Directivas de seguridad NIS2 y DORA de la UE: lo que necesita saber

Los sectores financiero y de servicios esenciales fueron los principales objetivos del ransomware en 2022.

Las organizaciones de estas industrias están sometidas a una tremenda presión. Necesitan transformar y digitalizar para aumentar la eficiencia, y hacerlo rápidamente mientras mantienen la disponibilidad y la seguridad.

Al mismo tiempo, los actores de ransomware están apuntando intencionalmente a los operadores financieros y de servicios esenciales. Saben que estas industrias no pueden permitir ningún tiempo de inactividad y, a su vez, ofrecen la mayor posibilidad de pagar un rescate.

En el último año, vimos innumerables incidentes de ciberseguridad en los sectores de servicios bancarios y financieros y servicios esenciales , incluidos la energía, el agua y el transporte. Estos ataques causaron enormes pérdidas financieras y el potencial de un gran daño a la economía, la infraestructura subyacente y la seguridad de los consumidores.

Por qué los servicios financieros y los servicios esenciales necesitan resiliencia cibernética

Cada año hay una nueva palabra de moda empresarial que ocupa un lugar central.

¿El de este año? Resiliencia. Y por una buena razón.

En los últimos 12 meses, hubo un cambio significativo en la forma en que las compañías gestionan los riesgos cibernéticos. Los ciberataques pasaron de simplemente robar datos a afectar la disponibilidad del negocio. Con el costo promedio de una violación de datos ahora de $ 4.35 millones, ya no es suficiente simplemente responder a los ataques, se trata de sobrevivir a ellos.

Descubra por qué la resiliencia es la principal prioridad de seguridad del sector bancario en este momento.

El problema se ve agravado por la falta de confianza de los líderes empresariales en la resiliencia de su organización en caso de un ataque. Según una investigación reciente de Enterprise Strategy Group, solo el 19% de los líderes empresariales sienten que su organización está preparada para manejar el impacto de un ataque cibernético. Y más de la mitad piensa que un ataque tendría consecuencias comerciales catastróficas.

Descubra cómo Illumio Zero Trust Segmentation ofrece resiliencia cibernética aquí.

La respuesta de la Unión Europea a la ciberresiliencia - NIS2 y DORA

Para aumentar la resiliencia y las capacidades de respuesta a incidentes en toda Europa, la Unión Europea (UE) aprobó recientemente actualizaciones de la directiva de redes y sistemas de información (NIS) para servicios esenciales, llamada NIS2, que se prevé que entre en vigor en los próximos años.

Aunque ya no forma parte de la UE, el Reino Unido adoptó la directiva NIS y confirmó que también hará actualizaciones. La actualización reforzará la directiva existente para garantizar que los servicios esenciales y digitales del Reino Unido estén protegidos contra ciberataques cada vez más sofisticados y frecuentes.

Además, la UE creó la Ley de Resiliencia Operativa Digital (DORA) que tiene como objetivo garantizar que las organizaciones de servicios bancarios y financieros puedan resistir, responder y recuperar de incidentes de seguridad.

Después de que se publican las directivas, las organizaciones obtienen un periodo de implementación de 24 meses. Pero los cambios proactivos siempre son mejores que los simulacros de incendio reactivos. Los líderes empresariales recomiendan comenzar ahora para lograr el cumplimiento.

¿Qué es NIS2?

El objetivo principal de la nueva directiva NIS2 es mejorar el intercambio de conocimientos y fortalecer la respuesta posterior a la violación de los servicios esenciales, incluidos la energía, el transporte, la banca y la atención médica. Es una evolución de la directiva original del NIS, que describía las medidas legales para la seguridad de las redes y los sistemas de información.

Acceda al borrador de la directiva NIS2 aquí.

Por qué NIS2 es importante para los servicios esenciales

El objetivo de esta Directiva es mejorar la resiliencia y las capacidades de respuesta a incidentes tanto del sector gubernamental como del privado, así como de la UE en su conjunto.

Pero también es una señal de una tendencia más amplia: la aceptación de que se producirán infracciones. Si bien la directiva ayuda a proteger los activos críticos de TI, también carga a los proveedores de servicios esenciales con un nuevo desafío de cumplimiento.

¿Qué es DORA?

Mientras que NIS2 incluye organizaciones de servicios bancarios y financieros como parte de su directiva, DORA es para el sector financiero, específicamente.

