Desde que el Reglamento General de Protección de Datos (RGPD) de la UE entró en vigor en 2018 se han impuesto ya más de tres mil millones de euros en multas. Las deficiencias en materia de ciberseguridad dieron lugar a más de 300 casos en los que se sancionaron medidas de seguridad inadecuadas, provocando grandes pérdidas económicas.1 Además del RGPD, las empresas tienen que cumplir otros instrumentos regulatorios —como la directiva NIS2 o KRITIS— en los que la ciberseguridad desempeña un papel importante.
¿Cómo consiguen las empresas cumplir todos los requisitos legales y directivas como la NIS2? ¿Y al mismo tiempo hacer más resistente su propia cadena de creación de valor? Ya se trate de una mediana empresa, una gran corporación o una administración pública, el cumplimiento de la normativa incumbe a todas en cierta medida. Por ejemplo, todas las empresas que tratan datos e información personales deben cumplir el RGPD, independientemente de su sector y tamaño. Otros ejemplos son las directrices TISAX en la industria automovilística y los requisitos de supervisión de seguros para TI (VAIT) emitidos por la Autoridad Federal de Supervisión Financiera alemana (BaFin) para el sector financiero. También existen instrumentos regulatorios generales para los operadores de infraestructuras críticas. Ejemplos de ello son la directiva KRITIS en Alemania o su equivalente europea NIS2, que entró en vigor en la UE en enero de 2023. Los Estados miembro de la UE deben incorporar la NIS2 a su legislación nacional antes de octubre de 2024. El objetivo: garantizar un nivel normalizado de ciberprotección en toda Europa para ponérselo lo más difícil posible a los piratas informáticos.
Muchos requisitos de cumplimiento normativo exigen básicamente que las empresas sepan qué ocurre en su infraestructura digital, especialmente en sus redes y sistemas informáticos. A menudo es necesario que todos los eventos se registren y los resultados se conserven durante un periodo de tiempo determinado. Las empresas también deben asegurarse de que en sus sistemas informáticos no se han infiltrado programas maliciosos, es decir, que todo funciona de un modo lícito y conforme a la legislación. La mejor manera de cumplir estos requisitos es mediante tecnologías de seguridad especiales. Aquí, soluciones como Managed Detection & Response (MDR), Security Information and Event Management (SIEM) y Security Operations Center (SOC) demuestran todo su potencial. Pero ¿qué hay detrás de estas soluciones de seguridad informática?
Como parte de nuestros servicios de detección y respuesta gestionadas, supervisamos continuamente la infraestructura digital de nuestros clientes, incluyendo redes, sistemas y terminales, para detectar posibles ciberamenazas. Utilizamos SIEM y SOC para reconocer y responder a actividades sospechosas y anomalías. Los sistemas SIEM recopilan y analizan todos los datos, mientras que SOC se encarga de la vigilancia, el análisis, la respuesta y la mejora de la seguridad en tiempo real. En el SOC de Telekom en Bonn, por ejemplo, más de 200 expertos en seguridad vigilan los sistemas de Telekom y los de sus clientes las veinticuatro horas del día.
Ventajas: Con SIEM, SOC y MDR, las empresas no solo pueden cumplir mejor la normativa obligatoria —como la directiva NIS—, sino también posicionarse de un modo más resiliente. Esto se debe a que las soluciones de seguridad les ayudan a reconocer los ciberriesgos en una fase temprana y a adoptar las medidas de seguridad adecuadas. Esto es especialmente importante, ya que la situación de la ciberseguridad se ha vuelto últimamente cada vez más precaria. Tampoco es probable que la situación mejore en el futuro, lo que significa que las empresas y las autoridades seguirán estando en el punto de mira de los ciberdelincuentes. Mientras que antes a los hackers les interesaba principalmente desenmascarar a determinadas organizaciones ante la opinión pública, hoy buscan sobre todo el beneficio. Los ciberataques son más lucrativos que nunca. Solo los ataques de ransomware, en los que los piratas informáticos cifran datos empresariales importantes y exigen elevados rescates, pueden hacerles ganar millones de bitcoins.
El cumplimiento de las normas incumbe a casi todas las empresas y organizaciones. Por eso, a la hora de desarrollar nuestros servicios de MDR, SIEM y SOC, tuvimos en cuenta el mayor número posible de requisitos. La escalabilidad es una de las funciones más importantes. Algunas empresas que deben cumplir requisitos normativos tales como la directiva NIS aún no han pensado en el «cómo». Esto genera a menudo un círculo vicioso: al incumplimiento inicial de la normativa de ciberseguridad se van añadiendo con el tiempo más y más requisitos. Cuanto más complejas se vuelven las tareas, más probabilidades hay de que los responsables de realizarlas entren en «parálisis ejecutiva». Las importantes tareas pendientes en materia de cumplimiento normativo se posponen indefinidamente.
La solución es la escalabilidad: empezamos implantando un pequeño número de reglas SIEM para nuestros clientes —destinadas a proteger servicios e información digitales importantes y cumplir los requisitos normativos— y añadimos gradualmente reglas adicionales. Fieles a nuestro lema de empezar poco a poco y crecer sólidamente en el curso del tiempo.
Otra área de nuestros servicios de seguridad gestionados es el asesoramiento práctico. A menudo, las empresas o las administraciones públicas son incapaces de responder a preguntas importantes relacionadas con el cumplimiento normativo. ¿Qué deben o deberían asegurar? ¿Se tienen en cuenta y se protegen de la mejor manera posible todos los dispositivos, usuarios y procesos? ¿Qué hacer en caso de producirse un incidente de seguridad? Nuestros experimentados especialistas en ciberseguridad asesoran exhaustivamente a los responsables respectivos sobre cuestiones de seguridad pendientes y sobre la aplicación de reglamentos y directivas tales como NIS2, KRITIS o RGPD. Saben exactamente qué hacer en caso de un ciberincidente, y qué tecnologías o principios de seguridad —como confianza cero— son las que ofrecen una protección óptima para infraestructuras y aplicaciones. Esto permite a empresas y administraciones públicas incrementar su nivel de seguridad y afrontar con confianza las ciberamenazas futuras.
1 GDPR Report, Proxyrack, 2023