Evaluación de riesgos NIS2: Un marco estructurado para identificar y priorizar sus brechas cibernéticas

El artículo 21 de la NIS2 obliga a las entidades esenciales e importantes a adoptar un enfoque de la ciberseguridad basado en el riesgo. Pero la directiva no prescribe una metodología específica. Las organizaciones deben seleccionar y aplicar un marco adecuado a su tamaño, exposición y sector. Esta guía presenta una metodología estructurada en seis pasos alineada con la norma ISO 27005:2022 (Gestión de riesgos de seguridad de la información) y las orientaciones de ENISA, adaptada a las organizaciones sujetas a la NIS2.

Por qué es importante un marco estructurado

Las medidas de seguridad ad hoc, por bienintencionadas que sean, no cumplen la norma NIS2. El artículo 21 exige medidas adecuadas y proporcionadas, lo que implica una justificación documentada de cada decisión de seguridad. Un marco estructurado de evaluación de riesgos proporciona esa justificación. Garantiza que los recursos se asignen a los riesgos de mayor impacto, que los riesgos residuales sean aceptados conscientemente por la dirección y que pueda demostrarse su cumplimiento a las autoridades supervisoras.

El marco que aquí se presenta sigue seis pasos secuenciales. Cada paso produce resultados documentados que alimentan el siguiente, creando un proceso de gestión de riesgos completo y auditable.

Etapa 1: Identificación y valoración de los activos

Antes de poder evaluar el riesgo, debe saber qué está protegiendo. La identificación de activos crea un inventario exhaustivo de los activos de información, los sistemas de red e información y la infraestructura de apoyo dentro de su ámbito NIS2.

Categorías de bienes a inventariar:

• Activos de información: bases de datos de clientes, propiedad intelectual, registros de empleados, datos financieros, datos operativos
• Activos de hardware: servidores, estaciones de trabajo, equipos de red, dispositivos IoT, dispositivos móviles.
• Activos de software: sistemas operativos, aplicaciones, middleware, firmware
• Activos de red: Infraestructura LAN/WAN, cortafuegos, VPN, conectividad en la nube.
• Activos de servicio: servicios en la nube, plataformas SaaS, servicios gestionados, API de terceros
• Personal: funciones clave y sus niveles de acceso

Cada activo debe valorarse en función de su importancia para las operaciones y de la sensibilidad de los datos que contiene. La norma ISO 27005 recomienda asignar un valor de impacto en el negocio (por ejemplo, bajo, medio, alto, crítico) basado en las consecuencias potenciales de comprometer la confidencialidad, integridad y disponibilidad.

Paso 2: Análisis de amenazas

El análisis de amenazas identifica las fuentes y eventos potenciales que podrían comprometer sus activos. Las amenazas pueden clasificarse en las siguientes categorías:

• Deliberados: ciberataques selectivos, ransomware, amenazas internas, espionaje, hacktivismo
• Accidental: error humano, desconfiguraciones, errores de software, fallos de hardware
• Medio ambiente: catástrofes naturales, cortes de electricidad, interrupciones de la cadena de suministro

Utilice fuentes de inteligencia sobre amenazas para calibrar su análisis. ENISA publica un informe anual sobre el panorama de las amenazas que identifica las principales amenazas a las que se enfrentan las organizaciones europeas. Los ISAC (Centros de Análisis e Intercambio de Información) específicos de cada sector proporcionan información relevante para la industria. Su análisis debe tener en cuenta tanto la probabilidad de cada amenaza como las capacidades de los actores de amenazas relevantes.

Paso 3: Evaluación de la vulnerabilidad

La evaluación de la vulnerabilidad identifica los puntos débiles de sus sistemas, procesos y controles que podrían ser explotados por las amenazas identificadas en el Paso 2. Esto incluye:

• Vulnerabilidades técnicas: software sin parches, configuraciones débiles, puertos abiertos, falta de cifrado
• Vulnerabilidades organizativas: políticas de seguridad inadecuadas, formación insuficiente, responsabilidades poco claras...
• Vulnerabilidades físicas: controles de acceso inadecuados, falta de protección ambiental
• Vulnerabilidades de la cadena de suministro: software de terceros no validado, API inseguras, prácticas de seguridad deficientes de los proveedores.

Las herramientas automatizadas de exploración de vulnerabilidades proporcionan una base de referencia, pero deben complementarse con pruebas manuales (pruebas de penetración) y revisiones de procesos. La letra e) del apartado 2 del artículo 21 de NIS2 exige específicamente capacidades de gestión y divulgación de vulnerabilidades.

Paso 4: Análisis de impacto

Para cada par plausible de amenaza-vulnerabilidad, evalúe el impacto potencial si el riesgo se materializa. El impacto debe evaluarse en múltiples dimensiones:

• Impacto operativo: interrupción del servicio, tiempo de recuperación, pérdida de capacidades críticas
• Impacto financiero: costes directos (respuesta a incidentes, reparación), costes indirectos (pérdida de ingresos, sanciones contractuales).
• Impacto normativo: Sanciones NIS2 (hasta 10M€ o 2% de facturación para entidades esenciales), multas GDPR si hay datos personales implicados.
• Impacto en la reputación: confianza de los clientes, exposición mediática, posicionamiento competitivo
• Impacto en la seguridad: daños físicos (relevante para los sectores sanitario, energético y del transporte).

