Zscaler alerta de la escasa preparación de las empresas a la nueva Directiva de Ciberseguridad

Miguel Ángel Valero

El 17 de octubre de 2024 es la fecha límite para que las empresas cumplan con la  Directiva de ciberseguridad NIS2. Ésta tiene como objetivo lograr un alto nivel común de ciberseguridad en toda la Unión Europea. Los estados miembros deben asegurar que las entidades de 15 segmentos industriales tomen las medidas adecuadas para gestionar los riesgos que representan para la seguridad de los sistemas de información y redes, así como para prevenir o minimizar el impacto de losincidentes en los receptores de sus servicios y en otros servicios.

Zscaler, empresa especializada en la seguridad en la 'nube', ha realizado un informe para analizar el grado de madurez de las empresas europeas en el cumplimiento de NIS2, y ‘NIS2 & Beyond: Risk, Reward & Regulation Readiness’ revela que el 83% de los responsables de tecnologías de la información (TI) o CISO de las compañías españolas confía en que su empresa cumplirá con los requisitos de NIS2 antes de la fecha límite, frente al 80% europeo. Sin embargo, solo el 12% afirma haberlos cumplido ya, por debajo del 14% de la media europea.

El 56% cree que sus propios equipos comprenden los requisitos para el cumplimiento de NIS2 y el 51% considera que la dirección de la empresa también los entiende perfectamente. Pero los CISO reconocen una necesidad inmediata de educar a todos los implicados, desde el consejo de administración hasta el Comité de Dirección, jefes de departamentos y los empleados de toda la empresa para garantizar el cumplimiento de la nueva normativa.

Los responsables de las empresas reconocen la creciente importancia de las regulaciones NIS2: un 31% afirma que es una prioridad absoluta, y el 57% asegura que se está convirtiendo en una prioridad mayor. Sin embargo, esto no parece reflejarse en el apoyo ofrecido a los equipos de TI de la empresa que soportan la carga del proceso de cumplimiento. En Europa, el 56% de los CISO considera que sus equipos no reciben el apoyo necesario por parte de sus directivos para cumplir con el plazo estipulado.

El 67% de los responsables de TI españoles afirma que mantener la ciberseguridad de las empresas requiere un cambio de mentalidad que no se conseguirá simplemente con un ejercicio de cumplimiento normativo. Porque el 35% de las empresas españolas aún no ha implantado una arquitectura de 'zero trust' como parte de su enfoque de ciberseguridad.

“Aunque parece existir una confianza en toda la región en que las empresas alcanzarán el cumplimiento de la norma NIS2 antes de la fecha límite, nuestro informe sugiere que esta confianza podría estar construida sobre cimientos poco sólidos. Si no tienen cuidado, muchas empresas podrían descuidar otros procesos de ciberseguridad, algo que el 60% de los responsables de TI europeos admite que es posible. La dirección debe actuar ahora y dar a sus equipos de TI el apoyo necesario para evitar perder pasos clave en su viaje de cumplimiento y arriesgarse a consecuencias financieras graves", advierte Pablo Vera, director regional de España y Portugal en Zscaler.

Vera aplaude la NIS2, porque "es positivo que la regulación sea cada vez más granular y menos global" y porque "deber haber una normalización regulatoria" en Europa. Pero pone el foco en que "la empresa debe determinar el nivel de riesgo que puede aceptar, y eso es muy complicado de medir".

Además, llama la atención sobre que, en las fusiones y adquisiciones de empresas, cada vez más se requiere un análisis de los riesgos cibernéticos que el comprador está asumiendo. En los acuerdos con proveedores, cada vez se fijan más cláusulas que protegen a la empresa de un ciberataque a éstos o a terceros.

Para el directivo de Zscaler "la comunicación del riesgo cibernético de una empresa no se está haciendo bien, debe implicarse más el consejo de administración y el comité de dirección". Al mismo tiempo, los CISO y los departamentos de TI deben entender que "el dinero infinito no existe, las inversiones en ciberseguridad deben demostrar su eficacia".

Blanca Galletero, vicepresidenta de Ventas para EMEA, añade que "no es solo tecnología, son procesos y personas que deben conectar entre ellos, lo que requiere cambios organizativos". Y aporta un dato: los ciberataques se han duplicado en 3 años, pero la mitad se registra en los últimos 12 meses. "La IA facilita el crecimiento exponencial de los ciberataques", avisa.

Cambio significativo

Aunque la Directiva NIS2 se basa en el marco NIS existente, el 59% de los CISO españoles cree que supone un cambio significativo que exigirá modificaciones relevantes en su stack tecnológico/soluciones de ciberseguridad (34%), formación de los empleados (20%) y de los directivos (17%). Los mayores retos de la nueva norma son la seguridad en la compra, desarrollo y mantenimiento desistemas de información y redes (31%); prácticas básicas de higiene cibernética yformación en ciberseguridad (30%); y políticas y medidas efectivas de gestión deriesgos de ciberseguridad (29%).

