ISGroup Consultoría de Ciberseguridad

¿Cuáles son los requisitos para la seguridad física de los sistemas de red y de información?

Las fuentes se centran principalmente en la ciberseguridad y no proporcionan detalles explícitos sobre los requisitos de seguridad física para los sistemas de red y de información.

Sin embargo, ofrecen algunas ideas que afectan indirectamente a la seguridad física:

La importancia de un enfoque multirriesgo

  • Considerar el entorno físico: La Directiva NIS2 promueve un enfoque multirriesgo para la ciberseguridad, que tiene en cuenta riesgos que van más allá de las amenazas digitales. Este enfoque destaca la importancia de la seguridad física:
    • Artículo 21, apartado 2: Define las medidas para la gestión del riesgo informático.
    • Comunicación de la Comisión: Especifica que estas medidas “deben proteger no solo las redes y los sistemas de información de la entidad, sino también el entorno físico de dichos sistemas frente a sucesos como sabotajes, robos, incendios, inundaciones, problemas de telecomunicaciones o cortes de suministro eléctrico, o frente a cualquier acceso físico no autorizado que pueda comprometer la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados, o de los servicios ofrecidos por las redes y sistemas de información o accesibles a través de ellos”.

[Callforaction-NIS2]

Requisitos y consideraciones específicas

  • Sedes seguras para los CSIRT: La Directiva exige que los Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT) estén ubicados en instalaciones seguras:
    • Artículo 11, apartado 1(b): Establece que “los locales y los sistemas de información que den soporte a los CSIRT deberán estar ubicados en emplazamientos seguros”. Esto sugiere que la seguridad física es fundamental para garantizar la ciberseguridad. Para profundizar en las obligaciones relacionadas con los CSIRT, véase también la obligación de designación del referente CSIRT para los sujetos NIS.
  • Seguridad de los centros de datos: Aunque no aborda directamente la seguridad física, la inclusión de los proveedores de centros de datos entre las entidades esenciales o importantes implica la necesidad de adoptar medidas de seguridad robustas, que probablemente incluyan también salvaguardias físicas.
  • Principios generales de confidencialidad y gestión del riesgo: Las fuentes subrayan la importancia de proteger la confidencialidad de la información y de adoptar un enfoque basado en el riesgo para la seguridad. Estos principios se extienden también a la seguridad física, lo que implica la necesidad de proteger los activos físicos y las instalaciones que, si se vieran comprometidos, podrían afectar a los sistemas de información o a los datos.

Inferencias y buenas prácticas

Aunque no se exijan expresamente, las organizaciones sujetas a la Directiva NIS2 deberían considerar la implementación de medidas de seguridad física en línea con los principios más amplios de la Directiva. Quienes estén evaluando su nivel de cumplimiento pueden encontrar útil el itinerario de adecuación a la NIS2 ofrecido por ISGroup, que incluye también la verificación de las medidas de protección del entorno físico. Ejemplos de dichas medidas incluyen:

  • Control de acceso a las instalaciones: Implementar sistemas de control de acceso para limitar la entrada física a las áreas sensibles donde se encuentran equipos de red o datos.
  • Controles ambientales: Proteger contra amenazas ambientales, como incendios, inundaciones y cortes de energía, mediante medidas como sistemas contra incendios, suelos técnicos en centros de datos y generadores eléctricos de respaldo.
  • Personal de seguridad física: Emplear personal de seguridad para disuadir accesos no autorizados, monitorear los sistemas de vigilancia y responder a incidentes de seguridad.
  • Eliminación segura de activos TIC: Implementar procedimientos para garantizar la eliminación o destrucción segura de los equipos TIC, evitando la posible exposición de datos sensibles.

Nota importante: Es fundamental recordar que estas inferencias y ejemplos se basan en la interpretación de los principios y requisitos generales de la Directiva NIS2. Las organizaciones deben realizar sus propias evaluaciones de riesgo y consultar a expertos en ciberseguridad para determinar las medidas de seguridad física más apropiadas según sus necesidades específicas. El texto oficial de la Directiva NIS2 sigue siendo la referencia normativa primaria para cualquier verificación.

[Callforaction-NIS2-Footer]

In