Las directivas de seguridad NIS2 y DORA de la UE: lo que necesita saber

El financiero y servicios esenciales sectores fueron los principales objetivos del ransomware en 2022.

Las organizaciones de estas industrias están bajo una tremenda presión. Necesitan transformarse y digitalizarse para aumentar la eficiencia, y hacerlo rápidamente mientras mantienen la disponibilidad y la seguridad.

Al mismo tiempo, los actores del ransomware se dirigen intencionalmente a los operadores financieros y a los operadores de servicios esenciales. Saben que estas industrias no pueden permitirse ningún tiempo de inactividad y, a su vez, ofrecen la mayor oportunidad de pagar un rescate.

En el último año, hemos visto innumerables incidentes de ciberseguridad en servicios bancarios y financieros y sectores de servicios esenciales incluidos la energía, el agua y el transporte. Estos ataques han causado enormes pérdidas financieras y el potencial de enormes daños a la economía, la infraestructura subyacente y la seguridad de los consumidores.

Por qué los servicios financieros y los servicios esenciales necesitan resiliencia cibernética

Cada año hay una nueva palabra de moda empresarial que ocupa un lugar central.

¿El de este año? Resiliencia. Y por una buena razón.

En los últimos 12 meses, ha habido un cambio significativo en la forma en que las empresas gestionan los riesgos cibernéticos. Los ataques cibernéticos han evolucionado desde el simple robo de datos hasta afectar la disponibilidad del negocio. Con el costo promedio de una violación de datos ahora $4.35 millones, ya no es suficiente simplemente responder a los ataques, se trata de sobrevivir a ellos.

Descubra por qué la resiliencia es la La máxima prioridad de seguridad del sector bancario ahora mismo.

El problema se ve agravado por la falta de confianza de los líderes empresariales en la capacidad de recuperación de su organización en caso de un ataque. De acuerdo con investigación reciente por Enterprise Strategy Group, solo el 19% de los líderes empresariales sienten que su organización está preparada para manejar el impacto de un ciberataque. Y más de la mitad piensa que un ataque tendría consecuencias catastróficas para el negocio.

Descubra cómo la segmentación de confianza cero de Illumio ofrece resiliencia cibernética aquí.

La respuesta de la Unión Europea a la ciberresiliencia - NIS2 y DORA

Para aumentar la resiliencia y las capacidades de respuesta a incidentes en toda Europa, la Unión Europea (UE) aprobó recientemente actualizaciones de la directiva de redes y sistemas de información (NIS) para servicios esenciales, denominada NIS2, que se prevé que entre en vigor en los próximos años.

Aunque ya no forma parte de la UE, el Reino Unido ha adoptado la directiva NIS y ha confirmado que también harán actualizaciones. La actualización reforzará la directiva existente para garantizar que los servicios esenciales y digitales del Reino Unido estén protegidos contra ciberataques cada vez más sofisticados y frecuentes.

Adicionalmente, la UE ha creado la Ley de Resiliencia Operacional Digital (DORA) que tiene como objetivo garantizar que las organizaciones bancarias y de servicios financieros puedan resistir, responder y recuperarse de los incidentes de seguridad.

Una vez publicadas las directivas, las organizaciones obtienen un período de implementación de 24 meses. Pero los cambios proactivos siempre son mejores que los simulacros de fuego reactivos. Los líderes del negocio recomiendan comenzar ahora para lograr el cumplimiento de normas.

¿Qué es NIS2?

El objetivo principal de la nueva directiva NIS2 es mejorar el intercambio de conocimientos y fortalecer la respuesta posterior a la violación por parte de los servicios esenciales, incluidos la energía, el transporte, la banca y la salud. Es una evolución de la directiva NIS original que esbozó las medidas legales para la seguridad de las redes y los sistemas de información.

Acceda al borrador de directiva NIS2 aquí.

Por qué NIS2 es importante para los servicios esenciales

El objetivo de esta directiva es mejorar la resiliencia y las capacidades de respuesta ante incidentes tanto del sector público y privado como de la UE en su conjunto.

Pero también es una señal de una tendencia más amplia, una aceptación de que las brechas ocurrirán. Si bien la directiva ayuda a proteger los activos críticos de TI, también carga a los proveedores de servicios esenciales con un nuevo desafío de cumplimiento de normas.

¿Qué es DORA?

Si bien NIS2 incluye organizaciones bancarias y de servicios financieros como parte de su directiva, DORA es para el sector financiero, específicamente.

