Para responder a las crecientes ciber amenazas que plantea la digitalización, la UE adoptó la Directiva NIS 2 (2022). El objetivo es alcanzar un nivel de ciberseguridad dentro de la UE más elevado que el que ha tenido en virtud de la Directiva NIS (2016). También tiene por objeto promover una mayor armonización de las normas de ciberseguridad en todos los Estados miembros de la UE.
Teniendo en cuenta a quién se dirige la Directiva NIS 2, las recomendaciones se dividen en las dirigidas a las entidades (privadas y públicas) en el alcance de la NIS2, y las dirigidas a los órganos administrativos que aplican la Directiva NIS 2. A continuación profundizaré en aquellas recomendaciones que afectan a las entidades en el alcance y únicamente listaré las referentes a los órganos administrativos, por encontrarlo más útil para el objetivo del artículo.
• Recomendaciones para entidades en el alcance:
- Concienciación legislativa. Un elemento clave es la concienciación a todos los niveles de la organización: a nivel de dirección y a nivel de los empleados cuyo trabajo se verá afectado por la próxima regulación. Actos legislativos como la Directiva NIS 2 (pero también la Ley de Resiliencia Operativa Digital (DORA) y la Ley de Resiliencia Cibernética (CRA)) no solo deberían ser un punto de interés para los departamentos legales, sino a nivel de gestión en todos los ámbitos pertinentes.
- Foco en la certificación. Como se indica en la normativa, la certificación de ciberseguridad se asume como la columna vertebral de todo el sistema y permitirá garantizar el cumplimiento normativo en algunos casos. Las empresas deben seguir de cerca el desarrollo de los sistemas de certificación y comenzar a prepararse para las certificaciones tan pronto como surja un procedimiento adecuado.
- Cooperación sectorial. Debe llevarse a cabo una estrecha cooperación entre sectores afectados para desarrollar una posición unificada en términos de sistema de ciberseguridad. Tales posiciones colectivas no solo serán importantes, especialmente en el contexto de los procesos de aplicación en diferentes países, pero también necesarios para lograr un sistema de ciberseguridad que funcione.
• Recomendaciones para las autoridades en cada estado miembro
- Criterios claros para evaluar componentes y aplicaciones críticas
- Cautela en la imposición de obligaciones estrictas a las PYMEs
- Promover el uso de la certificación
- Enfoque racional del sistema de ciberseguridad
Una mayor preocupación alrededor de la ciberseguridad está plenamente justificada cuando año tras año las listas de las passwords más comunes siguen estando encabezadas por valores tan poco robustos, como “12345678”, “1111”, “password” o “qwerty”.
Si bien existen organizaciones con unas políticas y prácticas de ciberseguridad bien establecidas y maduradas a través de procesos de mejora continua, vemos también otras tantas, y posiblemente en mayor proporción cuánto menor tamaño, organizaciones no tienen aún un nivel de madurez en ciberseguridad suficiente para lo que les exigirá la nueva regulación NIS2. La concienciación sobre la importancia de aumentar de manera continua las medidas de ciberseguridad en las entidades tiene que venir desde arriba (el equipo directivo) y llegar a todos y cada uno de los departamentos de la entidad. Hay que evitar que haya departamentos de ciberseguridad o proyectos de ciberseguridad que parecen funcionar de manera independiente al resto de la organización. La gestión de la ciberseguridad tiene que estar integrada de extremo a extremo en todos los departamentos y procesos, y con una supervisión en diferentes capas.
En el caso particular de las redes de comunicaciones hemos observado que hay 2 posibilidades de abordar los retos y depende mucho del estado presente de la red: Evolucionar o Revolucionar.
Hago referencia a Evolucionar cuando tomamos como punto de partida un diseño de red bien conocido, funcional y eficiente, según los criterios para los que se ha desplegado. En estos casos lo mejor es ir haciendo correcciones que nos ayuden a eliminar los riesgos de seguridad, a la vez que nos aportan nuevos beneficios. Estos cambios pueden ser tan sencillos como activar alguna funcionalidad que no estaba en uso anteriormente, actualizar un equipo o protocolo a una versión más actualizada o incorporar algunos elementos que nos aporten valor añadido, sin modificar la esencia del funcionamiento u operación de la red.
Revolucionar, por otro lado, significa hacer modificaciones de base en la red. Desde su diseño propio, hasta como interactúan los usuarios con la misma. Un ejemplo de revolucionar la red es el propio despliegue de elementos dedicados de seguridad, como pueden ser firewalls, EDR o SASE. Incluso la aplicación de NAC es una revolución, ya que, si bien a nivel de red es algo muy sencillo, implica una fuerte interacción con los sistemas de directorios y los dispositivos terminales, que en no pocos casos hemos visto como pueden hacer desbordar al más voluntarioso de los responsables de red.
