Lo último:
Noticias

Sinergias entre GDPR y NIS2: aliviar la presión normativa

Gustavo Genez
Por: Ricardo José Garrido Reichelt, Tecnólogo Principal de Seguridad EMEA, Oficina del CTO de Commvault

El pasado 25 de mayo se cumplió el séptimo aniversario de la introducción del GDPR. La iniciativa que el GDPR puso en marcha en 2018 es ahora continuada por el NIS2, con el objetivo de animar a las empresas a hacer más robustos sus procesos e infraestructuras digitales para que puedan resistir mejor los ciberataques. Quienes hayan hecho un buen trabajo en el cumplimiento del GDPR cosecharán los beneficios en lo que respecta al cumplimiento del NIS2, aunque queden algunas lagunas.

Es importante que las empresas hagan más para contener con eficacia y éxito las consecuencias de los ataques. Con demasiada frecuencia, como ocurrió recientemente con M&S en el Reino Unido, se producen interrupciones totales, pérdida de datos y daños importantes para las empresas afectadas, sus proveedores y clientes.

El GDPR ha garantizado que las empresas manejen los datos personales con más cuidado. Las autoridades ya han impuesto multas por un total de casi 6.200 millones de euros a las empresas que infringen estas normas. En mayo de 2024, esta cifra era de 4.600 millones de euros. La Directiva NIS2 pretende regular la aplicación utilizando un concepto de multa similar, con la diferencia de que los propios directores de las empresas serán responsables con su patrimonio.

Por ello, algunas empresas han recurrido a la ayuda de consultoras, como KPMG, para garantizar su cumplimiento. Su experiencia demuestra que las empresas se encuentran con varios problemas, ya que la directiva deja mucho margen de maniobra y depende en gran medida de la interpretación individual. A menudo, el problema está en los detalles, por ejemplo, en lo que respecta a la responsabilidad del órgano de gestión, las obligaciones de información en caso de incidentes o la seguridad de las tecnologías esenciales para las operaciones.

El quid de la obligación de informar

Uno de los requisitos más exigentes tanto del GDPR como del NIS2 es la obligación de informar en caso de incidentes cibernéticos. El GDPR exige que las violaciones de datos se notifiquen en un plazo de 72 horas. NIS2 exige que las empresas afectadas notifiquen los incidentes graves de ciberseguridad en un plazo de 24 horas en caso de emergencia.

Por tanto, los flujos de trabajo y procesos necesarios para el NIS2 ya deberían estar en marcha desde el trabajo de cumplimiento del GDPR. Sin embargo, deben acelerarse. En consecuencia, las empresas deben utilizar procesos automatizados para conocer su inventario de datos y categorizar los datos importantes.

Aún más importante es que la empresa siga operativa en caso de emergencia, incluso durante un ataque en curso. Para ello, deben seguir el concepto de «viabilidad mínima». Este concepto define de antemano exactamente qué infraestructura, sistemas, aplicaciones, procesos y entornos son necesarios para mantener las operaciones de emergencia. A continuación, este paquete mínimo se almacena de forma segura en un entorno aislado para que no se vea afectado por los ataques.

En caso de ataque, el paquete de emergencia se activa en una sala blanca aislada, desde la que los equipos de seguridad e infraestructura de TI reinstalan el entorno de producción reforzado, mientras investigan simultáneamente el ataque, los datos comprometidos y las puertas traseras. Sólo quienes puedan actuar inmediatamente y comenzar el análisis podrán cumplir los estrictos requisitos de información. Por cierto, las empresas que no están tan preparadas tardan una media de 24 días en volver a estar operativas tras un ciberataque, 24 días frente al plazo de 24 horas que exige el reglamento.

Gestionar los riesgos de forma preventiva

El GDPR exige una evaluación del impacto en la protección de datos (EIPD) para las operaciones de tratamiento de alto riesgo, mientras que la NIS2, a su vez, exige medidas de gestión de riesgos relacionadas con la infraestructura informática. Éstas incluyen, por ejemplo, análisis de amenazas y planificación de la continuidad de la actividad. Los procesos de análisis de riesgos del GDPR pueden adoptarse y ampliarse en consecuencia para cubrir tanto los riesgos de protección de datos como los de ciberseguridad.

Para identificar los riesgos lo antes posible, las empresas deben examinar sus conjuntos de datos en consecuencia. Y para minimizar el impacto en su entorno de producción, merece la pena supervisar las copias de seguridad. Esto permite a los equipos de seguridad detectar con precisión cualquier anomalía, que pueden examinar más de cerca e, idealmente, detener un ataque inminente.

Para reducir aún más el riesgo, las empresas deben probar periódicamente la recuperación de datos y sistemas y practicar la interacción de todos los equipos, en un verdadero entorno de cleanroom con datos reales y no sólo sobre el papel. Sólo entonces podrán los equipos detectar lagunas en la cobertura y descubrir problemas de coordinación y flujos de trabajo. Durante un ataque, los equipos están mentalmente tensos, y los niveles de estrés son muy altos, por lo que esta experiencia debe adquirirse antes de que se produzca un ataque.

Más sinergias

  • El GDPR exige que se establezcan y gestionen adecuadamente funciones de protección de datos, como la de un Responsable de Protección de Datos (DPO)
  • Deben implantarse estructuras de gobernanza adecuadas. La NIS2, a su vez, exige responsabilidades claras en materia de ciberseguridad, incluido el nombramiento de un Director de Seguridad de la Información (CISO) o funciones similares. Las funciones existentes del proceso GDPR y las estructuras de gobernanza correspondientes pueden adaptarse o ampliarse para incluir responsabilidades de ciberseguridad
  • El GDPR exige a las empresas que apliquen varias medidas. Entre ellas se incluyen temas como el cifrado, el control de acceso, la autenticación y la seudonimización, que son medidas de seguridad estándar. El NIS2 exige controles de ciberseguridad similares, pero más centrados en el funcionamiento. Muchos de los controles de seguridad del GDPR cumplen total o parcialmente los requisitos del NIS2: a menudo, sólo se requieren medidas de seguridad informática mejoradas
  • El GDPR exige a las empresas que documenten detalladamente cómo procesan los datos personales. Estos informes deben incluir las actividades de tratamiento y las evaluaciones de impacto de la protección de datos. NIS2 también exige la documentación de las políticas de seguridad, las respuestas a incidentes y los resultados de las auditorías. Los sistemas de documentación centralizada del GDPR pueden reutilizarse y ampliarse para cubrir el cumplimiento del NIS2

Conclusión

La introducción del NIS2 exigirá mucho a las empresas, pero las que hayan hecho sus deberes sobre la aplicación del GDPR podrán beneficiarse de este trabajo preparatorio. Es muy probable que el NIS2 conduzca a un aumento general de los niveles de seguridad, haciendo más difícil que los piratas informáticos y los ciberactores pongan en peligro las infraestructuras críticas. Y esta mayor resiliencia cibernética será, en última instancia, una ventaja competitiva. Nos hemos acostumbrado a que los ciberataques formen parte de la vida cotidiana. Y gracias a NIS2, es de esperar que nos acostumbremos a que las empresas puedan resistir mejor los ataques y volver a estar en línea en pocos días u horas, no en semanas o meses.

Autor: Ricardo José Garrido Reichelt, Tecnólogo Principal de Seguridad EMEA, Oficina del CTO de Commvault

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.

También te puede gustar

Amazon Q: IA generativa para el trabajo

Gustavo Genez

Por qué usar una contraseña larga no significa seguridad

Gustavo Genez

Consejos de seguridad informática para los usuarios de mayor edad

Gustavo Genez