Aplicación de la nueva directiva NIS a dispositivos móviles

En 2016, la Comisión Europea instituyó la primera iniciativa de ciberseguridad de la Unión Europea (UE), la Directiva sobre seguridad de redes y sistemas de información 2016/1148 (Directiva NIS). Aunque la Directiva NIS mejoró la resiliencia cibernética de la UE, los Estados miembros la implementaron de manera diferente, lo que generó requisitos, supervisión y aplicación fragmentados. En 2020, la Comisión revisó la Directiva NIS y decidió actualizarla. Como resultado, el Parlamento de la UE aprobó Directiva 2022/2555 (NIS2)por la que se deroga la Directiva NIS original y se modifica el Reglamento n.º 910/2014.

El marco regulatorio de NIS2 debe pasar a la legislación nacional de los Estados miembros antes del 17 de octubre de 2024. Por lo tanto, las organizaciones deben asignar suficiente tiempo para evaluar soluciones y diseñar estrategias y arquitecturas de seguridad en consecuencia. A medida que los Estados miembros adoptan actos de implementación de NIS2, las organizaciones deben comprender dónde encaja la seguridad de los dispositivos móviles en sus requisitos de cumplimiento más amplios.

¿Qué es la Directiva NIS2 y su Objetivo?

NIS2 formaliza los requisitos que los Estados miembros deben tener en sus leyes de ciberseguridad.

Sobre esta base, NIS2 estandariza los requisitos que deben tener los actos de implementación de los estados miembros, respondiendo a la interconexión digital y la interdependencia que crea la transformación digital. Adoptando un enfoque de “todo riesgo”, el artículo 21 establece medidas básicas de seguridad de la red, el sistema de información y el entorno físico que incluirán al menos:

• Políticas de análisis de riesgos y seguridad de los sistemas de información
• Manejo de incidentes
• Seguridad de la cadena de suministro
• Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad
• Políticas y procedimientos relacionados con el uso de criptografía y encriptación

Obligaciones de notificación de incidentes

Para minimizar el impacto de un incidente en tecnologías geográficas y de cadena de suministro interconectadas, el Artículo 23 establece requisitos estrictos de notificación. Las entidades cubiertas deberán proporcionar al Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) nacional u otra autoridad competente sobre incidentes significativos, requiriendo que las organizaciones proporcionen notificaciones detalladas dentro de las 72 horas que incluyen:

• Posibles actos ilegales o maliciosos o impacto transfronterizo
• Una evaluación inicial, incluida la gravedad, el impacto y los indicadores conocidos de compromiso

Los incidentes significativos se definen como:

• Causar o ser capaz de causar una interrupción grave del servicio operativo o una pérdida financiera para la entidad involucrada
• Afectar o ser capaz de afectar a una persona física o jurídica causándole daños materiales o inmateriales considerables

NIS2 reemplaza los requisitos de notificación del Reglamento General de Protección de Datos (RGPD). Además, los opositores afirman que las obligaciones de informar con plazos tan cortos tendrán efectos adversos en la postura general de ciberseguridad, ya que a menudo es imposible obtener una comprensión clara de la situación de la amenaza en menos de 72 horas.

¿Dónde analiza NIS2 la seguridad de los dispositivos móviles?

En el Artículo 6, NIS2 define “red y sistema de información” como:

“cualquier dispositivo o grupo de dispositivos interconectados o relacionados, uno o más de los cuales, de conformidad con un programa, realizan procesamiento automático de datos digitales”

Como tal, NIS2 se extiende a dispositivos móviles como teléfonos inteligentes y tabletas.

¿Quién deberá cumplir con los actos de implementación de NIS2?

