Al mismo tiempo, muchas pólizas de ciberseguridad dependen del cumplimiento normativo. Si no se implementan las medidas necesarias (p. ej., gestión de contingencias, gestión de copias de seguridad, protección antivirus), la cobertura del seguro puede verse reducida o incluso anulada, lo que supone un riesgo en sí mismo. ¿Qué debe hacerse primero? Incluso antes de que se finalicen los requisitos legales, pueden hacerse preparativos para reforzar significativamente la postura de ciberseguridad de su empresa. › Realice una evaluación de impacto: Si no está claro si su empresa se verá afectada por la legislación NIS2, debería aprovechar una evaluación gratuita ofrecida por instituciones de seguridad nacional como BSI (Alemania) o WKO Online Ratgeber (Austria). › Definir responsabilidades: Identifique y capacite a las personas responsables de la seguridad de la información de los sistemas informáticos y de tecnología operativa. Estas personas también deben convertirse en el punto de contacto único para la elaboración de informes. › Involucrar a la alta dirección: La alta dirección debe comunicar la información sobre ciberseguridad al resto de la organización. › Determinar el estado de seguridad: Utilice catálogos de requisitos como el Anexo A de la ISO 27001, la NIST CSF o la Norma mínima ICT para evaluar el estado de seguridad de su organización y priorizar las acciones. Los proveedores de servicios también ofrecen evaluaciones especializadas de ciber riesgos para este fin. Un inventario completo de activos es la base para una gestión eficaz de los riesgos y las vulnerabilidades, especialmente en tecnología operativa. Siguiendo el principio de «solo puedo proteger lo que conozco», la creación de un inventario es una prioridad absoluta. Los expertos externos pueden ayudar a establecer procesos de seguridad de manera más eficaz en una fase inicial. Sin embargo, los conocimientos adquiridos por una empresa deben integrarse de forma sostenible. Uso de NIS2 para una implementación concreta La gestión del riesgo cibernético es un requisito clave para las empresas cubiertas por la legislación NIS2. Como se mencionó anteriormente, el primer paso es identificar un riesgo cibernético. El proceso consta de varios pasos: 1. Identifique los procesos empresariales clave: ¿Qué procesos son críticos para su actividad empresarial o para la prestación de servicios críticos para el negocio? 2. Identifique los componentes informáticos y/o de tecnología operativa relevantes: Asigne los procesos a los activos adecuados, tales como los activos de informática y/o de tecnología operativa, o los edificios, incluidas las responsabilidades. 3. Realice un análisis de riesgos: Utilice el inventario de activos para determinar la magnitud de los daños y la probabilidad de que se produzcan riesgos. Se pueden utilizar o no las normas pertinentes (ISO 27005, BSI IT-Grundschutz). 4. Planifique acciones: Reduzca los riesgos a un nivel aceptable con medidas de tecnología punta. La implementación de medidas exigidas por ley, tales como los sistemas de detección de ataques en Alemania, debe ser una prioridad. 5. Documente todo exhaustivamente: Todas las especificaciones, planes e implementación de medidas deben documentarse. Esto incluye el seguimiento periódico de la eficacia de las medidas. De acuerdo con la directiva NIS2, los siguientes temas son un requisito mínimo para la documentación: › Metodología de riesgos para el análisis, la evaluación y el tratamiento; › Requisitos de ciberseguridad para los componentes de informática y tecnología operativa; › Procesos y responsabilidades para la gestión de incidentes de seguridad; «Los expertos externos pueden ayudar a establecer procesos de seguridad de manera más eficaz en una fase inicial. Sin embargo, los conocimientos adquiridos por una empresa deben integrarse de forma sostenible». 10
RkJQdWJsaXNoZXIy NTkxNzY=