La digitalización está revolucionado nuestras vidas todos los días: nos ayuda a impulsar el crecimiento empresarial habilitando nuevas formas de hacer negocio, a proveer servicios públicos innovadores y cercanos a los ciudadanos… entre otros. Pero todo tiene una cara B, y es que cada paso adelante en la transformación digital – ahora también con la omnipresente IA- se nos abren nuevas superficies de ataque que nos enfrentan a riesgos sin precedentes que los ciberdelincuentes no dudan en aprovechar para seguir haciendo negocio.
En 2023 INCIBE registró más de 83.000 incidentes de ciberseguridad, lo que representa un incremento del 24% respecto al año anterior, y prevé que en 2024 esta cifra alcance cerca de los 100.000. Este aumento ha afectado a todas las industrias, pero con especial insistencia en sectores esenciales – son objetivos muy atractivos para actores malintencionados- como la energía, las telecomunicaciones y la salud.
Vivimos en un entorno digital interconectado donde las interrupciones en un sector tienen efectos en cadena y afectan a múltiples industrias y servicios. Garantizar la resiliencia operativa permite a las organizaciones no solo protegerse contra ataques, sino también asegurar la continuidad de sus operaciones y la rápida recuperación ante incidentes minimizando así el impacto en la sociedad y la economía.
DORA y NIS2 hacen foco en asegurar que las organizaciones puedan resistir, responder y recuperarse eficazmente ante incidentes cibernéticos, gestionando el riesgo de las organizaciones, asegurando la continuidad y reportando de manera eficaz a las autoridades en caso de incidente.
Regulación como necesidad, no como obstáculo
La regulación puede parecer un dolor de cabeza, pero cuando consideramos que sectores críticos como las finanzas, las telecomunicaciones o la energía dependen de sistemas digitales, es evidente que protegerlos no es opcional.
Y es que tenemos muchos casos en los que fijarnos, por ejemplo en el ataque lo cambió todo en 2017, cuando WannaCry afectó a múltiples organizaciones a nivel mundial, incluyendo el Servicio Nacional de Salud (NHS) del Reino Unido – supuso la cancelación de miles de citas médicas poniendo en riesgo la vida de pacientes.
En 2021 el ataque a Colonial Pipeline – mayor red de oleoductos de EEUU- causó una escasez significativa de combustible en la costa este del país, generando compras de pánico y largas filas en las gasolineras. O por ejemplo en Ucrania en pleno invierno de 2015, donde ciberatacantes lograron interrumpir el suministro eléctrico – es considerado el primer ciberataque exitoso contra una red eléctrica, dejando a más de 230 mil personas sin electricidad durante varias horas.
Son solamente tres ejemplos entre muchos otros que han subrayado la necesidad de que el regulador actúe con objetivo de fortalecer la resiliencia operativa y la ciberseguridad para proteger la economía y la sociedad en su conjunto.
Transformar para sobrevivir
Cumplir con estas regulaciones implica mucho más que implementar controles técnicos: se trata de transformar procesos, fomentar una cultura de ciberseguridad y rediseñar modelos de negocio para que sean resilientes por diseño. Por ejemplo, DORA requiere una gestión estricta de terceros, lo que obliga a las empresas a repensar sus relaciones con proveedores. Un caso emblemático fue el ataque a SolarWinds en 2020, donde los hackers lograron comprometer la cadena de suministro al infiltrarse en el software de gestión de TI utilizado por miles de organizaciones a lo largo del mundo. Este incidente supuso un punto y aparte en la consideración de la importancia de una adecuada gestión de terceros, dejando claro que es fundamental garantizar que éstos cumplen con los estándares de seguridad.
Controles clave y lecciones aprendidas
Para cumplir, las organizaciones deben centrarse en controles como la gestión de vulnerabilidades, la detección y respuesta así como la concienciación en ciberseguridad. Un aspecto crucial es la gestión de incidentes, que según DORA y NIS2, requiere que las organizaciones cuenten con planes robustos de respuesta a incidentes, continuidad del negocio (BCP) y recuperación ante desastres (DR).
