Cumplir con NISv2: Medidas Esenciales para Seguridad de la Información

Pues parece que se nos hecha el tiempo encima y muchas de las organizaciones marcadas como «empresas esenciales e importantes» se les come el reloj para cumplir con las obligaciones y buenas prácticas que indica NISv2.

Creo que lo primero es identificar a quien SI y a quien NO afecta la normativa NISv2:

• SI AFECTA:
  • Empresas de +50 trabajadores y menos 50 Millones de facturación: Siempre y cuando sea un provedor de servicios de confianza (servicios digitales de confindencialidad, integridad y autenticidad de transacciones, comunicaciones o documentos electrónicos)
  • Empresas esenciales: Aquellas con más de 250 trabajadores o facturación neta de más 50 M€
  • Empresas importantes: más de 50 trabajadores con una facturación de más de 50M€.
• NO AFECTA:
  • Resto de empresa que no están en alguno de los grupos anteriores 😉

Verticales de negocio a quien afecta indistintamente el tamaño y/o facturación de la compañía

• Transporte
• Energía.
• Banca e Infraestructura del mercado financiero
• Sanidad
• Agua potable
• Agua residuales
• Infraestructura Digital
• Servicios ICT
• AA.PP.
• Viajes espaciales
• Fabricación
• Gestión de risiduos
• Servicios postales y mensajería
• Producción y procesado de alimentos
• Química
• Farmacia
• Provedores servicios digitales
• Investigación

Creo, que el 98% de los clientes y empresas conocidas que tengo a mi alrededor, están bajo el paraguas de tener que cumplir la normativa NISv2.

¿Qué dice que tenemos que hacer las NISv2?

Fácil: Asegurar que tu producto y/o servicio puede seguir abasteciendo a la sociedad en caso de desastre, ya sea hackeado, humano, natural. ¡Vamos! Que después del estallido de la Tierra, vamos a poder seguir aportando valor al Universo 😉

Vamos al turrón: Requisitos a cumplir

• Gestión del riesgo: Las organizaciones y compañía deben de abordar todos los riesgos potenciales: errores humanos, fallos de sistemas, hacking, seguridad.
• Responsabilidad Corporativa: ¡¡Ya no está sólo el CTO (Chief Technical Office – Responsable de IT) o el CDO (Chief Data Office – Responsable protección de dato), si no que se incluye a toda la gerencia de la compañía (los denominados C-Level), por lo que responsabilidad recae también sobre el responsable Recursos Humanos, Financiero, Operaciones y Dirección General. ¿Cómo? Formando a todo el C-LEVEL sobre los riesgos de Ciberseguridad y cómo abordar una problemática de esta índole.
• Informar: Se exige que la compañía debe de informar de forma inminente ante cualquier incidencia de seguridad. Por lo que es esencial disponer de un proceso definido y conocido por los responsables para no tener repercusiones.
• Continuidad de negocio: Debemos de tener los mecanismos necesarios para nuestra actividad laboral se vea afectada lo mínimo posible.

10 Medidas básicas a tener en cuenta

• Política de análisis de riesgos y seguridad de los sistemas de información
• política gestión de incidentes
• Política de continuidad del negocio:
  • Sistemas redundados / Alta disponibilidad
  • Copias de seguridad
  • Recuperación ante desastres
  • Gestión de crisis
• Gestión de la cadena de suministros: Seguridad entre los diferentes proveedores, relaciones entre entidades y conocimiento de proveedores indirectos
• Política de adquisición, desarrollo y mantenimiento de redes y sistemas de información. Incluido la gestión e información de vulnerabilidades
• Procedimientos para la evaluación y eficacia de las políticas implementadas en la gestión de ciberiesgos.
• Formación al personal en ciberseguridad acorde a la posición y puesto que tiene en la compañía.
• Políticas y procedimientos en el uso de encriptación y cifrado de información
• Políticas de gestión de recursos humanos, incluyendo desde el acceso físico y a los sistemas de la compañía.
• Sistemas Multifactor de autenticación para mejorar la seguridad de acceso a los recursos empresariales

¿Qué puedo hacer para mejorar la ciberseguridad y disponibilidad de mis sistemas?

