Smiling mature businessman sitting at cafe with partner enjoying meal. Portrait of senior businessman in restaurant looking at camera. Multiethnic man having an informal meeting at restaurant.
La directiva europea NIS2 (Ley de Coordinación y Gobernanza de la Ciberseguridad) amplía los sectores y organizaciones obligadas a cumplirla, endurece las sanciones, e incluye nuevas obligaciones relacionadas con la cadena de suministro y las relaciones con proveedores.
El impacto de NIS2 no solo afecta a infraestructuras críticas, sino también a muchos otros sectores como finanzas, sanidad, telecomunicaciones, energía y transporte, fabricación o proveedores de servicios IT, entre otros. Como sucede en normas similares como DORA, a partir de ahora, los altos cargos responderán también por las infracciones en materia de ciberseguridad, lo que puede traducirse en multas que alcanzan el 2% del volumen de negocio anual de la empresa.
De este modo, las organizaciones tienen que reforzar sus medidas de seguridad, desarrollando planes de continuidad y recuperación, aplicando políticas y prácticas de ciberhigiene para mitigar las vulnerabilidades, introduciendo sistemas de cifrado y gestión de claves, gestión de los accesos y autenticación, formación de los empleados y directiva, evaluación de la cadena de suministro; y muchas otras prácticas que suponen un antes y un después para las empresas y para sus equipos de ciberseguridad.
Para poder tomar el pulso a cómo las empresas están adoptando dicha regulación pero, sobre todo, analizar las buenas prácticas y los desafíos que NIS2 representa, Silicon organizaba un encuentro de la mano de Thales e Imperva al que acudían Andrés Elizondo, IT Security Governance de AXA; Javier Heras, Risk Management & Internal Control Director de Grupo Iskaypet; Raúl Moreno Jiménez, CISO de Fertiberia; Fernando Sanz de Galdeano, CISO de Arcano Partners; y Enrique García, director de Red Digital en i-DE Iberdrola.
Un encuentro que Alfonso Martínez, Country Sales Manager para Spain & Portugal de Thales comenzaba explicando cómo la ciberseguridad es un reto si cabe mayor día a día. “La última semana de febrero, España era el tercer país más atacado del mundo; este tipo de ataques afectaban principalmente a la Administración Pública pero también a la privada”.
Desde CSP, la división de ciberseguridad de Thales, añadía, “siempre nos hemos dedicado a proteger los activos más sensibles de las empresas, que son los datos. Para ello hemos desarrollado soluciones para cifrarlo y protegerlo donde sea, en almacenamiento local, en la nube, en un servidor, en base de datos… Poniendo tanto el foco en el cifrado como en la gestión de claves criptográficas”.
Y es que esa necesidad de cambiar de forma periódica dichas claves, cuando el volumen de las mismas es grande, hace necesarias soluciones de gestión, incluida su salvaguarda.
“¿Dónde están las claves criptográficas? No podéis por ejemplo dejársela al proveedor de nube con el que estáis, eso sería como poner un cerrojo enorme a la puerta pero con la llave puesta. Nosotros, al igual que en vuestros activos on premise, ciframos esos datos y la clave criptográfica la guardamos en otro sitio para separar el tesoro de la llave que lo guarda”, apuntaba Alfonso Martínez.
El mensaje de Thales de claro: cifrar la información sensible allá donde esté y tener la custodia y la gestión de esas claves en otro sitio a buen recaudo. Y para ello, desde hace aproximadamente un año, añadían a su portfolio las soluciones de Imperva.
“Hemos estado vinculados tradicionalmente al mundo WAF (Web Application Firewall) pero es un mercado ya muy maduro y hoy las aplicaciones están más o menos securizadas; el agujero que tenemos ahora y al que conviene prestar notable atención dentro de las organizaciones es todo lo relacionado con las APIs. Con la transición de las aplicaciones monolíticas a esta proliferación de APIs, microservicios, etcétera, se ha complicado notablemente la securización de las aplicaciones fundamentalmente por la desconexión que hay habitualmente entre los departamentos de ciberseguridad y los departamentos de desarrollo”, compartía con los asistentes Jesús Vega, Country Manager para Iberia de Imperva.
La protección frente al tráfico automatizado y los bots o frente a código de desarrollo “infectado” son otras de las grandes amenazas hoy en día. “Hoy en torno al 70 por ciento del código de las aplicaciones está fuera del control de las empresas porque es código de terceros. En la medida que alguien pueda llegar a contaminar esa pieza de código, también puede hacer que cuando se ejecuta en el ordenador se propague, robe información, etc. Nosotros podemos ayudaros también a tener esa protección”, aseguraba.