Quienes han experimentado un ataque de ransomware sin un plan de respuesta adecuado entienden profundamente la gravedad de estas situaciones y el impacto devastador que pueden tener en las operaciones. La falta de preparación no solo paraliza el negocio, con las consiguientes pérdidas de reputación y monetarias, sino que también genera un ambiente de caos y estrés entre los empleados, quienes se enfrentan a la incertidumbre y a la presión de resolver una crisis para la cual no están preparados.
Estos escenarios resaltan la importancia de contar con planes robustos de respuesta a incidentes, continuidad del negocio y recuperación ante desastres, no solo para proteger la infraestructura y los datos, sino también para salvaguardar el bienestar del personal y mantener la confianza de los clientes y socios.
En este contexto, el servicio de Managed Detection and Response (MDR) de DXC Technology ofrece una solución adaptada a las necesidades específicas de cada cliente. Nuestro servicio MDR no solo supervisa de manera continua las amenazas, haciendo uso de la inteligencia global de amenazas de DXC, sino que también proporciona una respuesta inmediata y coordinada a incidentes, ayudando a minimizar el impacto y garantizar la continuidad operativa. Además, empleamos inteligencia artificial avanzada para identificar patrones de amenazas en tiempo real, optimizando la detección de incidentes y acelerando las respuestas, mejorando significativamente la resiliencia operativa de las organizaciones.
Barreras y oportunidades
Implementar estas medidas no está exento de retos: desde la falta de recursos y talento especializado hasta la complejidad de adaptar sistemas legacy. La mayoría de las organizaciones no disponen de una gestión de riesgos efectiva con especial foco en la gestión de riesgos de la cadena de suministro, ni una estrategia en la notificación de incidentes (se marca una alerta temprana en menos de 24 horas, y un informe en un mes), ni una capacitación y concienciación efectiva de su personal – más del 90% de los incidentes de seguridad implican algún tipo de error humano.
Por otra parte, estas normativas requieren que la alta dirección sea responsable de la ciberseguridad y la resiliencia operativa. Sin embargo, aun en muchas organizaciones españolas la ciberseguridad no se considera una prioridad estratégica dificultando la implementación efectiva de las medidas requeridas.
Mirando al futuro
A NIS2 y DORA se suman nuevas regulaciones que desembarcarán en breve como la CRA (Cyber Resilience Act), dejando evidencia de que la tendencia hacia una mayor regulación. La CRA está recién publicada y sus principales disposiciones serán aplicables a partir de 2027 e impone requisitos de ciberseguridad para productos con elementos digitales, abarcando desde dispositivos del Internet de las Cosas (IoT) hasta software crítico. Los fabricantes estarán obligados a garantizar la seguridad de sus productos durante todo su ciclo de vida, incluyendo la gestión de vulnerabilidades y la provisión de actualizaciones de seguridad.
El trabajo se acumula: DORA, NIS2, CRA… según un informe de McKinsey, solo un tercio de las empresas europeas están preparadas para cumplir con las normativas DORA y NIS2, lo que indica que la mayoría necesita asistencia para alcanzar el cumplimiento requerido.
En DXC Technology ayudamos a compañías de todos los sectores a adaptarse a estos cambios con nuestro talento especializado. Con nuestro servicio Cyber Security Maturity Readiness para DORA y NIS2, ayudamos a las organizaciones a identificar brechas de cumplimiento así como a abordar estos desafíos de manera estratégica, estableciendo una hoja de ruta clara hacia la transformación digital segura. Esto no solo permite cumplir con las normativas, sino también posicionar a las organizaciones para liderar en un mercado cada vez más exigente donde la confianza y la resiliencia es se convierte en una ventaja competitiva.
DXC Technology
Head of Security for Iberia