Existen muchas soluciones en el mercado que pueden ayudar a cumplir todos los requisitos de NISv2, y por ese motivo, me apoyaré en aquellos fabricantes, soluciones que conozco en mayor o menor medida por que lo distribuimos en la compañía en donde trabajo.

Herramienta para la gestión de incidencias Para mí es crítico saber el estado de mis sistemas, por ello, desde hace muchos años implementaba la versión gratuita de OTRS con los módulos de CMDB (Gestión de recursos y guardado de ficheros de configuración) e OCS-INVENTORY (Inventario IT), para poder trazar las incidencias ocurridas, con los elementos afectados y en caso necesario, poder tener datos reales para seleccionar los elementos de sustituir en caso necesario.

Asegura el acceso Llevo desde 1999 trabajando en IT, y desde entonces (existía WindowsNT y salió WindowsNT Trabajo en grupo…. A llovido mucho 🙂 ) siempre he intentando que mis clientes tuvieran una red perimetral con «cara y ojos». Me daba igual los fabricantes, ya que no soy experto en Firewalls, pero siempre indicaba lo mismo: 2 marcas diferentes o 1 misma marca y 2 modelos diferentes para asegurar que un ZeroDay en un modelo no afecte a toda la seguridad perimetral de mi compañía. No hace falta decir que todas las políticas implementadas, debían de pasar por un comité de cambios y ser documentas par que en caso de desastre saber cómo estaban. En este caso puedes utilizar Firewalls de Sophos, Sonicwall, etc…

Asegura los datos Desde que en 2014 conocí DataCore Software, sólo puedo recomendar esta solución de almacenamiento virtual, para el NISv2 nos va a permitir tener un alta disponibilidad del almacenamiento en formato ACTIVO-ACTIVO o ACTIVO-PASIVO (réplica), y nos ofrece la posibilidad de tener un nodo en una sala técnica y el otro en otra con una distancia de unos 50-75Km (<10ms latencia por Fibra). Además, nos permite cifrar todo el almacenamiento en caso necesario y los datos están cifrados cuando están en movimiento, requisito indispensable para salvaguarda un man-in-the-middle entre un host (servidor de aplicaciones/virtualización) y el almacenamiento. Por otro lado, tienen una solución de almacenamiento S3 que nos ayudará a tener una política de archivado activo que nos ayudará a salvaguardar información crítica a largo plazo y de manera inmutable y podremos utilizarla también para dotar de un sistema de retención de backup inmutable en on-premise y asegurar un RTO (Tiempo de recuperación) y RPO (Pérdida de información) de 0.

Asegura la red Además de tener la red en alta disponibilidad en los caminos de comunicaciones, es necesario tener un fabricante que te permita tener una gestión centralizada de toda la infraestructura de red, para ello, uno de los fabricantes que prospecto es Extreme Networks, por la sencillez de la plataforma (y por que un colega está trabajando ahí 🙂 ).

Asegura la identidad Ya no te puedes fiar de enseñar la patita por debajo de la puerta, cómo hacía el lobo en el cuento de la caperucita… por lo que debemos de tener una solución que además de asegurar quien somos, sea capaz de gestionar el acceso ya sea puntual o continuo a nuestros sistemas y que sea capaz de cambiar nuestro perfil de empleado y adaptarlo para poder acometer nuestras tareas sin poner en riesgo la seguridad e integridad de la aplicación y la compañía. Para ello, la elección que escojo a día de hoy es OKTA, en la que confío tanto cómo solución como por las personas que están al frente de la compañía para Iberia.

Forma a dirección y al trabajador Es importante el formar a todos aquellos trabajadores que tienen acceso a sistemas de la información de la compañía tanto si es a nivel de usuario, cómo si es un acceso físico a las instalación (Centro de datos), acorde a su nivel jerárquico y uso de IT. En este sentido, casi todos los fabricante de CyberSec tienen algún módulo, pero me focalizo en 2: Kymatio es una solución específica al esta necesidad o si el uso es muy intensivo en el correo electrónico, se podría utilizar Hornet Security con el módulo de Awareness.