Facebook Linkedin Twitter Instagram Youtube Telegram

El factor humano y la cadena de suministro, principales desafíos para la adaptación a la NIS2

Las empresas ya no pueden permitirse ser sorprendidas por ciberataques. El año 2024 afronta una oleada de ciberataques sin precedentes que ha hecho saltar las alarmas y ha situado a España en el 8º país más atacado a nivel mundial. Por ello, las medidas a implementar para aumentar la seguridad han de ser más rigurosas, lo que implica mejores evaluaciones de riesgos y gestión de estos. Como resultado, la UE ha actualizado la normativa NIS2 (Network and Information Security Directive) de 2016.

La nueva Directiva, que tiene que ser transpuesta a los ordenamientos jurídicos de los Estados miembros antes del 17 de octubre, pretende ampliar la capacidad de respuesta ante incidentes para hacer frente a un contexto complicado de ciberamenazas, que año tras año se vuelven más numerosas, complejas y severas.

Muchas empresas –se estima que más de 2.000 en España– de sectores, como la energía, el transporte, la salud o las finanzas, deberán adoptar medidas encaminadas a mejorar la gestión y el control del riesgo, incorporar procesos de notificación de incidentes más rápidos, y estar preparadas para una mayor cooperación para hacer frente a las vulnerabilidades y ciberataques, ya que la normativa fomenta la coordinación y el intercambio de información entre los sectores público y privado, el sector de la ciberseguridad y los reguladores, para articular una respuesta eficiente ante las amenazas.

Tenemos un trabajo importante de nuestro lado en conocer en detalle la directiva y hacer que las empresas con las que trabajamos sean conscientes y preparen una hoja de ruta que les ayude a integrar está normativa en la medida adecuada a sus realidades”, explica Iván Bermejo, Defensive Security Team Lead de Innovery by Neverhack España.

Según este experto, cumplir con NIS2 implica una revisión profunda de los sistemas operativos y tecnológicos de las empresas, pero los verdaderos desafíos de esta normativa están relacionados con el factor humano y la cadena de suministro:

  • Formación y concienciación. La tecnología actual está preparada para repeler los ciberataques en todos los frentes, pero es importante hacer hincapié en proteger a las personas, ya que el factor humano sigue siendo el eslabón más débil de la cadena. Y es que la falta de concienciación de los empleados abre la puerta a un mayor número de ciberataques. Entre el 75 y el 95% de los incidentes de ciberseguridad tienen su origen en un error humano. La formación en ciberresiliencia de los empleados, poniéndolos en el centro de la estrategia de ciberseguridad, se convierte en obligatoria.
  • Gestión de la cadena de suministro. Este punto de la normativa cambia el paradigma de cómo ha estado operando hasta ahora. Las compañías están obligadas a evaluar a sus proveedores y analizar cómo interactúan. Se les debe dar un acceso de VPN segregado, diferente al de los empleados y hacer uso de todas las medidas de securización ante mails externos. Esto exige una monitorización de todos los usuarios procedentes de proveedores y ver sus flujos de trabajo. En caso de que los proveedores no puedan adaptarse, muchas empresas tendrán que cambiar su relación con terceros para poder cumplir la normativa.

Las sanciones por incumplimiento pueden alcanzar los 10 millones de euros en el caso de las organizaciones que operan en sectores de alta criticidad, pero el impacto reputacional y la pérdida de confianza de clientes y partners pueden resultar aún más costosos a largo plazo. Por ello, es crucial que las empresas desarrollen planes claros para cumplir con los requisitos establecidos por esta normativa y proteger así su infraestructura tecnológica.

Con esta normativa en mente, es esencial comenzar a implementar los cambios necesarios para garantizar la protección de sus redes y sistemas de información. Como buen punto de partida, recomiendo a las empresas realizar un análisis para ver dónde se encuentra y comprobar qué tienen que poner en marcha, seguido de una priorización adecuada y dedicarle los recursos necesarios”, explica el experto. “Desde Innovery by Neverhack ofrecemos el conocimiento para guiar a las empresas en este proceso, proporcionando soluciones personalizadas que aseguran un cumplimiento integral con los requisitos de la normativa”.

Picture of Aldana Balmaceda

Aldana Balmaceda

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.