“Todas Las Empresas Deberían Abordar NIS-2 En Detalle y En Una Fase Temprana”

enero 15, 2024
G DATA Blog

 

“Todas Las Empresas Deberían Abordar NIS-2 En Detalle y En Una Fase Temprana”

Hasta el 18 de octubre de 2024, decenas de miles de empresas deberán aumentar su nivel de seguridad informática de acuerdo con la nueva directriz NIS 2. Dr. Matthias Zuchowski, experto en regulación de G DATA CyberDefense, explica qué medidas deberían tomar las empresas ahora y presenta un plan de proceso concreto.

¿Qué medidas deben tomar las empresas afectadas?

Dr. Matthias Zuchowski: El primer paso es que las empresas afectadas se registren en una oficina de informes. El paso anterior también es importante: es decir, evaluar si una empresa está siquiera sujeta al NIS-2. Sin embargo, todavía es necesario crear la oficina de informes en el BSI.

A continuación, los responsables deberían examinar y trabajar los diez puntos de las medidas de gestión de riesgos.

El primer punto: conceptos relacionados con el análisis de riesgos y la seguridad de los sistemas de información. Esto no es más que una petición para introducir un Sistema de Gestión de Seguridad de la Información (SGSI) para luego vivirlo y sacar las conclusiones necesarias de él. Luego pasamos a abordar los incidentes de seguridad, es decir, la respuesta a incidentes. Debido a que muchas empresas carecen de personal especializado y/o de presupuesto, deberían pensar en un contrato de respuesta a incidentes. Recomendamos trabajar con una empresa de ciberdefensa para estar preparado para el peor de los casos. El punto tres es la gestión de la continuidad del negocio, es decir, el mantenimiento de las operaciones. Esto también incluye puntos como la gestión de respaldo y la recuperación después de una emergencia, así como la gestión de crisis.

El cuarto punto es un tema complejo: la seguridad en la cadena de suministro. Los responsables primero deben aclarar qué incluye realmente su cadena de suministro. Porque algunas cosas son obvias cuando se compran productos o servicios, pero el software de código abierto también forma parte de la cadena de suministro. Y NIS-2 requiere proteger toda la cadena de suministro en términos de redes y sistemas de información y el entorno físico de estos sistemas.

Luego sigue el tema de “Medidas de seguridad en el desarrollo, adquisición y mantenimiento de sistemas de tecnología de la información”. Esto también incluye la gestión y divulgación de vulnerabilidades, en resumen, gestión de vulnerabilidades.

En sexto lugar, las empresas también necesitan conceptos y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos y, en séptimo lugar, procedimientos básicos en el ámbito de la ciberhigiene y la formación de los empleados. Se refiere a la formación de concienciación para que los empleados mejoren su conocimiento de las ciberamenazas.

Los tres últimos puntos: conceptos y procedimientos para el uso de criptografía y cifrado y seguridad del personal, es decir, controles de acceso, así como gestión de la seguridad del sistema y, por último, pero no menos importante, autenticación multifactor.

¿NIS-2 proporciona requisitos para su implementación?

Dr. Matthias Zuchowski: Las empresas deben implementar los temas mencionados de manera adecuada, proporcionada y efectiva. ( Aquí hemos recopilado toda la información sobre NIS-2 .) Los responsables deben guiarse por los últimos avances y tener en cuenta también los estándares existentes, como la ya mencionada ISO 27001. En términos sencillos, esto significa: si una empresa ya cuenta con la certificación ISO 27001, en mi opinión ya ha cumplido en gran medida los requisitos de NIS-2 en el ámbito de la gestión de riesgos, siempre que los responsables cumplan con los últimos avances técnicos. . Esto incluye, por ejemplo, el uso de sistemas de respuesta y detección de puntos finales. Pero en general, NIS-2 va más allá de ISO. Es necesario tomar más medidas. Especialmente cuando se trata de responsabilidad de la junta directiva y obligaciones de presentación de informes.

