Ciberseguridad: cómo prepararse para NIS2. Bienven(NIS2)
Con frecuencia las noticias sobre la aprobación de marcos normativos en el ámbito de la Unión Europea se perciben como el eco lejano (muy lejano) de lo que algún día vendrá, ya sea por los, a veces lentos, procedimientos de transposición al ordenamiento de cada país (cuando son necesarios), ya sea por los plazos de entrada en vigor y adecuación incluidos en cada nueva norma. “Cuando lleguemos a ese rio, cruzaremos ese puente” que diría Julio César.
Sin embargo, cuando esos marcos normativos “futuros” responden a situaciones “presentes” se crea una disonancia que sólo puede corregirse abordando los procesos de adecuación de manera temprana: identificando los requisitos de seguridad incluidos en la norma (que cada vez serán más estrictos), planificando las inversiones necesarias y diseñando los procesos que permitan supervisar el cumplimiento, detectar ineficiencias y responder a ellas con acciones de mejora.
La Comisión Europea aprobó el pasado 10 de noviembre la versión 2.0 de la Directiva NIS, cuyo principal objetivo es conducir a los estados miembros a una estrategia común en lo que se refiere a la protección de las organizaciones (públicas o privadas) pertenecientes a sectores críticos: energía, transporte, mercados financieros, asistencia sanitaria, suministro y distribución de agua potable, etc.
Los estados deberán transponer en un plazo de 21 meses los nuevos elementos de la directiva a la legislación nacional.
¿Cómo prepararnos para la directiva NIS2?
Un compañero de profesión defiende que, (también) en este caso, la estrategia más adecuada es la aplicación de la probada metodología “paso corto, vista larga… y mala leche”.
Paso corto es ir poco a poco, dar a cada día sus acciones, a cada trimestre sus objetivos, y a cada ciclo su estrategia. Pasos cortos, pero uno tras otro, sin detenerse. El nuevo marco regulatorio se orienta a dar protagonismo a las personas y procesos, no sólo a la tecnología, y busca reforzar el marco de gobierno de la seguridad introduciendo responsabilidades para la alta dirección. Y deberán darse pasos que no sólo estén alineados con NIS2, ya que deberán asimismo mantener, cuando sean de aplicación, alineamiento con el reglamento de Resiliencia Digital Operativa (DORA) y la Directiva sobre la Resiliencia de la Entidades Críticas (CER), todos ellos estrechamente relacionados.
La estrategia más adecuada es la aplicación de la probada metodología “paso corto, vista larga… y mala leche"
Vista larga implica alinear ese paso corto del día a día con una visión clara de los objetivos empresariales, del negocio, de los activos principales para mantenerlo, y de los riesgos que pueden tener un impacto significativo en las operaciones comerciales, la reputación o la relación con los clientes. Vista larga implica tener un modelo, un plan.
NIS2 establece criterios técnicos, formatos y procedimientos referidos a los estándares, esquemas y protocolos internacionales (como la serie ISO 27000), ofrece directrices generales para la gestión de riesgos y define, esperemos que esta vez sea la buena, una taxonomía que pretende establecer un marco común para la categorización de incidentes.
También incide, desde varias perspectivas, en que las entidades incluidas en su alcance son responsables de aquellas empresas que participen en sus cadenas de suministro, obligándolas a tener en cuenta las vulnerabilidades introducidas por cada proveedor. La directiva no aclara como llevar a la práctica esta obligación, pero es previsible que aquellas organizaciones que gestionen un número significativo de proveedores les requieran certificaciones basadas en estándares internacionales como ISO 27001, ENS o NIST, entre otros, realizadas por auditores independientes que garanticen que las prácticas se llevan a cabo de forma continua.
Mala leche es el nexo que une el paso corto y la vista larga, identificando las oportunidades que aparecen en el día y encaminándolas hacia el análisis estratégico. Proteger hoy como si no hubiera un mañana es ineficiente para las organizaciones y desmotivador para los profesionales. Es necesario tener claramente identificados los objetivos de fondo que componen ese ambiguo concepto de sistema de gestión de la seguridad de la información (SGSI) y, al tiempo, en el día a día, dar los pasos correctos que nos acerquen a ellos.
¿Cuándo empezamos?
Cuanto antes lo haga una organización, menor será el coste económico de la adecuación y mucho menor el estrés organizativo a que deberá someterse para introducir los cambios necesarios.
Uno de los puntos más destacables de NIS2 es, pendientes de la transposición correspondiente, que ya no se notificará por la autoridad competente, a las entidades, que quedan incluidas en el alcance legislativo. Recae completamente en las organizaciones la responsabilidad de autoidentificarse como entidad esencial o importante.
Otro aspecto al que prestar especial atención, como ya se ha mencionado, es la securización de la cadena de suministro. Supondrá para las organizaciones la definición de procedimientos para evaluar si sus proveedores aplican las medidas de seguridad correctas (y las gestionan y mejoran de manera continua), y alcanzará también a la revisión de las cláusulas contractuales con ellos, especialmente en aspectos como la derivación de responsabilidad, los indicadores de incumplimiento de obligaciones y las posibles penalizaciones asociadas.
Y, por último, que no en último lugar, hay que destacar la asignación de responsabilidades a la alta dirección, la exigencia de que dispongan de las capacidades necesarias para la identificación de riesgos y las medidas de seguridad implantadas en la organización que dirigen y por las que deberán responder en caso de infracción en el cumplimiento de dichas obligaciones.
En Izertis trabajamos ya en un marco de trabajo que establezca las medidas de seguridad apropiadas para conseguir el cumplimiento de la directiva en sus diferentes ámbitos y en los diversos sectores que quedarán obligados. En base a este marco de trabajo disponemos de una metodología ágil, eficiente y de optimo coste, que permite diseñar las medidas de seguridad a implementar para el cumplimiento, los mecanismos para verificar su funcionamiento y eficiencia, y para completar el conocido ciclo de mejora continua que se aplica en todos los sistemas de gestión de riesgos en la actualidad.
Todo ello sin perder de vista el principal objetivo de las organizaciones, que no es el cumplimiento, sino disponer, en términos de seguridad, de la capacidad de analizar los riesgos que pueden perturbar o impedir el desarrollo de las actividades de negocio, anticiparse a que sucedan implantando los mecanismos necesarios y mejorar… mejorar con paso corto, vista larga y mala leche.