Las entidades públicas y privadas de los siguientes sectores, tal como se definen en los anexos I y II de NIS2, deberán cumplir el acto de ejecución de su Estado miembro:

• Energía, incluida la electricidad, calefacción y refrigeración urbana, petróleo, gas e hidrógeno
• Transporte, incluyendo aire, ferrocarril, agua y carretera
• Bancario
• Infraestructuras del mercado financiero
• Salud
• Agua potable
• Aguas residuales
• Infraestructura digital
• Gestión de servicios TIC (empresa a empresa)
• Administración Pública
• Espacio
• Servicios postales y de mensajería
• Gestión de residuos
• Fabricación, producción y distribución de productos químicos.
• Producción, procesamiento y distribución de alimentos.
• Manufactura, incluidos dispositivos médicos, computadoras, productos electrónicos, productos ópticos, equipos eléctricos, maquinaria y equipo, vehículos de motor, remolques, semirremolques y otros equipos de transporte
• Proveedores digitales de mercados en línea, motores de búsqueda y servicios de redes sociales
• Investigación
• Entidades críticas tal como se definen en la Directiva (UE) 2022/2557
• Entidades que prestan servicios de registro de nombres de dominio

Si bien NIS2 se enfoca en entidades medianas y grandes, señala que las empresas de cualquier tamaño deberán cumplir con los actos de implementación si la interrupción del servicio pudiera:

• Socavar actividades sociales o económicas críticas
• Perjudicar la seguridad, la protección o la salud pública
• Crear un riesgo de sistema significativo, especialmente uno con un impacto transfronterizo
• Causar daños derivados de la importancia de una entidad a nivel nacional o regional
• Comprometer los servicios debido al rol de una entidad en la administración pública

Cumplimiento del requisito NIS2 con Mobile Threat Defense (MTD)

Para las organizaciones consideradas Operadores de Servicios Esenciales (OES) o Proveedores de Servicios Digitales (DSP), asegurar los dispositivos móviles será fundamental para cumplir con varios requisitos de la ley de implementación NIS2.

Mobile Threat Defense llena el vacío de seguridad que dejan la gestión de dispositivos móviles (MDM) y la gestión de aplicaciones móviles (MAM).

MDM es bueno para establecer perímetros a través de configuraciones de dispositivos, pero carece de capacidades sólidas para detectar vulnerabilidades de aplicaciones, malware y aplicaciones maliciosas, y a menudo depende de herramientas de terceros.

MAM se enfoca exclusivamente en aplicaciones con capacidades que permiten a las empresas proteger tanto los dispositivos de propiedad del usuario como los totalmente administrados. Sin embargo, no brindan medidas proactivas de ciberseguridad para salvaguardar todos los vectores de ataque.

MTD es esencial para una estrategia proactiva de seguridad primero para el cumplimiento de NIS2. MTD cubre todos los principales vectores de ataque y proporciona los datos forenses necesarios para cumplir con las obligaciones de notificación de incidentes. Además, un MTD robusto permite a las organizaciones implementar criptografía y encriptación en todos los dispositivos móviles.

Monitoreo Continuo para Identificar Amenazas

Los dispositivos móviles comprometidos introducen riesgos de control de acceso y red que socavan los programas de seguridad de la información.

Con MTD, las organizaciones obtienen visibilidad de los riesgos y amenazas conocidos y desconocidos, como:

• Amenazas avanzadas
• Ataques de phishing móvil
• Estado del dispositivo en tiempo real
• Seguridad de aplicaciones en la nube
• Aplicaciones maliciosas descargadas de fuentes no confiables

Con estas capacidades, las entidades OES y DSP incorporan seguridad para dispositivos móviles que permite:

• Análisis de riesgos: identifique y mitigue los riesgos asociados con los dispositivos propiedad de los empleados
• Políticas de seguridad de la información: establezca líneas de base para dispositivos móviles, incluidos teléfonos inteligentes y tabletas
• Seguridad de la cadena de suministro: mitigue los riesgos que surgen de la TI en la sombra al marcar las aplicaciones de riesgo o prohibidas como fuera de cumplimiento (OOC)
• Políticas de control de acceso: implemente el acceso condicional para dispositivos de riesgo y mitigue los riesgos derivados del acceso de la aplicación a los recursos
• Capacitación en ciberseguridad: refuerce la capacitación de concientización de los empleados mediante el aprendizaje automático y de comportamiento que detecta ataques móviles a dispositivos, redes, phishing y aplicaciones, incluso cuando un dispositivo no está conectado a la red.