El NIS-2 también proporciona información sobre los costos: los responsables deben basar los costos de implementación en los riesgos y el tamaño de la instalación. Lo importante en este contexto es que las empresas no tengan que implementar todo lo posible si hay buenos argumentos en contra.

¿Cómo podría ser un plan de negocios?

Dr. Matthias Zuchowski: Si estás empezando, primero deberías crear un proyecto sobre el tema NIS-2. El grupo del proyecto requiere la dirección, el director de TI, el director de seguridad de TI y todas las personas que sean relevantes en el contexto. Y eso debería suceder hoy y no mañana, porque las exigencias son tan altas que ninguna organización puede manejarlas por separado. En mi opinión, para cada tema se necesitarán al menos doce meses. Y cualquiera que empiece desde cero definitivamente necesitará aún más tiempo.

Este grupo de proyecto debería primero completar la formación en ciberseguridad. Para crear una comprensión básica común de la seguridad informática. Porque sin este conocimiento el grupo del proyecto no puede cumplir su tarea. Si ya tiene estos conocimientos básicos, puede ir directamente al paso dos.

Paso dos: El director de TI debe informar a la dirección que los miembros de la junta serán personalmente responsables de los requisitos de NIS-2. Por cierto, según el proyecto de ley alemán, que va más allá de las exigencias europeas, los acuerdos de exención son ineficaces. El seguro para directores y directivos, es decir, un seguro de responsabilidad y protección jurídica para directores, gerentes y todos los que toman decisiones, debería seguir siendo posible, siempre que paguen. La ley obliga a los miembros del consejo de administración y a los directivos a ocuparse personalmente de las cosas. La delegación dentro de la junta tampoco es del todo posible, por lo que se aplica lo siguiente: compañeros de prisión. El NIS-2 responsabiliza a todos los miembros del piso ejecutivo.

Se requiere un proyecto ISMS separado dentro de la implementación de NIS 2. Se trata de la introducción de la norma ISO 27001. Sin embargo, esto suele requerir el apoyo externo de empresas consultoras con experiencia. Pero a cambio, las empresas reciben claridad sobre lo que se debe hacer basándose en un análisis bien fundamentado.

El siguiente paso tiene que ver con la seguridad de la cadena de suministro: si desea proteger su cadena de suministro, primero debe clasificarla y obtener una visión general de cómo es realmente. Sólo eso lleva tiempo. Sin duda, las compras pueden ayudar, ya que, en última instancia, procesan las facturas de todas las entregas. Pero no es necesario pagar por todo, como ocurre con muchos productos de código abierto. Pero la base de proveedores ofrece una buena visión general para asegurar la cadena de suministro. En este caso, los certificados de proveedores son una opción entre varias, pero bastante conveniente para la empresa. Sin embargo, como responsable, tengo que comprobar este estado una y otra vez. Esto no es algo que ocurre una sola vez. Cualquiera que utilice código abierto debe ser creativo. En última instancia, también es una cuestión de cuán crítico es. Cualquiera que haga toda su contabilidad con software de código abierto ciertamente corre un riesgo mayor.

Paso cuatro: Certificaciones de ciberseguridad. La primera cuestión que hay que aclarar aquí es si esto es relevante para una empresa como proveedor o como comprador. Entonces: ¿mi empresa o yo producimos un producto que debe tener la certificación de seguridad o tengo la obligación de comprar únicamente productos que estén certificados en consecuencia? El problema: puede haber requisitos de que a las empresas sólo se les permita comprar productos certificados de una determinada categoría, o que a sus clientes sólo se les permita comprar productos certificados. Sin embargo, aquí todavía no se ha dicho la última palabra. Actualmente faltan las normas legales pertinentes, por lo que aún no está claro qué productos se verán afectados. El único caso de ejemplo que conozco hasta ahora es el de las redes móviles públicas 5G, también conocidas como Lex Huawei. Los componentes utilizados allí deben estar certificados. Pero tengo claras dudas de que la lista siga siendo tan corta en el futuro. Sin embargo, las compras deberían prepararse para esto y las empresas deberían comprobar de antemano qué tendrían que hacer para obtener la certificación de seguridad adecuada para sus productos. Entonces, si a mis clientes ya no se les permite comprar mis productos debido a la falta de un certificado, eso es un problema económico grave.

