Cumplimiento de mínimos. No hagamos trampas al solitario

Un aspecto fundamental para acometer el cumplimiento de las nuevas normativas de seguridad de la información que están poniendo en marcha los legisladores es la necesidad de aplicar medidas que limiten los posibles riesgos de ciberseguridad a los que se enfrentan las organizaciones. Uno de los mecanismos posibles es alinearse a algún framework o estándar de seguridad consolidado, siendo en el caso de España posible llevarlo a cabo desde el Esquema Nacional de Seguridad, que plantea una versión integral en materia de ciberseguridad. El objetivo que persiguen las normas es que las entidades demuestren la aplicación de unas medidas que limiten los riesgos de ciberseguridad para las organizaciones.

Pero también sabemos los que llevamos un tiempo en esto que cuando una organización decide cumplir con el ENS o la certificación de la ISO 27001 el alcance lo determina la propia organización. Esto implica que, aunque hay elementos que son de aplicación para toda la entidad (o así se espera), otras medidas son específicas para prestar unos servicios concretos o manejar una determinada información. 

¿Esto qué conlleva? Pues que a veces se busque un subterfugio para un “cumplimiento sencillo”. Cumplir simplemente como parte de un trámite para obtener un sello ciertamente no aporta lo necesario a la realidad organizativa. No será la primera ni la última vez que se llega a reunión con una organización donde dicen “quiero sacarme esto en el menor tiempo posible, así que a lo más fácil”. Claro que esto es posible, pero entonces el objetivo del cumplimiento queda lejos de la inspiración esencial de la norma.

La Directiva NIS 2 debe entenderse como una apuesta a la mayor

Aquí es donde decimos precaución con lo que se hace a la hora de cumplir. Las certificaciones anteriormente mencionadas pueden realizarse en algo muy concreto y en muchas ocasiones lejos del core de negocio. Entonces se ve que estas organizaciones no van a una certificación convencidas de la necesidad. Si no porque es una exigencia por parte de su cliente o como mecanismo para poder presentarse a un pliego de la Administración Pública. Y, aunque de una forma más reciente, se empieza a ver en algunos pliegos que no solo se exige un determinado nivel, si no que el objeto de la prestación esté recogido como tal en la aplicabilidad de la norma para la entidad, no es una práctica muy extendida aún.

La Directiva NIS 2 debe entenderse como una apuesta a la mayor. Al servicio esencial. No es la inspiración que las entidades tengan simplemente un papel que diga que lo cumplen sin más. Quieren que cumplan realmente. Que la aplicación sea real en aquello que realmente es objeto de la función principal de la organización, bien sea de los servicios que presta o de la información que maneja.

Además, las mentiras tienen las patas muy cortas. Implementar un SGSI a medias ha demostrado una total inconsistencia ante el primer ciberincidente serio. Va muy aparejado ciertamente, a la madurez, pero cuando algo está a medias se atisba tanto en la gestión como en la seguridad que realmente se ha aplicado. Y ahí no va a valer, cuando terceros o autoridades vengan a rendir cuentas de la situación, decir que tengo una u otra certificación. Van a requerir demostrar realmente la seguridad que existe. Y lógicamente lo que lleva un tiempo en hacerse, máxime en una situación de tensión como el que provoca un ciberincidente, se convierte en un imposible sin unas bases sólidamente establecidas. Y ojo que esto no va solo de tecnología. Va también de responsabilidades, de procesos, de personas, … Es algo que involucra a toda la organización y, como tal, hay que demostrarlo.

El propio texto del anteproyecto de Ley por el que se llevará a cabo la transposición de la NIS 2, recoge la necesidad de demostrar el cumplimiento en lo referido a la aplicación de medidas para la gestión de riesgos de ciberseguridad. "Las entidades esenciales e importantes deberán demostrar el cumplimiento de las obligaciones a las que se refiere este artículo. En el caso de las entidades esenciales, el cumplimiento se evidenciará mediante la obtención y mantenimiento de una certificación de conformidad acreditativa. Las entidades importantes podrán optar entre la antedicha certificación o realizar una autoevaluación de la postura de seguridad. Las entidades esenciales o importantes que se encuentren expresamente comprendidas en el ámbito de aplicación del Real Decreto 311/2022, de 3 de mayo, observarán lo dispuesto por este en materia de Certificación de la Conformidad con el Esquema Nacional de Seguridad".

Y dentro de la rigidez que establece una ley de su calado, se ofrece ciertos márgenes de movimiento. Por ejemplo, el anteproyecto en su epígrafe j) del artículo 15 relativo a la aplicación de medidas generales, establece para la implantación de la autenticación multifactorial, una frase que esperemos no acabe retorciéndose “cuando proceda”. ¿Ambigüedad? ¡No! Solo cierta flexibilidad. 

Todos tenemos más o menos claro cuándo un doble factor es necesario y cuándo no. Solo hay que entender lo que hace un adversario y esto nos va a llevar a conocer los motivos que llevan a la aplicación de un sistema de autenticación multifactorial. Si no, pues un buen análisis de riesgos te lo debe indicar. Y si no lo hace, quizás no es el análisis de riesgos adecuado.

Si todavía a alguien de ciberseguridad, y puede que alguno quede, no le ha quedado claro el por qué se debe utilizar el doble factor de autenticación, es que durante los años 2020 y 2021 especialmente, enterró la cabeza bajo tierra cual avestruz. ¿Cuántos ataques se derivaron por contraseñas corporativas robadas en ordenadores personales, cuando la gente no disponía de otro medio para desarrollar su actividad estando confinados? Y sigue siendo desgraciadamente hoy en día uno de los mecanismos de entrada que emplean los diferentes grupos de cibercrimen. El devenir de estos últimos años y las situaciones sobrevenidas han dejado una profunda huella que, como no, ha quedado plasmada en las diferentes normativas que han aparecido en estos últimos años y aún están por venir.

Aquellas entidades que ya hayan trabajado en el camino de la certificación del ENS en su nivel alto tendrán más fácil demostrar el cumplimiento de la NIS 2. También aquellas que estén certificadas en la ISO 27001. Aunque en este caso tocará cubrir cierto GAP, ya que las medidas técnicas no tienen por qué estar totalmente alineadas a NIS 2. Las que no hayan recorrido ese camino, pues lo tendrán un poco más complejo, pero no es un imposible, si hay voluntad. Eso sí, por favor no hagamos trampas al solitario, buscando atajos que realmente no llevan a ninguna parte.