Obligaciones 2024 en ciberseguridad para empresas
Autor: Esteban SardanyésTodas las empresas que ofrezcan servicios digitales y en línea, como por ejemplo e-Commerce, motores de búsqueda o servicios de computación en la nube, deben cumplir unos requisitos y normativas específicas en ciberseguridad.
Normativas obligatorias a cumplir
-
Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información
-
Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión
¿Qué obligaciones dictan cumplir estas normativas?
Comunicar su actividad
Los proveedores de servicios digitales están obligados a comunicar su actividad en la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital en un plazo de tres meses desde que se inicie su actividad. Esta comunicación se puede hacer vía electrónica.
Garantizar la seguridad de las redes y sistemas de información
Adoptar medidas técnicas y de organización para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información. Por ejemplo, garantizar la seguridad de los sistemas e instalaciones, gestionar incidentes, garantizar la continuidad de la actividad empresarial, realizar supervisión, auditorías y pruebas y garantizar el cumplimiento de las normas internacionales.
Notificar los incidentes de seguridad y ciberataques
Cuando una empresa sufre un ciberataque o incidente de seguridad, es importante que lo notifique a través del Equipo de respuesta a incidentes de seguridad (CSIRT - Computer Security Incident Response Team). Para el caso de prestadores de servicios digitales, el CSIRT es INCIBE.
¿Qué ocurre cuando una empresa no está incluída dentro de estas normativas?
A pesar de que una empresa no esté sujeta dentro de estos marcos regulatorios, no significa que no deba cumplir una serie de obligaciones y requisitos para garantizar la seguridad de su empresa y clientes, puesto que las consecuencias de un ciberataque son las mismas para todas las empresas, pérdidas económicas y mala reputación e imagen de marca. Para evitar estas consecuencias, es necesario tener en cuenta los siguientes aspectos:
Monitoreo de sistemas: Monitorear periódicamente los sistemas, así como, analizar las brechas de seguridad y vulnerabilidades de una infraestructura informática, es fundamental para saber a qué amenazas se enfrenta un sistema y poder implementar soluciones de seguridad informática que ayuden a asegurar su seguridad, evitando la fuga de datos y pérdida de información que puede poner en riesgo, no solo la actividad de una empresa, si no su reputación y continuidad. Por ejemplo en ESED, tenemos una solución de Hacking ético conocida como ESED Attack que consiste en lanzar ataques controlados e inocuos, para saber exactamente a qué tipos de amenazas se enfrenta un sistema.
-
Importante definir una estrategia de seguridad: Se trata de una guía de buenas prácticas para la empresa donde se recogen los planes, procedimientos y procesos que determinan cómo una empresa debe o tiene que proteger su infraestructura informática. Esta estrategia también debe contemplar la manera de proceder de los empleados y sus responsabilidades para preservar y proteger los activos de la organización. En este artículo encontrarás información detallada de cómo debe realizarse una estrategia de ciberseguridad correctamente, para cumplir con las políticas y normativas de seguridad informática vigentes.
-
Dentro de la estrategia de ciberseguridad, además de la normativa para los empleados, también se deben tener en cuenta una serie de procedimientos técnicos como: política de gestión de usuarios (altas, bajas y permisos), política de contraseñas, copias de seguridad, actualizaciones de seguridad, antivirus, política de confidencialidad, seguridad en la red (cortafuegos, sistemas de detección de intrusos…), política de accesos remoto, registro de actividad y gestión de incidentes. Así como, la posibilidad de que un dispositivo se conecte a una red Wi-Fi ajena a la empresa.
-
Proveedores externos: Es importante tener en cuenta la seguridad informática que ofrecen todas las aplicaciones y programas de software de proveedores externos a la empresa, como por ejemplo soluciones cloud o hostings.
-
Disponer de soluciones de ciberseguridad básicas y no tan básicas: Antiphishing, antivirus, cortafuegos, gestores de credenciales, realización de copias de seguridad, entre otras que blinden el sistema informático a prueba de ciberataques y amenazas.
-
Formación para empleados: La concienciación y la formación de los empleados es la clave. ¿Sabías que estos son la causa principal de la entrada de malware en una empresa? Clicar a un enlace malicioso o descargar un archivo infectado, son la causa más común de ciberataque en una empresa. Es por esta razón que en ESED ofrecemos un servicio nombrado ESED Training que consiste en realizar formaciones específicas para empresas, para enseñarles cómo detectar a los empleados amenazas a tiempo.
Tener en cuenta los aspectos mencionados anteriormente te ayudará a proteger tu sistema informático y empresa contra ciberataques. Una manera de aportar tranquilidad no solo a tus clientes, sino también empleados, proveedores, distribuidores, colaboradores, inversores y todas las personas que confían y tienen un vínculo con tu empresa.
Novedad, Directiva NIS-2
A principios de 2023 se ha aprobado una nueva normativa de ciberseguridad para empresas, la Directiva NIS-2. Esta será de cumplimiento obligatorio a partir del 15 de octubre de 2024 para todas aquellas empresas de más de 250 empleados y con un volumen de facturación anual de 50 millones de euros en adelante, así como todas aquellas empresas, medianas y grandes, que operen en los sectores o presten servicios cubiertos por la directiva.
Uno de los cambios más importante en esta normativa, es la responsabilidad legal en caso de ciberataque. Hasta la fecha, la empresa que había sufrido un ciberataque, si tenía un plan de contingencia activado y cumplía con los requisitos de ciberseguridad establecidos, quedaba exempta de la posible responsabilidad. No obstante, a partir de que entre en vigor esta nueva ley, será el mismo consejo de administración el responsable directo del daño.
Lo que se pretende con esta nueva Directiva NIS-2 es que todas las empresas cumplan con una planificación previa y una estrategia de ciberseguridad eficaz y que cumpla con todas las normativas pertinentes.
Puedes saber más sobre esta normativa en el siguiente enlace.
¿Necesitas ayuda para cumplir con estas obligaciones y normativas de ciberseguridad? Contáctanos, estaremos encantados de asesorarte y ayudarte.