 

¿Existen ya certificados que puedo utilizar?

Dr. Matthias Zuchowski: En mi opinión, el sistema de certificación de ENISA, la Agencia de Ciberseguridad de la Unión Europea, para los Criterios Comunes es actualmente el más avanzado. Common Criteria es también uno de los esquemas fundamentalmente posibles para las redes móviles 5G. Entonces probaría certificaciones sobre eso. También recomiendo que las empresas echen un vistazo a la Ley de Resiliencia Cibernética y la categorización que contiene. En mi opinión, esto proporciona una aproximación de quiénes podrían verse afectados por estas certificaciones. Supongo que muchas empresas tendrán que recurrir a apoyo externo. Y debes planificar esto en tu presupuesto: no es gratis. Pero los compradores de productos que pronto tendrán que ser certificados también deberían estar preparados para el aumento de los costos si las empresas vendedoras trasladan los costos de la certificación y los trasladan a los clientes.

¿Qué sucede después de la certificación?

Dr. Matthias Zuchowski: Otro tema es el proceso de notificación de emergencias informáticas. Aquí recomiendo hablar con el delegado de protección de datos sobre su proceso de denuncia. Este es un ejemplo ideal de mejores prácticas que el grupo del proyecto puede utilizar como guía.

A continuación, NIS-2 prevé un formato de intercambio, pero esto también está todavía en planificación. En concreto, se trata de una plataforma en la que las empresas pueden intercambiar ideas sobre ciberseguridad. Todo está organizado por la BSI, la Oficina Federal para la Seguridad de la Información.

Y el último punto: durante el proyecto SGSI, una empresa debería aprovechar la oportunidad para mejorar su gestión de riesgos en general. Recomiendo utilizar las mejores prácticas, por ejemplo de Teletrust. En este caso, las empresas deberían comparar su estado actual con el estado objetivo e iniciar las medidas adecuadas. Esto también puede ser bastante extenso.

Sólo puedo aconsejar a todas las empresas que observen detenidamente NIS-2 en una fase temprana. Porque eso lleva mucho tiempo y lamentablemente los ciberdelincuentes tampoco duermen. Aprovechan cada oportunidad para atacar a una empresa.

Enlace: https://www.gdata.de/blog/2024/01/37844-jedes-unternehmen-sollte-sich-mit-nis-2-auseinandersetzen Blog de G DATA Stefan Karpenstein

 

 

Artículos recientes

Proyecto Sharp: Nuevo Ladrón De Información En El Mercado Clandestino

  • abril 30, 2024

Mamont: El Troyano Bancario De Android Se Disfraza De Chrome

  • abril 23, 2024

Estafas En Linkedin:Los Ciberdelincuentes Utilizan Estas Estafas En Las Redes Empresariales

  • abril 15, 2024

Madre De Todas Las Infracciones: Una llamada De Atención

  • marzo 20, 2024

STOP Ransomware: Manténgase Alejado de las Descargas Ilegales de Software

  • marzo 5, 2024

Técnicas: Uso Actual de Métodos de Detección de Máquinas Virtuales

  • febrero 27, 2024

La Estafa «ESTA», es Decir, Un Permiso De Viaje Falso a EE.UU.

  • febrero 6, 2024

Mis 6 Predicciones De Seguridad Para 2024…

  • enero 29, 2024

Ataques APT: Una Ciberinvasión Silenciosa De Las Instituciones Globales

  • enero 18, 2024

“Todas Las Empresas Deberían Abordar NIS-2 En Detalle y En Una Fase Temprana”

  • enero 15, 2024

“Si nos fijamos en NIS-2, encontraremos muchos paralelos con ISO 27001”

  • enero 2, 2024

Nueva Variante del Agente Tesla: Archivo ZPAQ Utilizado Para Difundir Malware

  • diciembre 12, 2023