En los últimos años, los países europeos han visto un aumento exponencial de los ataques de ransomware y malware, también contra organizaciones en sectores críticos. Según datos de la Oficina de Coordinación de Ciberseguridad del Ministerio del Interior del Gobierno de España, el año pasado recibieron notificación de un total de 15.507 ciberataques a infraestructuras críticas de organizaciones públicas y privadas, lo que representa un aumento del 43% respecto al año anterior.
En este contexto, con el objetivo de poder controlar mejor esta grave situación de amenazas, la UE publicó el pasado diciembre una nueva directiva para la seguridad de las redes y la información, conocida como NIS2, que viene a sustituir y ampliar la versión anterior de la norma, en vigor desde 2016. La directiva NIS2, que pretende el mantenimiento de un alto nivel de ciber-higiene a escala europea, obliga también a una gestión eficaz de la identidad y el acceso.
Novedades NIS2: plazo de notificaciones, sanciones y sectores
Con NIS2, la Unión Europea pretende reforzar el procedimiento de notificación y respuesta ante incidentes y mejorar el intercambio de información entre las partes interesadas. Para ello, se ha creado la Red Europea de Organizaciones de Enlace para las Cibercrisis, (EU-CyCLONe), un nuevo organismo para la gestión de crisis en caso de incidentes de seguridad importantes. Además, se han introducido nuevos requisitos de presentación de informes para garantizar que los incidentes se notifiquen y controlen en una etapa muy temprana. Así, las empresas deben notificar a dichos organismos dentro de las 24 horas posteriores a tener conocimiento de un incidente y presentar un informe de seguimiento con información actualizada a las 72 horas.
Por otro lado, NIS2 también ha ampliado a 18 el número de sectores críticos que deben protegerse contra las amenazas. A partir de 2024, esta nueva directiva se aplica a las empresas designadas como "entidades esenciales" y "entidades importantes". Aunque el umbral de tamaño varía según los sectores, entre las “entidades esenciales” se incluyen las empresas con 250 empleados o más y un volumen de negocios de 50 millones de euros o un balance de 43 millones de euros. Y las “entidades importantes” son las empresas con más de 50 empleados y un volumen de negocios o un balance anual de 10 millones de euros. Y entre los sectores que se han incluido en la nueva directiva se encuentran, por ejemplo, los de “aguas residuales” y el de “alimentación”.
En cuanto a las sanciones definidas por NIS2 para las empresas que no cumplan con las nuevas normas, alcanzarán hasta los 10 millones de euros o el 2% de la facturación anual total mundial del ejercicio anterior, para las compañías clasificadas como "materiales", y hasta 7 millones de euros o el 1,4% de la facturación anual total para las organizaciones clasificadas como "importantes".
El nuevo concepto de “ciber-higiene”
Para NIS2 la ciber-higiene integral es la base sobre la que se fundamenta una protección eficaz de las redes, las infraestructuras del sistema, el hardware, el software, las aplicaciones, así como los datos empresariales y de los usuarios finales, por lo que la Agencia de Ciberseguridad de la Unión Europea (ENISA) supervisa y analiza la aplicación de las medidas correspondientes. La gestión de identidades y accesos, para la que la directiva NIS2 ha definido requisitos uniformes, desempeña un papel importante en este sentido. Por ejemplo, NIS2 exige que las organizaciones adopten y apliquen políticas de contraseña, identidad, acceso y control de aplicaciones. Esto a veces plantea desafíos para los responsables de IT y seguridad, que se pueden resolver con el uso de soluciones PAM modernas.
Cómo cumplir con los requisitos de gestión de accesos
Las soluciones PAM ayudan a las empresas a cumplir con NIS2, en la gestión de identidades y accesos. A continuación, analizamos las cinco claves que permiten cumplir con la nueva normativa:
- Gestión de contraseñas. Las soluciones PAM modernas permiten una gestión integral de contraseñas a través de la rotación automática, eliminación de las obsoletas y una garantía de calidad de las contraseñas definidas por el usuario. Además, todas se almacenan de forma segura en una bóveda cifrada.
- Gestión de aplicaciones. Las soluciones PAM modernas establecen reglas y políticas, con las que otorgan acceso a los administradores y proporcionan a los equipos de IT y seguridad informes detallados, auditorías y grabaciones de sesiones para monitorizar la actividad del usuario. Las aplicaciones desconocidas se examinan en un entorno limitado y se incluyen en listas de acceso o denegación.
- Confianza cero y privilegios mínimos. Las soluciones PAM garantizan que sólo los usuarios autorizados tengan acceso a cuentas privilegiadas y datos confidenciales, de acuerdo a un enfoque de confianza cero. Basadas en el principio de privilegios mínimos, las soluciones PAM otorgan a los usuarios un mínimo de permisos de forma predeterminada y permiten el acceso granular y limitado en el tiempo a servidores, bases de datos, aplicaciones y estaciones de trabajo. Esto garantiza que los usuarios puedan ejecutar aplicaciones privilegiadas, como instalar software o realizar cambios de configuración, solo cuando sea necesario y con aprobación previa.
- Gestión de accesos. Muchas soluciones PAM incorporan la autenticación multifactor (MFA), como autenticadores de terceros, para evitar que los ciberdelincuentes y los iniciados malintencionados accedan a recursos confidenciales, incluso si han obtenido acceso a una contraseña.
- Automatización. La automatización juega un papel crucial en la efectividad de la ciberseguridad, ya que permite que los administradores de IT puedan establecer directivas y reglas de acceso y, a continuación, automatizar convenientemente su aplicación. Entre las que se incluyen la rotación automática de contraseñas y la elevación de privilegios para ciertas aplicaciones y comandos. Además, también se pueden automatizar los informes, la auditoría y el registro de sesiones, lo que facilita el seguimiento de la actividad del usuario sin una intervención manual, que consume mucho más tiempo. De este modo, se pueden mitigar posibles amenazas en tiempo real, incluso en tiempos de escasez de personal.
El 17 de octubre de 2024 es la fecha clave en la que la nueva directiva NIS2 debe estar aplicada de conformidad con la legislación nacional y adaptarse a las estrategias de ciberseguridad. Teniendo en cuenta el tiempo necesario para planificar, implementar y probar nuevas herramientas, políticas y procedimientos, no podemos esperar mucho más. Es mejor comenzar más pronto que tarde.