Solo el 36% de los responsables de TI españoles califican  como “excelente” su higiene cibernética actual. Transporte (14%) y energía (21%) presentan un nivel mucho más bajo de excelencia en higiene cibernética en Europa. Estas cifras sugieren que muy pocas empresas de sectores de infraestructuras críticas se han mantenido al día con las revisiones de seguridad en los últimos años, lo que podría plantear problemas durante sus controles de cumplimiento de la NIS2 este año.

El 47% de los CISO españoles señala que NIS2 no es suficiente, teniendo en cuenta los riesgos a los que se enfrentan las empresas. Éstos avisan que la Directiva enfatiza la responsabilidad de las empresas de garantizar la seguridad de los sistemas de las redes y los sistemas de información con una cultura de gobernanza y gestión integral de riesgos. Las empresas deben adoptar medidas técnicas, operativas y organizativas proactivas para gestionar los riesgos que representan para la seguridad de estos sistemas.

La protección de datos es la máxima prioridad para todas las empresas que deben proteger la propiedad intelectual y los datos de los clientes, pero el problema se agrava con la amenaza de la nueva IA, el ransomware y el aumento del uso de la nube. En este sentido, el informe de Zscaler, ThreatLabz 2024 AI Security Report, destaca que las transacciones de IA/ML empresariales aumentaron casi un 600% de abril de 2023 a enero de 2024, a pesar de los crecientes riesgos de seguridad.

Check Point: cómo cambia la NIS2 el paisaje empresarial europeo

La NIS2 no solo redefine el marco de ciberseguridad en Europa, sino que también se inaugura una era de transparencia. En comparación con la primera Directiva NIS, esta nueva medida amplía el alcance a cerca de 160.000 empresas e instituciones de 27 Estados miembros. También tendrá un impacto estructural en las relaciones entre la alta dirección y las políticas de seguridad a nivel operativo. Check Point, proveedor en soluciones de ciberseguridad en la nube basadas en IA, explica cómo la NIS2 va a transformar la cultura corporativa hacia una mayor transparencia y responsabilidad en materia de ciberseguridad:

• Cultura de ciberseguridad por bandera: con la NIS2, la gestión de ciberseguridad ya no es solo un deber técnico, sino una responsabilidad ejecutiva, lo que lleva a una mayor visibilidad de las prácticas y fallos de seguridad dentro de las empresas. Este enfoque podría transformar la forma en las que las empresas discuten y divulgan sus estrategias y vulnerabilidades de ciberseguridad.      
• Penalizaciones significativas si no se cumple: esta nueva Directiva lleva a introducir multas de hasta 10 millones€ o el 2% del volumen de negocios anual global de la entidad infractora por incumplimiento de sus obligaciones.             
• CISO y DPO, de la mano: esta nueva normativa ha querido hacer referencia a la diferencia entre dos cargos empresariales en cuanto a responsabilidades de ciberseguridad se refiere. La NIS2 promueve una división clara de responsabilidades entre las funciones del CISO y del DPO (Data Protection Officer, responsable de Protección de Datos), permitiendo un diálogo más enfocado y especializado sobre la ciberseguridad y la protección de datos, respectivamente. Esta estructura fomenta una colaboración más efectiva y una toma de decisiones más informada en la cúpula empresarial.      
• Respuestas y gestión de incidentes: la NIS2 introduce un proceso de notificación de incidentes en fases, que obliga a las empresas a informar a las autoridades dentro de las primeras 24 horas de haber detectado un incidente significativo. Esto permite una respuesta más rápida y coordinada a los      ciberataques, minimizando el impacto potencial.      
• Formación continua para la Dirección: establece la necesidad de que los directivos estén informados sobre las tendencias de ciberseguridad. Esto subraya la importancia de la      educación continua en la alta dirección para un liderazgo eficaz.      
• Preparación proactiva para la conformidad: los pasos para la implementación de la NIS2 deben comenzar ahora, con medidas organizativas y técnicas que van desde la revisión interna hasta la formación específica, preparando a las empresas para cumplir no solo con la NIS2 sino también con el próximo Acta de Resiliencia Cibernética (CRA) de la UE.

Con el objetivo de garantizar una mayor seguridad y resiliencia en el ámbito digital europeo, la NIS2 no solo es una directiva sobre ciberseguridad, sino que impulsa la transformación cultural en las empresas. Al fomentar la transparencia, la responsabilidad compartida y un enfoque estratégico empodera a las empresas para crear una cultura de ciberseguridad sólida que las proteja contra ciberamenazas y las impulse hacia el éxito.

“La NIS2 promete remodelar no solo la ciberseguridad corporativa sino también la cultura empresarial alrededor de la transparencia y la responsabilidad ejecutiva”, destaca Mario García, director general de Check Point para España y Portugal. “Es un momento crucial para que las empresas reevalúen y fortalezcan sus estrategias de seguridad, asegurando que estén a la altura de las nuevas expectativas europeas y más allá”, concluye.