Pues parece que se nos hecha el tiempo encima y muchas de las organizaciones marcadas como Ā«empresas esenciales e importantesĀ» se les come el reloj para cumplir con las obligaciones y buenas prĆ”cticas que indica NISv2.
Creo que lo primero es identificar a quien SI y a quien NO afecta la normativa NISv2:
- SI AFECTA:
- Empresas de +50 trabajadores y menos 50 Millones de facturaciĆ³n: Siempre y cuando sea un provedor de servicios de confianza (servicios digitales de confindencialidad, integridad y autenticidad de transacciones, comunicaciones o documentos electrĆ³nicos)
- Empresas esenciales: Aquellas con mĆ”s de 250 trabajadores o facturaciĆ³n neta de mĆ”s 50 Mā¬
- Empresas importantes: mĆ”s de 50 trabajadores con una facturaciĆ³n de mĆ”s de 50Mā¬.
- NO AFECTA:
- Resto de empresa que no estĆ”n en alguno de los grupos anteriores š
Verticales de negocio a quien afecta indistintamente el tamaƱo y/o facturaciĆ³n de la compaƱĆa
- Transporte
- EnergĆa.
- Banca e Infraestructura del mercado financiero
- Sanidad
- Agua potable
- Agua residuales
- Infraestructura Digital
- Servicios ICT
- AA.PP.
- Viajes espaciales
- FabricaciĆ³n
- GestiĆ³n de risiduos
- Servicios postales y mensajerĆa
- ProducciĆ³n y procesado de alimentos
- QuĆmica
- Farmacia
- Provedores servicios digitales
- InvestigaciĆ³n
Creo, que el 98% de los clientes y empresas conocidas que tengo a mi alrededor, estƔn bajo el paraguas de tener que cumplir la normativa NISv2.
ĀæQuĆ© dice que tenemos que hacer las NISv2?
FĆ”cil: Asegurar que tu producto y/o servicio puede seguir abasteciendo a la sociedad en caso de desastre, ya sea hackeado, humano, natural. Ā”Vamos! Que despuĆ©s del estallido de la Tierra, vamos a poder seguir aportando valor al Universo š
Vamos al turrĆ³n: Requisitos a cumplir
- GestiĆ³n del riesgo: Las organizaciones y compaƱĆa deben de abordar todos los riesgos potenciales: errores humanos, fallos de sistemas, hacking, seguridad.
- Responsabilidad Corporativa: Ā”Ā”Ya no estĆ” sĆ³lo el CTO (Chief Technical Office – Responsable de IT) o el CDO (Chief Data Office – Responsable protecciĆ³n de dato), si no que se incluye a toda la gerencia de la compaƱĆa (los denominados C-Level), por lo que responsabilidad recae tambiĆ©n sobre el responsable Recursos Humanos, Financiero, Operaciones y DirecciĆ³n General. ĀæCĆ³mo? Formando a todo el C-LEVEL sobre los riesgos de Ciberseguridad y cĆ³mo abordar una problemĆ”tica de esta Ćndole.
- Informar: Se exige que la compaƱĆa debe de informar de forma inminente ante cualquier incidencia de seguridad. Por lo que es esencial disponer de un proceso definido y conocido por los responsables para no tener repercusiones.
- Continuidad de negocio: Debemos de tener los mecanismos necesarios para nuestra actividad laboral se vea afectada lo mĆnimo posible.
10 Medidas bƔsicas a tener en cuenta
- PolĆtica de anĆ”lisis de riesgos y seguridad de los sistemas de informaciĆ³n
- polĆtica gestiĆ³n de incidentes
- PolĆtica de continuidad del negocio:
- Sistemas redundados / Alta disponibilidad
- Copias de seguridad
- RecuperaciĆ³n ante desastres
- GestiĆ³n de crisis
- GestiĆ³n de la cadena de suministros: Seguridad entre los diferentes proveedores, relaciones entre entidades y conocimiento de proveedores indirectos
- PolĆtica de adquisiciĆ³n, desarrollo y mantenimiento de redes y sistemas de informaciĆ³n. Incluido la gestiĆ³n e informaciĆ³n de vulnerabilidades
- Procedimientos para la evaluaciĆ³n y eficacia de las polĆticas implementadas en la gestiĆ³n de ciberiesgos.
- FormaciĆ³n al personal en ciberseguridad acorde a la posiciĆ³n y puesto que tiene en la compaƱĆa.
- PolĆticas y procedimientos en el uso de encriptaciĆ³n y cifrado de informaciĆ³n
- PolĆticas de gestiĆ³n de recursos humanos, incluyendo desde el acceso fĆsico y a los sistemas de la compaƱĆa.
- Sistemas Multifactor de autenticaciĆ³n para mejorar la seguridad de acceso a los recursos empresariales
ĀæQuĆ© puedo hacer para mejorar la ciberseguridad y disponibilidad de mis sistemas?