La próxima directiva DORA tiene como objetivo garantizar que las compañías puedan resistir, responder y recuperar de las infracciones. El sector bancario apoya la economía global y, sin fuertes medidas de ciberseguridad, las infracciones pueden volver catastróficas rápidamente. DORA requiere que los bancos fortalezcan su resiliencia cibernética, protejan los datos de los clientes y garanticen la continuidad del negocio frente a una violación de seguridad.

Programado para entrar en vigor a principios de 2023 y aplicable en 2025, DORA cambiará las reglas del juego para la industria de servicios financieros.

Acceda a la directiva DORA aquí.

Por qué DORA es importante para los servicios bancarios y financieros

Durante muchos años, la industria se esforzó por conectar los resultados comerciales y de seguridad. DORA no solo mejora la resiliencia de las organizaciones financieras, sino que hará que el vínculo entre las capacidades de seguridad y la resiliencia operativa sea más explícito.

Las compañías dentro del alcance deben ser capaces de gestionar y abordar el riesgo rápidamente. De hecho, el capítulo II sección II de DORA exige que las organizaciones desarrollen un marco de gestión de riesgos adecuado para abordar el riesgo de seguridad de manera rápida, eficiente e integral, y para garantizar un alto nivel de resiliencia operativa digital.

Pero esto no es tarea fácil, y las organizaciones deben comenzar a sentar las bases ahora o arriesgar a quedar atrás.

3 formas en que Illumio Zero Trust Segmentation puede ayudar a lograr el cumplimiento de NIS2 y DORA

¿Qué deben hacer las organizaciones de inmediato para desarrollar resiliencia y cumplir con NIS2 y DORA? Comience con la segmentación de confianza cero (ZTS).

1. Obtenga visibilidad de la comunicación de aplicaciones y cargas de trabajo

Como primer paso, es importante realizar un análisis de brechas comparando las iniciativas de seguridad actuales de su organización y el riesgo con los requisitos de NIS2 y DORA.

Una herramienta importante en este proceso es el mapeo de dependencias de aplicaciones que ofrece la plataforma Illumio ZTS. Obtenga una visibilidad rápida y fácil de entender del tráfico y la comunicación de aplicaciones y cargas de trabajo en toda la superficie de ataque híbrida. Por ejemplo, vea qué servidores se comunican con activos críticos para el negocio o qué aplicaciones tienen líneas abiertas a Internet, lo que brinda a los malos actores un acceso simple a la red de su organización.

Esta visibilidad permite a su equipo de seguridad priorizar su trabajo hacia el cumplimiento de NIS2 y DORA. Pueden ver dónde la organización ya cumple con las normas y dónde deben implementar mejores controles de seguridad.

2. Establecer una política de segmentación flexible y granular

Luego de obtener visibilidad de su red híbrida, está listo para priorizar la configuración de una política de seguridad informada que aumente su resiliencia cibernética y lo ayude a lograr el cumplimiento de NIS2 y DORA.

Illumio ZTS le permite establecer automáticamente políticas de segmentación granulares y flexibles que controlan la comunicación entre cargas de trabajo y dispositivos. Esto solo permite lo necesario y deseado. Por ejemplo, puede restringir las comunicaciones de servidor a aplicación, de desarrollo a producción o de TI a OT.

Establecer una política de segmentación es un paso vital hacia la construcción de una arquitectura Zero Trust, un modelo de seguridad implícito en las directivas NIS2 y DORA.

3. Aísle los activos de forma proactiva o contenga de forma reactiva la propagación de la brecha

La segmentación de su red con Illumio ZTS ofrece seguridad proactiva y reactiva contra infracciones inevitables, logrando el objetivo principal de la resistencia a los ataques de las directivas NIS2 y DORA.

Aísle de forma proactiva los activos de alto valor para restringir el acceso solo a lo que es crítico y necesario. Esto significa que tiene la seguridad de que el ransomware u otras infracciones no pueden propagar a estos activos, detener el negocio y crear daños catastróficos.

Durante un ataque activo, detenga de forma reactiva la propagación de una brecha y contenla solo en una pequeña parte de su red en minutos. De hecho, una reciente emulación de ciberataque de Bishop Fox descubrió que Illumio ZTS puede detener la propagación de una brecha en menos de 10 minutos. Esto es cuatro veces más rápido que las soluciones de detección y respuesta de endpoints (EDR) por sí solas.

• Lea más sobre cómo Illumio se alinea con los requisitos de NIS2.
• Descargue nuestro libro electrónico gratis, Strategies for DORA Compliance: Key Role of Zero Trust Segmentation.