Los requisitos de NIS2, que abarcan desde medidas de Gestión de Riesgos hasta seguros para la continuidad del negocio, deben aplicarse de forma efectiva antes del 17 de octubre de 2024 para evitar sanciones. Dado que se trata de un marco de ciberseguridad, la Gestión de Activos de IT (ITAM) puede ayudarte en la implementación.
En concreto, el software de ITAM verifica la mayoría de las obligaciones del NIS2, ya que proporciona una visión completa de los activos y sus relaciones, además de permitir configurar alertas para actuar sobre las vulnerabilidades de forma más rápida y eficaz.
Incluso si conectas la plataforma de ITAM a tu service desk o a la solución de Gestión de Servicios de IT (ITSM), su valor se amplía aún más. Por ejemplo, permitiría crear flujos de trabajo y una categoría de incidentes para informar específicamente sobre las brechas de seguridad.
Si esto te llamó la atención, sigue leyendo para conocer los detalles de los requisitos NIS2 y la Gestión de Activos como herramienta facilitadora para cumplimentar la norma.
¿Qué es la Directiva NIS2, la normativa sobre ciberseguridad de la UE?
Resumen de la directiva NIS2 de la UE
El marco NIS2 fue adoptado por la Unión Europea en 2023 para reforzar la resiliencia de la ciberseguridad en toda la región.
El plazo final para implementar la normativa es el 17 de octubre de 2024. En caso de incumplimiento, las sanciones contemplan recursos no monetarios, multas administrativas y castigos penales.
Aunque la directiva de la UE apunta específicamente a sectores como el transporte, la energía, la salud y los bancos, su objetivo final es garantizar un alto nivel de seguridad transversal en las redes y la información.
Procedimiento de mesa de ayuda: guía y plantilla SOP gratuita
¿Cuál es la relación entre los requisitos NIS2 y la Gestión de Activos?
Una de las principales diferencias con la normativa original sobre seguridad en las redes y la información (NIS - Network and Information Security) es que NIS2 fomenta un enfoque proactivo con la notificación de los incidentes y la Gestión de Riesgos.
Como consecuencia, los requisitos NIS2 y la Gestión de Activos de IT van de la mano.
En esencia, ITAM ayuda a las organizaciones a:
- Crear y mantener un inventario actualizado del software y el hardware.
- Mapear las relaciones de los CIs (Elementos de Configuración o Configuration Items) para garantizar la continuidad del negocio.
- Gestionar los activos a lo largo de su ciclo de vida, desde su adquisición hasta su eliminación.
- Monitorear las configuraciones de los activos de IT para verificar el cumplimiento de las normas de seguridad.
- Establecer alertas y automatizaciones para facilitar la Gestión de Riesgos.
- Informar y supervisar continuamente el rendimiento.
Como ves, estas áreas son cruciales para el cumplimiento de los requisitos NIS2. Y, puesto que seguro ya dispones de una estrategia de ITAM, puedes aprovecharla para el marco de la UE.
¿Cuál es la relación entre los requisitos NIS2 y la Gestión de Servicios?
Si bien en varios artículos nos referimos a los beneficios de combinar ITSM e ITAM, en este caso resulta especialmente recomendable.
La integración de tu solución ITAM con tu help desk amplía las capacidades para cumplir con los requisitos de NIS2, facilitando las siguientes tareas:
- Crear flujos de trabajo que automaticen partes de tus necesidades de NIS2.
- Generar una categoría de servicio específica para informar sobre posibles incidentes de seguridad y la recopilación de los datos requeridos en el punto de envío.
- Unificar las capacidades de elaboración de reportes para combinar los incidentes con los activos.
Aunque ITAM es la práctica más relevante para aprovechar aquí, ITSM refuerza el cumplimiento de NIS2 añadiendo automatización y simplificando los procesos.
Requisitos de NIS2 y cómo abordarlos con ITAM e ITSM
En las próximas líneas presentamos los requisitos del marco de ciberseguridad y la manera en que son abordados por ITAM e ITSM.
Gestión de Riesgos
El primer requisito de NIS2 es la Gestión de Riesgos. Según el sitio oficial, las organizaciones “deben tomar medidas para minimizar los riesgos cibernéticos”, entre las que se incluyen la Gestión de Incidentes, el refuerzo de la seguridad de la cadena de suministro y de la red, así como un mejor control del acceso y el cifrado.
Cómo pueden ayudar ITAM e ITSM
- ITAM proporciona una CMDB que mapea toda tu infraestructura de IT, lo cual implica conocer cómo están conectados tus activos tecnológicos y cuán segura es tu red.
- Permite realizar un seguimiento de la configuración de los activos para garantizar que cumplen las normas y políticas de seguridad exigidas por NIS2, incluyendo la verificación de posibles vulnerabilidades y la evaluación de los controles.