Utilizar una escala de impacto coherente (por ejemplo, insignificante, menor, moderado, mayor, catastrófico) con criterios definidos para cada nivel. Esto garantiza la comparabilidad entre riesgos y facilita la priorización.

Etapa 5: Evaluación y priorización de riesgos

El riesgo es la combinación de la probabilidad de que una amenaza explote una vulnerabilidad y el impacto si lo hace. Utiliza una matriz de riesgos para trazar cada riesgo identificado:

Nivel de riesgo = Probabilidad x Impacto. Clasifique los riesgos en: Crítico (requiere acción inmediata), Alto (requiere acción en un plazo definido), Medio (supervisar y programar la remediación), Bajo (aceptar o supervisar).

El paso de la evaluación de riesgos es donde se concreta la responsabilidad de la dirección con arreglo al artículo 20 de las NIS2. El órgano de dirección debe revisar y aprobar formalmente la evaluación de riesgos, aceptando los riesgos residuales con plena conciencia de sus posibles consecuencias.

Paso 6: Planificación del tratamiento del riesgo

Para cada riesgo que supere el apetito de riesgo definido por su organización, seleccione una opción de tratamiento:

• Mitigar: Implantar controles para reducir la probabilidad o el impacto (el tratamiento más común).
• Transferir: Trasladar el riesgo a un tercero, normalmente a través de un ciberseguro o subcontratando a un proveedor especializado.
• Evitar: Eliminar el riesgo interrumpiendo la actividad que lo genera.
• Aceptar: Aceptar conscientemente el riesgo cuando los costes del tratamiento superen el impacto potencial (debe estar documentado y aprobado por la dirección).

Para cada control de mitigación, documente la reducción de riesgo esperada, el calendario de implantación, el propietario responsable y los recursos necesarios. Esto se convierte en su plan de tratamiento de riesgos, un documento vivo que impulsa su inversión y priorización en ciberseguridad.

Estructura del registro de riesgos

El registro de riesgos es el artefacto central de su evaluación de riesgos. Debe contener los siguientes campos para cada riesgo identificado:

• ID de riesgo: Identificador único
• Activo: Activo(s) en peligro
• Amenaza: El origen de la amenaza y el suceso
• Vulnerabilidad: La debilidad explotada
• Controles existentes: Medidas en vigor
• Probabilidad: Probabilidad evaluada (por ejemplo, escala 1-5)
• Impacto: Consecuencia evaluada (por ejemplo, escala 1-5)
• Nivel de riesgo inherente: Antes del tratamiento adicional
• Opción de tratamiento: Mitigar, transferir, evitar o aceptar
• Controles previstos: Medidas adicionales que deben aplicarse
• Nivel de riesgo residual: Después del tratamiento previsto
• Propietario del riesgo: Persona responsable de la gestión de este riesgo
• Fecha de revisión: Próxima reevaluación programada

Alineación con la norma ISO 27005 y las directrices de ENISA

Esta metodología de seis pasos se alinea estrechamente con la norma ISO 27005:2022, que proporciona el marco de referencia para la gestión de riesgos de seguridad de la información dentro de un sistema de gestión ISO 27001. Las organizaciones que persiguen la certificación ISO 27001 encontrarán que una evaluación de riesgos bien ejecutada bajo esta metodología satisface los requisitos de la cláusula 6.1.2 de ISO 27001.

ENISA ha publicado varios recursos de apoyo, entre los que se incluyen la Guía de aplicación de NIS2 y el Marco interoperable de gestión de riesgos. Estos recursos proporcionan escenarios de riesgo específicos para cada sector, catálogos de amenazas y mapas de control que pueden utilizarse para acelerar la evaluación de riesgos.

Mejora continua

Una evaluación de riesgos no es un ejercicio puntual. El artículo 21(2)(f) de la NIS2 exige políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad. Esto significa

• Reevaluar los riesgos al menos una vez al año y después de cualquier cambio significativo (nuevos sistemas, cambios organizativos, amenazas emergentes).
• Supervisar la eficacia de los controles aplicados mediante indicadores clave de rendimiento (KPI) y métricas de seguridad.
• Realice ejercicios prácticos y simulaciones para poner a prueba sus escenarios de riesgo.
• Actualizar periódicamente la información sobre amenazas
• Informar de los resultados de la evaluación de riesgos a la dirección como parte del ciclo de gobernanza de NIS2.

Una evaluación de riesgos estructurada, documentada y actualizada periódicamente no es un mero ejercicio de cumplimiento. Es la base de un programa de ciberseguridad eficaz que protege a su organización, a sus clientes y su posición competitiva en un panorama de amenazas cada vez más hostil.