Y es que bien saben los números y cada día más importantes retos a los que la ciberseguridad les enfrenta y que, con la entrada de normas como NIS2, se ven obligados a “repensar”, reforzando sus medidas de seguridad y desarrollando planes de continuidad y recuperación.
Así, en el caso de AXA, Andrés Elizondo, IT Security Governance de la compañía aseguradora, este nuevo enfoque de sus medidas de ciberseguridad tiene que tener presente, por ejemplo, obstáculos como la diversidad: “Es una compañía enorme que ha ido adquiriendo otras compañías y esas compañías vienen con otros sistemas, otras políticas y herramientas. Además, también estamos en varios países, así que hay que lo primero que tengo que comprobar es cómo cumplir la normativa local y al tiempo la política corporativa”.
La falta de recursos especializados suele ser un problema común y así lo explicaba en este sentido Raúl Moreno Jiménez, CISO de Fertiberia: “Acabamos de implementar un SOC para acercarnos más al cumplimiento de la normativa, apoyándonos en servicios gestionados con terceros porque no puedes tener al final un departamento de ciberseguridad propio, no tenemos recursos suficientes”.
También con un equipo menor de lo que le gustaría trabaja Fernando Sanz de Galdeano, CISO de Arcano Partners, que en lugar de a NIS2 se enfrenta a DORA. Para ello, señalaba, en su caso han adoptado “una estrategia de gestión del riesgo tecnológico; hemos identificado cuáles son los procesos críticos en nuestra compañía, cuáles son las amenazas, los riesgos a los que estamos expuestos en función de nuestra infraestructura, en función de nuestra descentralización, nuestra localización de nuestro negocio, etcétera y a partir de ahí el siguiente paso es identificar qué controles de seguridad y de continuidad tenía sentido implantar para tener mitigado ese nivel de riesgo tecnológico”.
Una estrategia de ciberseguridad que en el caso de Grupo Iskaypet han comenzado a diseñar recientemente, según explicó Javier Heras, Risk Management & Internal Control Director. “El escenario es que éramos dos compañías diferentes que se unieron y había que empezar un poco de cero todo. Así, hará como medio año, definimos un plan de seguridad 2024-2026 básicamente implantando los controles de la ISO 27.002 y un SOC”.
En el caso de Iberdrola, compartía Enrique García, director de Red Digital en i-DE, la distribuidora de la compañía, “hace unos cuatro o cinco años empezamos a implementar un plan director de Ciberseguridad a nivel global, en los diferentes negocios de redes en el mundo, es decir, en Estados Unidos, Reino Unido, Brasil y aquí en España. Ese Plan Director ha traído consigo el desplegar toda la infraestructura de firewalls, soluciones SIEM, sondas, etc. así como poner en servicio un SOC para vigilar la red y atender cualquier incidencia y vulnerabilidad”.
Y en ese escenario ya de por sí complejo, “¿veis las normativas como DORA o NIS2 positivas? ¿Son pese a todo una palanca para justificar la inversión en ciberseguridad?”, preguntaba a los asistentes Alfonso Martínez, de Thales.
La respuesta más común, sin duda, es que estas normativas sí ayudan a concienciar, “a nosotros nos afecta totalmente NIS2 y aunque supone un quebradero de cabeza adaptarnos a ella si nos está ayudando a hacerle ver al Comité de Dirección que la ciberseguridad es importante y que no solo depende de nosotros, sino de toda la compañía”, aseguraba desde Fertiberia, Raúl Moreno.
“Claro, es que el tema de que se establezcan multas para la compañía cambia un poco todo”, apuntaba en ese sentido Fernando Sanz de Galdeano, de Arcano Partners que además señalaba que, en su esfuerzo de cumplir con DORA, “mi opinión es que somos responsables no solo de lograr ese cumplimiento; no únicamente se trata de ser capaces de evidenciar que cumplimos con un estándar o con una directiva sino también internamente. Garantizar, pues a través de la medición de indicadores de evidencias de una supervisión efectiva de segunda línea de tercera línea, ser capaces de garantizar que realmente estamos protegidos”.
En lo que todos coincidían es que la parte más compleja de estas nuevas regulaciones no es la tecnológica sino “cómo llevo el control del registro y la documentación de todo esto. Ese es el principal reto ahora mismo”, reflexionaba Enrique García, de Iberdrola.