- Respalda las tareas para examinar los riesgos brindando datos sobre la posición de seguridad de los activos de IT e identificando aquellas amenazas potenciales para la red y los sistemas de información de la organización. Estos datos facilitan la aplicación de estrategias proactivas de mitigación de riesgos para alinearse con los requisitos de NIS2.
- Ayuda a detectar instalaciones de software no autorizadas y actuar en consecuencia, y también a etiquetar software obsoleto y desplegar parches para evitar exploits.
- Crea una categoría dentro de tu portal de autoservicio para que los empleados tengan la posibilidad de denunciar una infracción o incidente de seguridad (ya sea digital o físico). Con esta personalización, puedes recopilar toda la información necesaria para abordar el problema justo en la fase de creación del ticket (incluidas imágenes o capturas de pantalla).
- Detecta cualquier patrón gracias a que los activos asignados a la persona que inicia el ticket se adjuntan a la solicitud. Consecuentemente, te contactas de forma proactiva con otros usuarios que podrían tener el mismo problema pero aún no se dieron cuenta.
¿Cómo automatizar la Gestión de Riesgos?
Responsabilidad corporativa
Según el segundo requisito de NIS2, la dirección corporativa tiene que “supervisar, aprobar y recibir formación sobre las medidas de ciberseguridad de la entidad y hacer frente a los ciberriesgos”.
Cómo puede ayudar ITSM
- Además de generar una categoría de incidentes de seguridad para simplificar la notificación, la base de conocimiento constituye una excelente forma de capacitar a la dirección corporativa. Al respecto, puedes añadir contenido relacionado con NIS2 y procedimientos estándar de ciberseguridad para que los empleados y directivos consulten tantas veces como lo requieran.
- Otra ventaja es la posibilidad de establecer instancias de aprobación en cualquier flujo de trabajo del service desk relacionado con la seguridad para garantizar y realizar un seguimiento de las validaciones en cumplimiento de la directiva NIS2.
Obligaciones de información
A continuación, las organizaciones “deben disponer de procesos para la notificación rápida de incidentes de seguridad con un impacto significativo en su prestación de servicios o en sus destinatarios”.
Cómo pueden ayudar ITAM e ITSM
- Aprovecha los SOPs del service desk para diseñar flujos de trabajo estándar que aborden los informes de incidentes de seguridad.
- Accede a todos los activos y áreas afectadas por cualquier incidente de seguridad dentro de tu CMDB. De esta forma, puedes ajustar y notificar en consecuencia para garantizar la continuidad del negocio.
Continuidad del negocio
Las empresas tienen que crear un plan para garantizar la continuidad del negocio en caso de incidentes cibernéticos graves, que contemple acciones de recuperación del sistema, procedimientos de emergencia y la existencia de un equipo de respuesta ante la crisis.
Cómo pueden ayudar ITAM e ITSM
Todas las ideas compartidas anteriormente contribuyen a mantener la continuidad del negocio. Tus soluciones de ITSM e ITAM deben mostrar sus procedimientos operativos estándar de ciberseguridad, de modo que se encuentren fácilmente en cuanto se produzca un incidente.
Pueden adjuntarse a los perfiles de los activos, publicarse como artículos de la base de conocimiento o incluso automatizarse en los flujos de trabajo del help desk.
Medidas adicionales
El marco NIS2 enumera diez medidas de seguridad básicas, entre las que se incluyen evaluaciones de riesgos, políticas de vulnerabilidad y de acceso a datos. Aquí algunas ideas adicionales para utilizar los software de ITAM e ITSM para abordarlas:
- Realiza auditorías internas de rutina para garantizar que tu infraestructura de IT es segura y cumple la normativa.
- Crea paneles de control para monitorear constantemente el rendimiento de tu infraestructura de IT y detectar cualquier irregularidad en cuanto se produzca. También representan una excelente forma de demostrar el cumplimiento de la normativa por parte de tu organización.
- Segmenta las condiciones de acceso para garantizar que ninguna persona que no esté autorizada obtenga información sensible.
Resumen
¿En qué se relacionan los requisitos de NIS2 y la Gestión de Activos? Los primeros abarcan una amplia gama de áreas, por lo que resulta imposible abordarlas todas manualmente. Aquí entra en juego ITAM pero también ITSM, que pueden ayudarte a supervisar una parte considerable del asunto.
El núcleo fundamental de la directiva de ciberseguridad de la UE es la adopción de una posición más proactiva en las medidas de seguridad. Y la proactividad forma parte de la esencia de ITSM e ITAM. Con ellos, no tienes que esperar a que algo malo ocurra; sino que puedes disponer de sistemas que te ayuden a detectar los problemas antes de que surjan.
