¿Cómo cumplir con NIS2? Nueve pasos básicos

La Directiva NIS2 busca reducir los riesgos cibernéticos y para ello es esencial que tanto el personal de seguridad de la información como los directivos participen activamente en su implantación. Check Point® Software Technologies Ltd., proveedor en soluciones de ciberseguridad en la nube basadas en IA, destaca en nueve pasos cómo cumplir con estos requisitos y asegurar la integridad de las infraestructuras informáticas:

  1. Análisis de riesgos y conceptos de seguridad: el primer paso es realizar un inventario exhaustivo de la infraestructura de TI, identificando bienes, medidas de seguridad actuales y posibles vulnerabilidades. Se recomienda contratar consultores especializados para realizar un análisis de carencias y riesgos conforme a la norma ISO 27001 y desarrollar un plan integral de seguridad.
  2. Gestión de incidentes de seguridad: es crucial contar con un equipo que monitorice y responda a incidentes de seguridad. Las pruebas de penetración deben ser regulares para evaluar la preparación ante ataques. Se sugiere la contratación de Servicios de Seguridad Gestionados (MSS) desde un Centro de Operaciones de Seguridad (SOC) de alta seguridad. La ciberseguridad ya no es sólo el terreno de juego de los CIO o CISO. La junta directiva y el resto del equipo ejecutivo necesitan poder confiar en que su estructura de ciberseguridad es lo suficientemente resistente frente a los tipos de ciberataques que se dirigen contra ellos.
  3. Mantenimiento de operaciones: para minimizar el impacto de un ataque, las empresas deben encargar a expertos en seguridad TI que prueben y analicen su preparación en caso de crisis. En caso de que ataque tenga éxito, la infraestructura informática debe restablecerse lo antes posible. Esto se consigue mediante la gestión de copias de seguridad, la recuperación de desastres y la gestión de crisis. Además, la implementación de una arquitectura de Zero Trust puede ayudar a minimizar los daños.
  4. Seguridad de la cadena de suministro: con NIS2, las empresas también deben proteger de forma exhaustiva sus cadenas de suministro, tanto físicas como digitales, contra posibles atacantes. Esto significa que todas las cadenas de suministro que entran y salen de la empresa o instalación deben ser examinadas en busca de posibles vulnerabilidades y las áreas pertinentes deben ser aseguradas adicionalmente.
  5. Seguridad en la adquisición, desarrollo y mantenimiento sistemas: es fundamental asegurar los puntos de acceso a la infraestructura informática. También debe garantizarse que personas ajenas no puedan acceder sin autorización a las comunicaciones, añadir datos o sustraerlos. Utilizar firewalls de nueva generación para controlar el acceso al servidor, asegurar que las API utilizadas estén autenticadas, autorizadas y cifradas para evitar fugas de datos e instalar un sistema de Gestión de Identidades y Accesos (IAM) y Zero Trust cuando se trate de derechos de acceso.
  6. Evaluación de la eficacia de las medidas: existen diversas herramientas y plataformas de seguridad con capacidades de automatización como ML y AI que ayudan a proteger las redes y los sistemas. También es importante contratar a expertos en seguridad para seleccionar, implantar y mantener los sistemas necesarios para que NIS2 garantice una información continua y establecer sistemas de supervisión para detectar y responder a actividades inusuales en tiempo real.
  7. Formación para el personal: las medidas básicas de ciberhigiene y la contratación de expertos para que impartan formación y educación periódicas en seguridad informática a los equipos TI, contribuyen a que estén preparados para una emergencia y pueda tomar medidas preventivas con antelación.
  8. Cifrado de datos: es clave para proteger los datos almacenados, procesados y transmitidos. Las empresas deben implementar políticas de cifrado robustas y actualizar constantemente sus métodos para estar preparados ante nuevas amenazas.
  9. Control de acceso y seguridad de activos: las directrices de control de acceso y la gestión de activos deben protegerse adicionalmente. Al fin y al cabo, constituyen la base de una gestión eficaz de identidades y accesos. Las empresas deben encargar a expertos en seguridad de la información que aseguren los datos de identidad necesarios para que funcione un sistema de gestión de identidades y accesos (IAM).

«La transición de la ciberseguridad a NIS2 sólo puede tener éxito si la dirección y el personal de seguridad de la información trabajan juntos y reman en la misma dirección. No se trata de un proyecto sencillo, ni de una tarea de unas pocas semanas o meses. NIS2 es una tarea continua y a largo plazo. A partir de 2028, las empresas tendrán que demostrar cada año la conformidad con NIS2 de su infraestructura informática”, concluye Mario García, director general de Check Point Software para España y Portugal.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio