En enero de 2023, los Estados miembros de la Unión Europea promulgaron una revisión de la Directiva relativa a las redes y sistemas de información (NIS) de 2016. Concebida en respuesta a varios ciberataques dañinos que recibieron una amplia difusión en los medios, la Directiva NIS 2 refuerza los requisitos de seguridad, simplifica las obligaciones de notificación e introduce medidas de supervisión más estrictas y requisitos de aplicación más rigurosos.
La normativa revisada pretende, en definitiva, defender mejor a las entidades esenciales frente a las vulnerabilidades de la cadena de suministro, los ataques de ransomware y otras ciberamenazas. Los 27 Estados miembros de la Unión Europea la deben incorporar a sus legislaciones nacionales antes de octubre de 2024.
Seguridad de la identidad
La seguridad de la identidad es un enfoque integral para proteger a las personas, las aplicaciones y las máquinas de una organización. Parte de la base de que cualquier usuario (humano o no) puede adquirir privilegios en determinadas circunstancias y penetrar en los sistemas, atravesar las redes y llevar a cabo ataques.
La seguridad de la identidad mitiga el riesgo al:
- Autenticar y autorizar continuamente a los usuarios internos y externos de acuerdo con los principios de Zero Trust.
- Controlar estrictamente el acceso a los recursos locales y en la nube.
- Supervisar y auditar rigurosamente la actividad de los usuarios y aportar pruebas de conformidad.
Una estrategia integral de seguridad de la identidad es fundamental para defender las infraestructuras críticas frente a ataques maliciosos, ransomware, vulnerabilidades en la cadena de suministro de software y otras amenazas. Así, un programa de seguridad de la identidad puede ayudar a las organizaciones a abordar los requisitos clave del artículo 21 de la Directiva NIS 2 relacionados con la gestión y notificación de incidentes, la seguridad de la cadena de suministro, las tecnologías de criptografía y cifrado, las políticas de control de acceso y la seguridad Zero Trust.
Una estrategia completa de seguridad de la identidad incluye:
- Gestión de credenciales administrativas basada en políticas para proteger las cuentas con privilegios y ayudar a satisfacer los requisitos de auditoría y conformidad.
- Aislamiento de sesiones con privilegios para evitar la propagación de malware y mitigar los riesgos.
- Acceso just-in-time para limitar los riesgos derivados del robo de credenciales.
- Protección de privilegios en el endpoint para aplicar el principio del mínimo privilegio y defenderse del ransomware y los ataques maliciosos.
- Gestión centralizada de secretos para proteger los procesos de las aplicaciones y defenderse de las vulnerabilidades de la cadena de suministro de software.
- Gestión del acceso y la identidad para evitar el acceso no autorizado y aplicar controles de acceso basados en roles.
- Autenticación multifactor para proteger a los trabajadores remotos, proveedores y contratistas y respaldar los principios de Zero Trust.
El programa integral de seguridad de la identidad puede ayudar a las organizaciones a reforzar la seguridad, aumentar la visibilidad y mejorar la preparación para la Directiva NIS 2.
Alusiones en la Directiva NIS 2
En la directiva del pasado 27 de diciembre encontramos múltiples alusiones a la gestión de la identidad, como el párrafo 49, sobre políticas de ciberhigiene para infraestructuras, que dice: establezca buenas prácticas de ciberhigiene, incluida la gestión de contraseñas y restricciones de las cuentas de administración. La gestión de acceso con privilegios protege y controla las cuentas y credenciales de los administrados, el acceso de los usuarios y la seguridad de los endpoint.
En el párrafo 53, de seguridad en el sector de los servicios públicos, se establece: proteger los servicios públicos digitalizados cada vez más conectados (transporte, suministro de agua, energía, etcétera) y las ciudades inteligentes frente a los ciberataques. En este caso, la gestión de la identidad mitiga los ataques al aislar las sesiones, gestionar las credenciales y permitir el acceso just-in-time.
Además, detecta automáticamente los comportamientos anómalos sintomáticos de un ataque. La protección de privilegios en el endpoint defiende de los ciberataques al eliminar los privilegios de administrador permanentes de los servidores y estaciones de trabajo y el control de las aplicaciones; así como la gestión del acceso e identidad protege y controla las contraseñas de los usuarios, mitigando el phishing y el robo de credenciales.
El párrafo 54, sobre protección frente al ransomware, insta a defender las infraestructuras críticas de esta clase de ataques. De todos es sabido que la protección de privilegios en el endpoint defiende del ransomware al eliminar los privilegios de administrador permanentes y controlar el comportamiento de las aplicaciones en función de políticas. La gestión del acceso con privilegios mitiga los riesgos al aislar, supervisar, registrar y auditar las sesiones con privilegios e impedir el aumento de privilegios.
Otro es el párrafo 85, sobre seguridad de la cadena de suministro. La gestión de secretos reduce los riesgos en la cadena de suministro de software mediante la supervisión y el control de los secretos y protege las contraseñas, las claves y los certificados utilizados por aplicaciones, scripts y otras identidades no humanas en entornos DevOps y procesos de CI/CD. El acceso remoto seguro just-in-time y las grabaciones de sesiones externas aplican el principio del mínimo privilegio, con lo que simplifica el análisis forense y las auditorías.
Destaca también el párrafo 89, de prácticas de ciberhigiene para los usuarios, que exhorta a establecer buenas prácticas de ciberhigiene, incluidos los principios de Zero Trust y la gestión de la identidad y el acceso; así como a buscar tecnologías avanzadas como la Inteligencia Artificial y el aprendizaje automático para mejorar la seguridad. La autenticación multifactor confirma positivamente la identidad de los usuarios de acuerdo con los principios de Zero Trust. El acceso just-in-time restringe el acceso a determinados intervalos de tiempo, lo que refuerza los principios de Zero Trust. La autenticación multifactor adaptativa usa análisis de comportamiento basados en Inteligencia Artificial e información contextual para determinar qué factores de autenticación aplicar a un usuario concreto en una situación específica.
Por otro lado, también encontramos estas alusiones en el párrafo 98, sobre seguridad de las redes públicas de comunicaciones electrónicas. Este párrafo insta a utilizar el cifrado de extremo a extremo, además de conceptos de seguridad centrados en los datos como cartografía, segmentación, etiquetado, política de acceso y gestión de acceso y decisiones de acceso automatizadas. La gestión del acceso con privilegios utiliza tecnologías de cifrado para proteger las credenciales y los secretos utilizados por personas, aplicaciones y máquinas. El aislamiento de sesiones con privilegios ayuda a reducir la propagación del malware entre sistemas. Controla el acceso en función de políticas y protege los endpoint automatizando las decisiones de acceso.
Finalmente, cabe destacar el párrafo 102, relativo a la notificación obligatoria de incidentes. Debe exigirse a las entidades críticas la notificación de un incidente en un plazo de 24 horas. Los registros de auditoría y las grabaciones de sesiones con privilegios permiten documentar los ciberincidentes. La identidad identifica automáticamente los comportamientos anómalos de una filtración e informa sobre ellos.
Cuando el ataque es originado en un endpoint, la protección de privilegios lo identifica, al igual que la gestión del acceso que utiliza Inteligencia Artificial y Machine Learning identifica la actividad sospechosa de los usuarios.
Por todo lo expuesto anteriormente, la gestión de la identidad y el control de la misma nos ayuda de manera inequívoca al cumplimiento de la Directiva NIS 2, del pasado mes de diciembre.