Existen muchas soluciones en el mercado que pueden ayudar a cumplir todos los requisitos de NISv2, y por ese motivo, me apoyarĆ© en aquellos fabricantes, soluciones que conozco en mayor o menor medida por que lo distribuimos en la compaƱĆa en donde trabajo.
Herramienta para la gestiĆ³n de incidencias Para mĆ es crĆtico saber el estado de mis sistemas, por ello, desde hace muchos aƱos implementaba la versiĆ³n gratuita de OTRS con los mĆ³dulos de CMDB (GestiĆ³n de recursos y guardado de ficheros de configuraciĆ³n) e OCS-INVENTORY (Inventario IT), para poder trazar las incidencias ocurridas, con los elementos afectados y en caso necesario, poder tener datos reales para seleccionar los elementos de sustituir en caso necesario.
Asegura el acceso Llevo desde 1999 trabajando en IT, y desde entonces (existĆa WindowsNT y saliĆ³ WindowsNT Trabajo en grupo…. A llovido mucho š ) siempre he intentando que mis clientes tuvieran una red perimetral con Ā«cara y ojosĀ». Me daba igual los fabricantes, ya que no soy experto en Firewalls, pero siempre indicaba lo mismo: 2 marcas diferentes o 1 misma marca y 2 modelos diferentes para asegurar que un ZeroDay en un modelo no afecte a toda la seguridad perimetral de mi compaƱĆa. No hace falta decir que todas las polĆticas implementadas, debĆan de pasar por un comitĆ© de cambios y ser documentas par que en caso de desastre saber cĆ³mo estaban. En este caso puedes utilizar Firewalls de Sophos, Sonicwall, etc…
Asegura los datos Desde que en 2014 conocĆ DataCore Software, sĆ³lo puedo recomendar esta soluciĆ³n de almacenamiento virtual, para el NISv2 nos va a permitir tener un alta disponibilidad del almacenamiento en formato ACTIVO-ACTIVO o ACTIVO-PASIVO (rĆ©plica), y nos ofrece la posibilidad de tener un nodo en una sala tĆ©cnica y el otro en otra con una distancia de unos 50-75Km (<10ms latencia por Fibra). AdemĆ”s, nos permite cifrar todo el almacenamiento en caso necesario y los datos estĆ”n cifrados cuando estĆ”n en movimiento, requisito indispensable para salvaguarda un man-in-the-middle entre un host (servidor de aplicaciones/virtualizaciĆ³n) y el almacenamiento. Por otro lado, tienen una soluciĆ³n de almacenamiento S3 que nos ayudarĆ” a tener una polĆtica de archivado activo que nos ayudarĆ” a salvaguardar informaciĆ³n crĆtica a largo plazo y de manera inmutable y podremos utilizarla tambiĆ©n para dotar de un sistema de retenciĆ³n de backup inmutable en on-premise y asegurar un RTO (Tiempo de recuperaciĆ³n) y RPO (PĆ©rdida de informaciĆ³n) de 0.
Asegura la red AdemĆ”s de tener la red en alta disponibilidad en los caminos de comunicaciones, es necesario tener un fabricante que te permita tener una gestiĆ³n centralizada de toda la infraestructura de red, para ello, uno de los fabricantes que prospecto es Extreme Networks, por la sencillez de la plataforma (y por que un colega estĆ” trabajando ahĆ š ).
Asegura la identidad Ya no te puedes fiar de enseƱar la patita por debajo de la puerta, cĆ³mo hacĆa el lobo en el cuento de la caperucita… por lo que debemos de tener una soluciĆ³n que ademĆ”s de asegurar quien somos, sea capaz de gestionar el acceso ya sea puntual o continuo a nuestros sistemas y que sea capaz de cambiar nuestro perfil de empleado y adaptarlo para poder acometer nuestras tareas sin poner en riesgo la seguridad e integridad de la aplicaciĆ³n y la compaƱĆa. Para ello, la elecciĆ³n que escojo a dĆa de hoy es OKTA, en la que confĆo tanto cĆ³mo soluciĆ³n como por las personas que estĆ”n al frente de la compaƱĆa para Iberia.
Forma a direcciĆ³n y al trabajador Es importante el formar a todos aquellos trabajadores que tienen acceso a sistemas de la informaciĆ³n de la compaƱĆa tanto si es a nivel de usuario, cĆ³mo si es un acceso fĆsico a las instalaciĆ³n (Centro de datos), acorde a su nivel jerĆ”rquico y uso de IT. En este sentido, casi todos los fabricante de CyberSec tienen algĆŗn mĆ³dulo, pero me focalizo en 2: Kymatio es una soluciĆ³n especĆfica al esta necesidad o si el uso es muy intensivo en el correo electrĆ³nico, se podrĆa utilizar Hornet Security con el mĆ³dulo de Awareness.