Bloqueo de amenazas conocidas y desconocidas

Con MTD, OES y DSP, las entidades pueden implementar medidas de gestión de riesgos de ciberseguridad de última generación que automatizan actividades como el bloqueo:

• Dominios específicos de la aplicación OOC
• Enlaces maliciosos desde la carga
• Acceso no autorizado a los recursos.

Hacer cumplir los controles de acceso condicional

Gran parte de NIS2 responde a los nuevos riesgos derivados de la transformación digital, y señala que los Estados miembros deben tener en cuenta las normas europeas e internacionales pertinentes. Cada vez más, los estándares internacionales se centran en arquitecturas de confianza cero. MTD apoya estas iniciativas al hacer cumplir la seguridad y los controles de acceso en los dispositivos móviles.

Con MTD, las entidades OES y DSP pueden establecer y aplicar políticas sólidas de acceso condicional que limitan el acceso del dispositivo a los recursos después de lo siguiente:

• Escaneo en busca de malware conocido y desconocido, exploits de dispositivos y ataques de phishing
• Verificar que las configuraciones de los dispositivos cumplan con las políticas de seguridad
• Proporcionar atestación para todo el dispositivo sin necesidad de una conexión persistente a Internet ni de instalar un agente

Informe de detalles de incidentes significativos

Con MTD, las entidades OES y DSP tienen datos forenses profundos sobre el dispositivo, las conexiones de red y las aplicaciones maliciosas que permiten a sus equipos de operaciones de seguridad cumplir con los requisitos de informes técnicos de NIS2. Con estos datos forenses, las entidades tienen la información necesaria para cumplir con los requisitos de informes de 24 y 72 horas, tales como:

• Ataques contra una aplicación o software de sistema operativo, como aplicaciones de carga lateral
• Ataques a través de redes inalámbricas
• Enlaces maliciosos incrustados en ataques de phishing por SMS

Con esta información, pueden proporcionar evaluaciones iniciales que incorporen indicadores de compromiso asociados con ataques que utilizan dispositivos móviles como vector principal.

Zimperium MTD™ para seguridad y cumplimiento integrales

Defensa contra amenazas móviles de Zimperium (MTD) – anteriormente conocido como cremalleras – es una solución de seguridad móvil que prioriza la privacidad y proporciona seguridad móvil integral para las organizaciones. Zimperium MTD protege la propiedad corporativa o BYOD de un empleado de amenazas persistentes avanzadas sin sacrificar la privacidad o los datos personales.

Zimperium MTD puede ayudar a las organizaciones a identificar qué dispositivos móviles tienen aplicaciones peligrosas o prohibidas al señalar a qué servidores se conectan estas aplicaciones y bloquear estas aplicaciones y navegadores para que no envíen datos desde el dispositivo a los dominios a los que se conecta la aplicación. Además, al aprovechar la activación sin contacto, Zimperium MTD puede aplicar automáticamente controles de acceso condicional como parte de una estrategia de confianza cero, lo que evita el uso de aplicaciones empresariales y el acceso a datos corporativos confidenciales mientras estas aplicaciones prohibidas están instaladas.

Zimperium MTD es la única solución de seguridad móvil en el dispositivo que protege contra los últimos ataques de día cero. A medida que la superficie de ataque móvil se expande y evoluciona, también lo hace la detección dinámica de amenazas en el dispositivo de Zimperium. Zimperium MTD detecta en las cuatro categorías de amenazas: dispositivos comprometidos, ataques a la red, phishing y contenido, y aplicaciones maliciosas.

Para mejorar su postura de ciberseguridad móvil y prepararse para el cumplimiento de NIS2 a tiempo, contáctenos hoy.