El próximo DORA la directiva tiene por objeto garantizar que las empresas puedan resistir, responder y recuperarse de las infracciones. El sector bancario apoya a la economía mundial, y sin fuertes medidas de ciberseguridad, las brechas pueden llegar a ser catastróficas rápidamente. DORA requiere que los bancos fortalezcan su resiliencia cibernética, protejan los datos de los clientes y garanticen la continuidad del negocio ante una brecha de seguridad.

Con fecha de entrada en vigor a principios de 2023 y aplicable para 2025, DORA cambiará las reglas del juego para la industria de servicios financieros.

Acceder a la directiva DORA aquí.

Por qué DORA es importante para los servicios bancarios y financieros

Durante muchos años, la industria se ha esforzado por conectar los resultados del negocio y de la seguridad. DORA no sólo mejora la resiliencia de las organizaciones financieras, sino que hará que el vínculo sea más explícito entre las capacidades de seguridad y la resiliencia operacional.

Las empresas dentro del ámbito deben ser capaces de administrar y abordar el riesgo rápidamente. De hecho, la sección II del capítulo II de DORA ordena que las organizaciones desarrollen un marco de gestión de riesgos adecuado para abordar el riesgo de seguridad de manera rápida, eficiente e integral, y para garantizar un alto nivel de resiliencia operacional digital.

Pero esto no es tarea fácil, y las organizaciones deben comenzar a sentar las bases ahora o arriesgarse a quedarse atrás.

3 formas en que la segmentación de confianza cero de Illumio puede ayudar a lograr el cumplimiento de NIS2 y DORA

¿Qué deben hacer las organizaciones de inmediato para desarrollar resiliencia y cumplir con NIS2 y DORA? Empezar con Segmentación de confianza cero (ZTS).

1. Obtenga visibilidad de la comunicación de aplicaciones y cargas de trabajo

Como primer paso, es importante realizar un análisis de brechas comparando las iniciativas y riesgos de seguridad actuales de su organización con los requerimientos NIS2 y DORA.

Una herramienta importante en este proceso es mapeo de dependencia de aplicaciones ofrecido por el Plataforma Illumio ZTS. Obtenga una visibilidad rápida y fácil de entender del tráfico y la comunicación de las aplicaciones y las cargas de trabajo en toda la superficie de ataque híbrida. Por ejemplo, vea qué servidores están hablando con activos críticos para el negocio o qué aplicaciones tienen líneas abiertas a Internet, lo que brinda a los malos actores un acceso simple a la red de su organización.

Esta visibilidad permite que su equipo de seguridad priorice su trabajo hacia el cumplimiento de NIS2 y DORA. Pueden ver dónde la organización ya cumple con las normas y dónde deben implementarse mejores controles de seguridad.

2. Establezca una política de segmentación granular y flexible

Después de obtener visibilidad en su red híbrida, está listo para priorizar el establecimiento de una política de seguridad informada que aumente su resiliencia cibernética y le ayude a lograr el cumplimiento de NIS2 y DORA.

Illumio ZTS le permite establecer automáticamente políticas de segmentación flexibles y granulares que controlan la comunicación entre cargas de trabajo y dispositivos. Esto solo permite lo necesario y deseado. Por ejemplo, puede restringir las comunicaciones de servidor a aplicación, de desarrollo a producto o de TI a OT.

Establecer una política de segmentación es un paso vital hacia la construcción de una arquitectura Zero Trust, un modelo de seguridad implícito en las directivas NIS2 y DORA.

3. Aislar activos de manera proactiva o contener reactivamente la propagación de brechas

La segmentación de su red con Illumio ZTS brinda seguridad proactiva y reactiva contra las brechas inevitables, logrando el objetivo principal de resiliencia a los ataques de las directivas NIS2 y DORA.

Aísle proactivamente los activos de alto valor para restringir el acceso sólo a lo que es crítico y necesario. Esto significa que tiene la seguridad de que el ransomware u otras brechas no pueden propagarse a estos activos, detener el negocio y crear daños catastróficos.

Durante un ataque activo, detenga de manera reactiva la propagación de una brecha y congrésela solo a una pequeña parte de su red en minutos. De hecho, un emulación reciente de ciberataque de Bishop Fox encontró que Illumio ZTS puede detener la propagación de una brecha en menos de 10 minutos. Esto es cuatro veces más rápido que las soluciones de detección y respuesta (EDR) de punto final por sí solas.

• ‍Leer más sobre cómo Illumio se alinea con los requerimientos de NIS2.
• Descargue nuestro libro electrónico gratuito, Estrategias para el cumplimiento de DORA: papel clave de la segmentación de confianza cero.