Directiva NIS: algunas reflexiones acerca de su implementación

Directiva NIS: algunas reflexiones acerca de su implementación

directiva nis

Con la Directiva NIS (EU Directive 2016/1148) nos encontramos con la primera directiva específica de la Unión Europea que impone medidas concretas de protección frente a ataques y vulneraciones en las redes y sistemas de información de importancia primordial para los Estados miembros: las denominadas infraestructuras críticas.

La idea y el mensaje esencial de la Directiva NIS es fomentar la comunicación y la colaboración entre los países de la UE. Una primera medida para cada país ha sido establecer un CSIRT –centro de respuesta ante las incidencias de seguridad– que tiene un papel esencial en la gestión de los riesgos de seguridad y en la colaboración con organismos similares de otros países, pero también en la selección y recomendación de arquitecturas y soluciones de seguridad para las entidades que son objeto de la Directiva.

Hablando de estas entidades objeto de la Directiva NIS, la mayoría de ellas son los proveedores de servicios esenciales de suministro, comunicaciones, transporte, banca, sanidad y proveedores de las infraestructuras digitales. Todos ellos tienen que poner en funcionamiento estructuras, procesos y soluciones para identificar y mitigar los riesgos operacionales que pueden poner en peligro su funcionamiento y/o suministro.

Una parte importante en la adecuación a la Directiva NIS es la organización y la planificación de todo el mecanismo, para la identificar y gestionar adecuadamente los puntos críticos, los activos más importantes y los riesgos de seguridad que les puedan afectar.

Pero, de igual importancia es la preparación y capacidad técnica para prevenir, identificar, responder y mitigar las incidencias de seguridad. Esto significa implementar estructuras, procesos y controles técnicos para la detección, contención y respuesta a los ataques dirigidos avanzados, y a las intrusiones más sutiles y difíciles de detectar.

Cualquier profesional de la ciberseguridad sabe que es difícil o, mejor dicho, imposible encontrar en una solución de seguridad la respuesta a todas las necesidades de una infraestructura crítica. A medida que crece la importancia de los activos, sabemos que un único control de seguridad no es suficiente. Así que, para adecuarse a la Directiva NIS, se necesita tener probablemente conjuntos de controles de seguridad, tanto a nivel del endpoint como de la red, doblados por controles de continuidad de negocio, de correlación de eventos y analíticas de seguridad; todo gestionado en plataformas de alerta, priorización y gestión de incidencias y/o SOCs.

Nuestra recomendación, como proveedor involucrado activamente en proporcionar soluciones y buenas practicas para cubrir los riesgos de seguridad, es de construir una arquitectura de seguridad redundante, que reúna la protección de los endpoints pero también soluciones y servicios de detección temprana y respuesta a las incidencias (EDR), y soluciones de detección y analíticas a nivel de la red (como pueden ser un network sandbox o una solución de análisis del trafico de red). El resultado de la combinación de este tipo de tecnologías es un incremento importante de la precisión en la detección, la eliminación de los falsos positivos y la posibilidad de priorizar las incidencias de verdad importante.

Otra reflexión que debemos hacer se refiere a los proveedores de suministros. La mayoría de ellos usan plataformas de adquisición y control tipo ICS y SCADA y otros dispositivos IoT/OT. El reto de cubrir todos los frentes es extremadamente importante ante lo que es, como ya hemos visto en los años anteriores, la antecámara de una “ciberconfrontación” con estados que nos son miembros de la UE (nos referimos principalmente a ataques avanzados a las infraestructuras de suministro de energía como Energetic Bear o a las infraestructuras de transporte – Deutsche Bahn). La dificultad de asegurar los activos IoT / OT es conocida, los modelos tradicionales de seguridad por air-gapping de la red OT ya se han mostrado vulnerables a los ataques. 

Muchas veces, las plataformas que interactúan con los controles industriales no están bajo la gestión del departamento TI, haciéndolas aún más vulnerables. En este caso vemos como posible solución la implantación de controles complementarios de seguridad a nivel de analíticas del trafico de red, capaces de aprender los patrones del tráfico legítimo y detectar el tráfico sospechoso, así como las conexiones a zonas peligrosas del Internet.

Como conclusión, podemos decir que el camino para la aplicación de la Directiva NIS es largo y la mayoría de los actores involucrados están en algún punto, más avanzado o más incipiente. El objetivo final es complejo, pero es alcanzable con paciencia, dosificación del esfuerzo y pensando que cada largo viaje se hace un paso tras otro. Nosotros, como siempre, nos ofrecemos acompañarle en el camino.

Horatiu Bandoiu, ISO 27001 LA, Channel Marketing Manager de Bitdefender

Comments

Comentarios desactivados