No quiero que parezca que estamos sugiriendo que una opción es la buena y la otra la mala. Simplemente que ambas tienen su momento y su ritmo. Pero el punto de partida debe ser siempre el mismo, conocer muy bien la tecnología de fondo y tener claros los beneficios y perjuicios para hacer la elección adecuada.
Como muestra de evolución e innovación tecnológica que puede aportar un alto valor en ciberseguridad a las organizaciones, pero sin suponer una gran disrupción en las redes actuales, Huawei ha presentado recientemente la funcionalidad Wi-Fi Shield.
Los mecanismos actuales de cifrado extremo a extremo, siguiendo las prácticas recomendadas, permiten que la información viaje de manera segura a través de las redes disponibles hoy en día e incluso se están preparando mecanismos de cifrado post-cuántico. Pero para aquellos entornos de alta criticidad, especialmente ante el escenario de NIS2, es recomendable añadir tantas capas de seguridad sean posibles.
Es en este contexto donde la tecnología Wi-Fi Shield aporta ese beneficio adicional a los usuarios de las redes inalámbricas.
Al ser un medio compartido, las comunicaciones inalámbricas, Wi-Fi en este caso, son fácilmente captadas por otros usuarios que estén en la misma área de cobertura. Si los usuarios han seguido las buenas prácticas, sus comunicaciones irán cifradas y el contenido de las mismas estará protegido, pero eso no evita que puedan ser captadas. Existe una práctica común, que se denomina eavesdropping, que consiste en capturar las comunicaciones, almacenarlas para intentar descifrarlas posteriormente, utilizando una gran potencia de computo, aunque eso necesitara usar esa potencia durante varios lustros o décadas.
Por hacer un símil, las comunicaciones Wi-Fi en la actualidad son “ininteligibles” para otros usuarios que no sean los legítimos, gracias al correcto uso de los mecanismos de cifrado existentes. Es como si se hablara en otro idioma. Eavesdropping sería como grabar la conversación y luego pasarla por un potente traductor para enterarnos de que estaban diciendo (sabiendo que el traductor en cuestión hay que ponerlo a funcionar durante años antes de saber si obtendremos algún resultado en esa traducción).
Como mecanismo adicional complementario al cifrado, para dificultar y retrasar aún más el momento en el que alguien pueda extraer información útil de la información actualmente protegida por cifrado, la tecnología Wi-Fi Shield, se basa en el principio de la superposición de señales de ondas electromagnéticas en la capa física, añadiendo más capas de aleatoriedad para proteger la información que está siendo cifrada. O sea, se añade ruido a las señales recibidas por todos los usuarios bajo la cobertura Wi-Fi, con la excepción del usuario legítimo.
Por no realizar una explicación técnica demasiado complicada, podríamos mantener el símil anterior y decir que hemos convertido la conversación anterior de “ininteligibles” a “inaudible”, ya que es casi imposible separar la señal legitima del ruido. O sea, se vuelve muy difícil para los posibles hackers acceder siquiera a la información cifrada, haciendo que la capacidad de computo necesaria para romper ambas medidas de seguridad tenga que ser prácticamente infinita.
La tecnología Wi-Fi Shield refuerza la seguridad de las redes Wi-Fi en unas su parte más vulnerables, la comunicación inalámbrica. Además proporciona una mayor garantía para múltiples escenarios críticos, a la vez que no tiene ningún imparto para el dispositivo cliente (receptor de datos), sólo necesita soportar Wi-Fi 5 Wave2 o un estándar posterior (Wi-Fi 6, 6E ó 7).
Este es un ejemplo de evolución tecnológica que no altera en absoluto ni el diseño de la red, ni su operación y es transparente para el usuario final. Otras soluciones pasan por modificar la forma en que se transmiten los datos, colocar elementos centrales que canalicen el tráfico o desplegar agentes en los dispositivos de usuario final, pero el riesgo de eavesdropping sigue presente. Por lo tanto, Wi-Fi Shield es complemento perfecto a cualquier estrategia de ciberseguridad.
Conclusiones
Las organizaciones tienen que prepararse para un nuevo escenario en donde la ciberseguridad se convierte en una premisa transversal a todo el equipo propio y colaborador; y no algo especifico de un departamento (molesto) en particular.
Desde el punto de vista de las redes de comunicación existe la posibilidad de realizar una mejora de la ciberseguridad mediante una evolución responsable de las arquitecturas y componentes de la red; pero también puede ser necesario en algunos casos dar un giro revolucionario y dejar atrás determinadas prácticas o arquitecturas que suponen un peligro para la supervivencia de la organización.
Tanto en un caso como en otro, el adecuado conocimiento de la red propia, su interacción con negocio y de un estudio pausado de las opciones de mercado, serán las mejores herramientas para decidir acertadamente cuando y como evolucionas y/o revolucionar la red.
Empresas líderes, como Huawei, cuentan con un amplio portfolio de soluciones y experiencia en múltiples sectores que permiten ayudar a las organizaciones en ese viaje de transformación digital segura.
Víctor Jiménez Ramos, CTO IP. HUAWEI
Deja tu comentario