La UE está cambiando su paradigma en ciberseguridad. Con un enfoque que está centrándose más en la resiliencia como concepto holístico, esto se traduce en una serie de cambios en la regulación que necesitan de un examen a fondo.
Están siendo unos años de gran agitación en la Unión Europea en lo que se refiere a ciberseguridad. Entre CER, NIS2, DORA, las empresas viven sumidas en un mar de siglas que, además, no va a ir a menos en los próximos años. Todas estas normativas apuntan a un mismo concepto: la resiliencia cibernética, que desde el INCIBE definen como “la capacidad de un proceso, negocio, organización o nación para anticipar, resistir, recuperarse y evolucionar para mejorar sus capacidades de sobreponerse ante condiciones adversas, estrés o ataques”.
Se trata, pues, no de limitarse a establecer una estrategia reactiva o defensiva, centrada en ciberataques y cómo reaccionar a ellos. Es reforzar la organización y tener todos los mecanismos posibles preparados para que cuando haya un problema, porque lo va a haber, el incidente se gestione de la manera más ágil y menos lesiva posible. Independientemente de si es un ataque a la cadena de suministro o una actualización masiva defectuosa.
Cuáles son los principales reglamentos en juego
Es fácil perderse entre las últimas novedades legislativas, entre las aprobadas en Europa que ya entraron en vigor, las que hay que trasponer y las que están pendientes de aplicación o aún por debatir. Elisa de Hevia, socia de ciberseguridad de Deloitte, hace un resumen. “Tenemos nueva legislación cuyo objetivo fundamental es mejorar la resiliencia de las organizaciones ante los ciberriesgos”, de las que destaca la directiva 2022/2555 o NIS2, la directiva 2022/2557 sobre entidades críticas (CER) y el reglamento 2022/2554, conocido como DORA, “que afecta al sector financiero y que será aplicable a partir del próximo 17 de enero”. De Hevia resalta también las últimas normas europeas en inteligencia artificial, ya que “entre los requisitos de control que nos exige el reglamento, se encuentran algunos relativos a la ciberseguridad”.
La directiva NIS2 viene a sustituir a su predecesora NIS1 y tiene el objetivo de “alcanzar un elevado nivel común de ciberseguridad en toda la Unión con el objetivo de mejorar el funcionamiento del mercado interior”, especialmente en lo que a infraestructuras críticas y esenciales se refiere. Para esto establece una serie de obligaciones y de medidas para la gestión de riesgos, el intercambio de información sobre ciberseguridad, supervisión y ejecución.
En las infraestructuras críticas pone también el foco la normativa CER, aunque aquí la ciberseguridad es un aspecto más de los varios que se deben cuidar para garantizar la prestación de los “servicios esenciales para el mantenimiento de funciones sociales o actividades económicas vitales” relacionados con estas infraestructuras. En vigor desde enero de 2023, el 17 de octubre finaliza el plazo para que los Estados miembro traspongan estas directivas.
Más específica es la Digital Operational Resilience Act o DORA. Este reglamento busca incrementar el nivel de resiliencia operativa digital para el conjunto de la UE en el sector financiero, concretamente en “la seguridad de las redes y los sistemas de información que sustentan los procesos empresariales” de estos organismos. La regulación obligará a las entidades de este tipo a fijar una serie de requisitos para la prevención, detección y gestión de incidentes que deben estar cumpliendo el 17 de enero de 2025.
“En un futuro cercano”, añade de Hevia, “es necesario mencionar la próxima Cyber Resilience Act y, a nivel nacional, las transposiciones de la NIS2 y la CER”. La socia de Deloitte incide en el cambio que suponen estas normativas frente a la regulación anterior en ciberseguridad, que “estaba muy fragmentada, no estaba plenamente armonizada y también había quedado algo desfasada respecto a los avances de la tecnología”. Valora también que se amplíe el ámbito de aplicación a más sectores empresariales y tipologías de entidades y no solo cubra las designadas por las autoridades competentes.
“Las empresas tienen que entender que una brecha de seguridad no solo les afecta a ellas, sino también a sus clientes, a la cadena de suministro y a terceros”
René Serral, investigador del inLAB FIB y profesor de la UPC
Implicaciones empresariales de las nuevas normativas
René Serral, investigador del inLAB FIB y profesor de la Facultad de Informática de Barcelona de la Universitat Politècnica de Catalunya (UPC), suma además el Esquema Nacional de Seguridad o ENS en España, actualizado en 2022 para incluir las nuevas tendencias y desafíos en ciberseguridad. Todas estas medidas apuntan en una dirección. “Las empresas tienen que entender que el hecho de que tengan una brecha de seguridad no solo les afecta a ellas, sino también a sus clientes, a la cadena de suministro y a terceros”. No se trata de si (condicional) van a sufrir un ciberataque, enfatiza Serral, sino de que sí (afirmación) va a pasar y, por tanto, hay que intentar minimizar el impacto. De DORA, en concreto, también destaca su esfuerzo en la dirección de mitigar y tomar un papel más proactivo.
El investigador de la UPC reconoce que el proceso de adaptación de las compañías puede ser complicado, en parte por la carga económica que les supone y especialmente entre aquellas de menor tamaño. Esto, alerta, puede llevar a que se haga una adopción de mínimos, ante lo que llama a un mayor realismo desde el ámbito regulador. “Es bueno que les obliguen”, apunta, “pero a lo mejor tendrían que poner más herramientas”, especialmente dirigidas a aquellas de menor tamaño, para una implementación más efectiva.
En este sentido, De Hevia valora cómo las nuevas regulaciones “instan a elevar nuestro nivel de madurez en la gestión de los riesgos tecnológicos y de ciberseguridad”, lo que conlleva “revisar, actualizar y mejorar las medidas de seguridad”. “Pero no sólo eso”, prosigue. “Más allá del mundo ‘técnico’, existen implicaciones relevantes desde la perspectiva de gobernanza: refuerzan la necesidad de que los órganos de dirección adopten un papel mucho más activo y consciente en la gestión de estos riesgos”. Precisamente este puede ser el principal reto de las actualizaciones que llegan de Europa, señala: ese superar lo técnico para conocer qué sistemas soportan las actividades realmente críticas de la organización, entender los riesgos y su impacto y establecer medios para protegerlos, algo que debe ser sostenido en el tiempo. “Se trata de un reto transversal a toda la organización y que puede requerir de un cambio cultural”.
Las nuevas regulaciones “refuerzan la necesidad de que los órganos de dirección adopten un papel mucho más activo y consciente en la gestión de estos riesgos”
Elisa de Hevia, socia de ciberseguridad de Deloitte
“Tanto DORA, como el NIS2 como el ENS, de una forma o de otra, lo que piden es de que conciencies a tus empleados den las buenas prácticas”, profundiza Serral, “porque por desgracia el ser humano es el eslabón más débil de esta cadena”. Esta falta de concienciación o desconocimiento “puede llevar indirectamente a realizar acciones que pongan en entredicho la seguridad de toda la empresa”: es el ataque a la cadena de suministro, una de las vías preferidas para ciberataques y, por tanto, uno de los puntos sensibles a proteger. Serral redunda en la idea de que uno de los puntos fuertes de estas normativas es conseguir “que todo el mundo sea consciente que esto no es una batalla de una sola persona, que es una batalla colectiva”. Quizás la clave de esa resiliencia que se propone desde el ámbito regulatorio sea más básica que cualquier obligación y empiece (y acabe) por el papel que cada persona que forma parte de la organización juega en la ciberseguridad.
Fuente: https://www.computerworld.es