ISGroup Consultoría de Ciberseguridad

Seguridad de los Recursos Humanos en la Directiva NIS2

La Directiva NIS2 adopta un enfoque multifacético hacia la seguridad de los recursos humanos, integrándola en el contexto más amplio de la gestión del riesgo informático. Si deseas comprender mejor cuál es el objetivo principal de la Directiva NIS2, puedes profundizar en nuestra base de conocimientos.

[Callforaction-NIS2]

Aquí tienes una visión general de los elementos clave:

1. Seguridad del Personal como Medida de Gestión del Riesgo:

  • Artículo 21, Párrafo 2(i): Enumera explícitamente la “seguridad de los recursos humanos” como uno de los elementos esenciales que las entidades deben abordar en sus estrategias de gestión del riesgo informático. Esto demuestra un claro reconocimiento de la importancia del factor humano para la postura general de ciberseguridad de una organización.
  • Artículo 21, Párrafo 1: Requiere que las entidades adopten medidas técnicas, operativas y organizativas adecuadas para gestionar los riesgos informáticos. Esto incluye la seguridad de los recursos humanos como parte integrante de un enfoque holístico.

2. Requisitos Específicos Relativos a la Seguridad de los Recursos Humanos:

  • Formación y Sensibilización (Artículo 20, Párrafo 2): Impone a las entidades proporcionar formación en materia de ciberseguridad a los miembros de los órganos de gestión. También se fomenta extender una formación similar a los empleados para dotarlos de los conocimientos y competencias necesarios para identificar y abordar los riesgos informáticos. Esto subraya la importancia de:
    • Concienciación sobre la Seguridad: Educar a los empleados sobre las amenazas potenciales, como los ataques de phishing, y sobre cómo mitigarlas.
    • Prácticas Seguras: Promover comportamientos seguros, como una buena gestión de contraseñas y el reconocimiento de las técnicas de ingeniería social.
    • Respuesta a Incidentes: Formar al personal sobre cómo responder de manera adecuada a los incidentes de seguridad.
  • Configuración Segura y Gestión de Vulnerabilidades (Artículo 21, Párrafo 2): Aunque no se centra exclusivamente en los recursos humanos, estos requisitos tienen implicaciones para la seguridad del personal:
    • Configuración Segura de los Sistemas: Garantizar que los sistemas estén configurados de forma segura desde el principio, limitando potencialmente el impacto de errores humanos o actividades maliciosas internas.
    • Gestión de Vulnerabilidades: Disponer de procesos para identificar, evaluar y resolver las vulnerabilidades, incluyendo la formación del personal responsable del mantenimiento de los sistemas y de la aplicación de parches.
  • Control y Gestión de Accesos (Artículo 21, Párrafo 2(i)): Subraya la importancia de las “estrategias de control de acceso y gestión de activos“. En el contexto de la seguridad de los recursos humanos, esto probablemente implica:
    • Principio de Privilegio Mínimo: Conceder a los empleados acceso únicamente a los sistemas e información esenciales para su rol, limitando los daños potenciales derivados de cuentas comprometidas.
    • Autenticación Fuerte: Como se discutió anteriormente, el uso de la autenticación de múltiples factores para proporcionar una capa adicional de seguridad, especialmente para sistemas y datos sensibles.

3. Implicaciones Indirectas:

  • Seguridad de la Cadena de Suministro (Artículo 21, Párrafo 2(d)): Requiere que las entidades aborden los riesgos informáticos dentro de sus cadenas de suministro. Esto podría extenderse a las prácticas de seguridad de los recursos humanos de los proveedores y prestadores de servicios, especialmente aquellos que tienen acceso a sistemas o datos críticos.
  • Respuesta a Incidentes (Artículo 21, Párrafo 2(b)): Impone la gestión de incidentes como elemento clave de seguridad. Esto probablemente incluye procedimientos para identificar y responder a incidentes de seguridad que involucren al personal, como amenazas internas o ataques de ingeniería social. Para los sujetos que también deben cumplir con las obligaciones de notificación, es útil verificar las reglas sobre la designación del referente CSIRT prevista por la normativa.

4. Rol de las Autoridades Competentes:

  • Supervisión y Aplicación: La Directiva NIS2 otorga a las autoridades nacionales competentes el poder de supervisar y aplicar el cumplimiento de los requisitos de la Directiva. Esto podría implicar la evaluación de las prácticas de seguridad de los recursos humanos de una organización como parte de auditorías informáticas más amplias.

Conclusiones Principales:

  • Enfoque Holístico: La Directiva NIS2 no trata la seguridad de los recursos humanos como una entidad separada, sino que la integra en un marco completo de ciberseguridad.
  • Responsabilidad Compartida: Aunque la Directiva impone obligaciones específicas a las organizaciones, también destaca la importancia de la concienciación y la formación de los empleados, reconociendo la responsabilidad compartida en la protección informática.
  • Implementación Basada en el Riesgo: Las entidades deben adaptar las medidas de seguridad de los recursos humanos a sus perfiles de riesgo y contextos operativos específicos. Para quienes necesitan estructurar o verificar su proceso de adecuación, nuestro servicio de conformidad con la Directiva NIS2 ofrece soporte operativo desde el análisis de brechas hasta la implementación de los controles requeridos. Para saber si tu organización entra en el perímetro obligatorio, puedes consultar también la guía sobre ACN y la lista de sujetos NIS2.

[Callforaction-NIS2-Footer]

In