La Directiva SRI 2, un nuevo instrumento legislativo de la UE destinado a mejorar la ciberseguridad de la región, entró en vigor el 16 de enero de 2023. Introduce nuevas y más estrictas medidas de supervisión, obliga a participar a más entidades y sectores, refuerza los requisitos de notificación de incidentes y, en general, presenta mejores prácticas que la Directiva SRI anterior. Los Estados miembros tienen hasta el 17 de octubre de 2024 para adaptar sus medidas a la legislación nacional, lo que en última instancia afectará a un gran número de empresas que operan o realizan actividades en la UE. Son muchos los que se preguntan cómo afectará esto a sus intereses. A continuación, analizaremos los aspectos más importantes de la Directiva y sus posibles implicaciones.
En primer lugar es importante saber que la UE no está sola. Por ejemplo, la estrategia de confianza cero y el decreto federal anunciados por el gobierno estadounidense . en 2022, anunciaron una estrategia nacional de ciberseguridad cuyo objetivo es trasladar la responsabilidad de la ciberseguridad de las personas a “las organizaciones más capaces y mejor preparadas para reducir los riesgos”.
Al igual que su predecesora, la SRI 2 no especifica de forma explícita ningún cambio tecnológico que deba aplicarse, sino que presenta conceptos e ideas de alto nivel para mejorar la seguridad. El objetivo es favorecer la mejora de las medidas de ciberseguridad tanto a nivel interno, así como a la hora de colaborar entre empresas y traspasar las fronteras de la UE.
Entre los principales puntos planteados por la SRI 2 se encuentran:
- Una ampliación significativa del número de sectores cubiertos, incluyendo las telecomunicaciones, la industria manufacturera, la gestión de residuos, las plataformas de redes sociales y la administración pública (puede encontrar una lista más completa en la hoja informativa de la SRI 2)
- La creación de una estructura común de gestión de conflictos cibernéticos (denominada Cyber Crisis Liaison Organisation Network o CyCLONe) para aumentar el conocimiento conjunto de la situación, promover la colaboración y reducir los gastos de coordinación generales.
- Los estados miembros deben garantizar que los proveedores de servicios esenciales y los proveedores de servicios digitales apliquen las medidas de gestión de riesgos adecuadas, incluidas las evaluaciones de riesgos periódicas, y supervisen sus redes y sistemas de información para incidentes de seguridad.
- Un aumento del nivel de unificación de obligaciones en materia de presentación de informes. Por ejemplo, las empresas afectadas disponen de 24 horas desde el momento en que se detecta un incidente por primera vez para presentar un informe inicial, seguido de un informe final a más tardar un mes después
- Se anima a que los estados miembros examinen y refuercen su “ciberresistencia” general, especialmente la cadena de producción, la gestión de vulnerabilidades, el uso de la criptografía y una mejor higiene cibernética
- El incumplimiento de los elementos de la Directiva SRI 2 (una vez exigida a nivel local por los estados miembros) podría suponer multas de hasta 10 millones de euros o el 2 % de la facturación total de una entidad a nivel mundial
Ahora bien, dado que las circunstancias y la preparación técnica de cada estado miembro o empresa variarán mucho, no se puede establecer un enfoque único para cumplir la directiva. Por lo tanto, la responsabilidad de descubrir, implementar y garantizar los cambios necesarios requerirá un esfuerzo homogéneo no solo de forma individual en cada empresa, sino que en última instancia implicará a los gobiernos locales y federales, y posiblemente la supervisión de la Agencia de Ciberseguridad de la Unión Europea (ENISA).
Pero incluso si el alcance del cambio para satisfacer las obligaciones de la SRI 2 es tecnológicamente vago, no puede negarse que dos prácticas fundamentales guiarán toda noción de mayor ciberresistencia.
¿Qué medidas se pueden tomar para cumplir los requisitos de la SRI 2?
El primer paso y el más crucial es implementar la autenticación de múltiples factores (MFA) para proteger todas las cuentas, en lugar de contraseñas. Dada la sofisticación de los ciberataques modernos y los recursos cibernéticos disponibles al alcance de los atacantes, se debe terminar la dependencia de las contraseñas como forma de protección fiable.
Además, no todas las MFA se crean de la misma forma. Aunque el uso de contraseñas SMS de un solo uso (OTP) o de una aplicación de autenticación es sin duda mejor que una contraseña tradicional, no es seguro ante el phishing y, ni siquiera pueden considerarse formas seguras de MFA.
La segunda práctica fundamental necesaria para lograr una postura de ciberseguridad más sólida es proteger los datos clave y utilizar el cifrado siempre que sea posible. Mediante el cifrado de bases de datos, comunicaciones, documentos, servidores e infraestructuras clave, incluso si un atacante logra penetrar en un sistema o red, es mucho menos probable que obtenga información de valor o que pueda utilizar sin la llave privada para descifrar los datos que desea robar.
¿Cómo se pueden integrar estas medidas en la infraestructura nueva y en la existente?
Yubico ofrece una amplia gama de opciones para empresas que busquen mejorar su ciberresistencia. La YubiKey, un token de seguridad de hardware que admite tanto PIV como FIDO2, puede mejorar o incluso reemplazar el flujo de autenticación basada en contraseña por uno resistente al phishing. También hay muchas opciones y formatos de YubiKey para adaptarse a todo tipo de empresas, desde muy grandes hasta muy pequeñas. Esto incluye las variantes con certificación CSPN y FIPS, como la serie YubiKey 5 FIPS o la serie 5 CPSN, para aquellos que buscan un dispositivo reconocido por el gobierno, o la YubiKey 5C NFC, que es compatible con FIDO2 y PIV y tiene funcionalidades USB-C y NFC compatibles con una amplia gama de dispositivos.
Para las necesidades de cifrado empresarial, YubiHSM es una caja de herramientas útil para almacenar y generar claves privadas y otro material criptográfico de forma segura. Es una fracción del coste de un HSM tradicional, tiene un formato diminuto del tamaño de una uña, y es compatible con interfaces comunes como PKCS11 y Microsoft CNG.
Aunque la Directiva SRI 2 puede imponer y parecer difícil de implementar, la realidad es que los principios de seguridad son sencillos, y cualquier inversión en ciberresistencia merece la pena para evitar posibles desastres en el futuro. Yubico puede ayudar a cualquier empresa que esté dispuesta a afrontar los desafíos de ciberseguridad, más allá de la necesidad de cumplir la SRI 2.
Para obtener más información sobre la gama YubiKey, YubiKey CSPN, YubiKey FIPS, YubiHSM 2 o YubiHSM 2 FIPS, visite el sitio de Yubico. Los productos pueden adquirirse en la tienda de Yubico, mediante el equipo de ventas de Yubico, o en cualquier distribuidor y socio de canal aprobado por Yubico.
