante accede a la red de trabajo de una organización a través de terceros, como son proveedores, colaboradores, vendedores o incluso clientes. Muchas empresas trabajan con multitud de proveedores, desde materiales de producción hasta la externalización de servicios como pueden ser los tecnológicos. En otras, además, sus clientes acceden a los sistemas para cumplimentar determinados procedimientos.
Santiago Arellano, Cyber Account Manager destaca que “es por ello por lo que es crucial proteger esa cadena de valor y garantizar que las empresas con las que trabajamos están igual de comprometidas con su postura de ciberseguridad. La falta de diligencia a la hora de establecer acuerdos con socios de negocio que no sean rigurosos con la protección de sus infraestructuras tecnológicas, su información y la nuestra, incrementa la efectividad de los ataques de los ciberdelincuentes”.
La mejora continua en la postura de ciberseguridad
Las regulaciones derivadas de la férrea regulación europea en materia de ciberseguridad elevarán el nivel de exigencia a este respecto de las compañías a sus proveedores. Esta situación obligará a tener una visión más global y completa de los riesgos en ciberseguridad de una organización. Al respecto, Datos101 considera que las empresas van a tener que reformular sus modelos de cumplimiento y su postura de ciberseguridad por aplicación de las nuevas regulaciones, siendo sometidas a controles periódicos por parte de sus clientes.
Sobre la postura de ciberseguridad, Santiago Arellano explica que: “Lo primero que debemos hacer antes de adoptar cualquier herramienta de ciberseguridad es saber cómo estamos y cuáles son los riesgos de ciberseguridad a los que se enfrenta o puede afrontar nuestra organización. Para ello debemos realizar un diagnóstico de la situación, realizar al menos un pentesting de la página web y analizar las vulnerabilidades de nuestra infraestructura tecnológica. Considero imprescindible proteger el puesto de trabajo con la adopción de un antivirus o su evolución EDR (Endpoint, Detection and Response)”.
El experto de Datos101 añade, además, que “el primer firewall de las compañías es el usuario y nuestros trabajadores deben conocer las amenazas a las que tienen que hacer frente en el uso diario de las herramientas tecnológicas que las organizaciones ponen a su disposición. Dentro de la evolución y la mejora de la postura de ciberseguridad de la compañía, se deberían incorporar soluciones más específicas para resolver amenazas concretas y, aquí, proponemos proteger el correo electrónico y la fuga de datos, el mayor activo de las empresas. Finalmente, para completar y limitar al máximo nuestro riesgo, considero necesaria la contratación de un ciberseguro”.