CIBERSEGURIDAD El reto es evidente y el debate está servido. Debemos ser capaces de contribuir a generar y retener mayor talento. Este año se ha publicado la Directiva relativa a medidas de ciberseguridad (NIS2). ¿Qué diferencias tiene respecto a la anterior? ¿Se ve mejorada la seguridad? Desde la Agencia de Ciberseguridad hemos analizado la Directiva y vamos a publicar una nota exhaustiva con un informe de impacto de la medida. El análisis y novedades el impacto se centran en nueve ejes de novedades: 1. Ampliación y mayor complexidad del ámbito de aplicación. 2. Estrategias nacionales de ciberseguridad y marcos nacionales de gestión de crisis. 3. Nuevas funciones de los CSIRT de referencia. 4. Mayor cooperación por medio de nuevos mecanismos. 5. Desarrollo de la obligación de adoptar medidas para la gestión de los riesgos de ciberseguridad en las organizaciones y el régimen de responsabilidad de los órganos de dirección. 6. Refuerzo de las exigencias de protección de la cadena de suministro e impulso de la normalización y las certificaciones. 7. Refuerzo de las obligaciones de notificación de incidentes. 8. Bases de datos sobre el registro de dominios. 9. Nuevo régimen de supervisión y sanción. Por lo que a diferencias destacadas encontramos: • La Ampliación del alcance/ámbito de aplicación: No sólo es una cuestión de añadir nuevos sectores, sino que la clasificación entre entidades esenciales e importantes abre la puerta a una evolución de las obligaciones de ciberseguridad en todas aquellas entidades y empresas que tienen un impacto relevante en el ámbito social y económico. • Potenciación de la respuesta a incidentes transaccionales: No sólo se refuerza la capacidad que deben tener los CSIRTs sino que también se crea una nueva estructura de coordinación para responder a incidentes de alto impacto y de carácter paneuropeo (eu-Cyclone). • La concreción de un régimen sancionador específico en la propia Directiva. ¿Qué implicaciones legales tiene la NIS2? Las implicaciones legales que tiene la NIS2 supondrá una armonización que se conseguirá una vez cada Estado miembro la trasponga, a partir de la voluntad de la Comisión de avanzar hacia una mayor convergencia de los niveles de seguridad de los estados. Para terminar, ¿qué consejos se dan desde la Agencia para evitar los ciberataques? Las técnicas que utilizan los cibercriminales son cada vez más sofisticadas y personalizadas. Con el uso de ingeniería social y herramientas específicas son capaces de generar contenidos verosímiles para las personas y empresas y acabar siendo víctimas. Los cibercriminales saben de nuestros hábitos y de nuestros comportamientos como inviduos y como empresas y por tanto, el impacto del cibercriminal cada vez será más local e individualizado. Irán desarrollando la capacidad de personalizar el mensaje y la apariencia de realidad. Por eso volvemos al principio, formación y concienciación en el eslabón más débil de la cadena de la ciberseguridad: los usuarios, ya sean profesionales o ciudadanos. Aquí es donde debemos poner esfuerzo y atención. En este sentido, liderado desde la Agencia de Ciberseguridad y en colaboración conjunta con más instituciones y organismos de la Generalitat de Cataluña impulsamos el proyecto 'Internet Segura', el cual tiene el objetivo de sensibilizar a la ciudadanía en general, dedicando una especial atención a niños y adolescentes, familias y profesionales de la enseñanza sobre la importancia de aplicar buenos hábitos a la hora de navegar por la Internet y utilizar las redes sociales. De este modo, impulsa acciones como: • La creación, desarrollo y puesta en marcha de líneas de ayuda profesionalizadas que permitan dar respuesta a las demandas de los menores, sus familias y/o sus centros educativos, en todo lo referente a la seguridad en el uso de las TIC. • La implantación de acciones y campañas de formación y sensibilización, a través de acciones de formación en los centros educativos, asociaciones de padres y madres de los alumnos, el Cuerpo de Mossos d'Esquadra y profesionales de diferentes ámbitos que trabajan con los menores. Asimismo, y específicamente para empresas, también generamos contenidos y formación en el entorno de planes de resiliencia y de buenas prácticas para reducir la exposición al riesgo y a los efectos de un ciberataque. De este modo, contar con políticas de copias offline, segmentación de redes, filtrados de navegación, tecnologías de detección pronta de ciberamanazas como EDRs, o aquellas que protegen la integridad de los accesos ilegítimos usando credenciales robadas, como puede ser el despliegue de la autenticación multifactor (MFA), tienen un gran impacto de prevención y protección de los sistemas digitales de las empresas e instituciones. n 51
RkJQdWJsaXNoZXIy Njg1MjYx