Para él la respuesta, por tanto, sería doble: “Sí nos ayudan a justificar determinadas inversiones o ampliaciones pero a la vez te perjudica porque tienes un incidente y en lugar de dedicarte únicamente a ver de dónde ha podido venir el agujero y solucionarlo a recabar y detallar toda la información que te pide la norma”.
Precisamente a esa gran labor de recabar información y reportar cualquier incidente se refería Andrés Elizondo, de AXA: “La parte de la documentación y de las auditoría estamos viendo cómo podemos automatizar lo más que pueda. En la parte de evidencias, el objetivo es tener todo trazado y automatizado para si se da cualquier error, tenerlo todo ya documentado. Hacemos auditorías cada tres meses para verificar que se tengan las evidencias de todos los controles, un proceso de medición para ver el nivel de cumplimiento. Y bueno, es demasiado trabajo en esa parte, por eso buscamos como automatizar este proceso”.
Pero sin duda lo que sí han logrado normativas como NIS2 o DORA “es cambiar la inversión en ciberseguridad; antes no había ni CISOs en las empresas. Ahora hay una mayor inversión y concienciación y no solo por las multas. Se están creando políticas de control, todo está monitorizado y trazado y yo creo que está bien, porque aunque los malos siempre van a ir un paso por delante de nosotros porque tienen más dinero, más tiempo y más gente, se lo vamos a poner un poco más difícil”, añadía Raúl Moreno, de Fertiberia.
Acceder al dato, ese es el tesoro que buscan los malos y por eso todas las compañías están tratando de evitar que lleguen a él.
En el caso de Iskaypet, por ejemplo, explicaba Javier Heras, “en la última reforma del Código Penal se introdujo el delito de maltrato animal. Eso ha conllevado que los datos de salud de los animales están sensiblemente protegidos porque pueden repercutir en responsabilidad penal de la persona. Ahora tenemos que cuidar mucho porque los datos clínicos de los animales son muy sensibles. Sin duda, el grado de preocupación en cuanto a protección de datos nos ha aumentado exponencialmente”.
Y ponía sobre la mesa una de las grandes preocupaciones cuando de ciberseguridad se habla: los proveedores. “Como principal medida, en ese sentido, tenemos un procedimiento de homologación de proveedores directa, para controlar a qué datos pueden acceder, quiénes, cuándo, etc. y limitarlo”.
Desafíos complejos y en evolución para los que, desde AXA, Andrés Elizondo apuntaba la importancia de “contar con un rol de governance en las empresas, llevando toda la parte de controles y políticas que tienes que cumplir a la empresa y no solo como algo de TI sino como parte de negocio. Tener alguien de compliance ahora mismo es una posición obligatoria en las empresas”.
Por su parte, desde Arcano Partners, Fernando Sanz de Galdeano opinaba que “para que un departamento de seguridad tenga éxito tienen que tener tres patas y una persona que ejecute las tres: estrategia, indicadores y presupuesto. Sin una de las tres, el área de seguridad no va a poder desarrollar funciones ni acometer sus responsabilidades dentro de una compañía porque algo le va a hacer aguas. En segundo lugar, creo que hay que controlar el perímetro, e incluyo en el perímetro de una compañía los propios empleados, y por último, hay que conocer muy bien a la compañía, todo no se puede hacer a la vez y hay que empezar por priorizar. Hay que entender el negocio y los procesos críticos”.
“Yo creo que es un error que ciberseguridad dependa de sistemas; si depende de áreas como riesgos, auditoría o legal creo que se puede dotar de mayor relevancia a este área y al final tener una hoja de ruta muy clara. Es una de las lecciones aprendidas”, sumaba Javier Heras, de Grupo Iskaypet.
Un ronda de lecciones aprendidas que cerraba Enrique García, de Iberdrola, con una petición: “En este mundo en el que cada vez es más la normativa a la que tenemos que enfrentarnos, solicitar a los fabricantes de tecnología y de aplicaciones, que nos ayuden en ese cumplimiento normativo con sus soluciones”.
La facturación del eCommerce en nuestro país rebasó los 24.500 millones de euros durante el…
El fabricante de infraestructuras críticas para centros de datos analiza el estado actual del sector…
El e-commerce se enfrenta a cambios normativos clave en fiscalidad y accesibilidad que exigirán rápidas…
A otro 36 % le gustaría hacer lo mismo, según datos de Hays, aunque todavía…
El lanzamiento de Samsung Electronics está compuesto por la tableta FE y el modelo FE+.
Los beneficiaros de sus cursos serán 12.000 personas mayores de 60 años y otros 13.600…
