En este artículo describiremos el requisito del artículo 21.2.a) de la NIS2, que exige que tu organización aplique políticas de gestión de riesgos y de seguridad de los sistemas de información.

El objetivo de este requisito es garantizar que todas las organizaciones hayan reflexionado sobre cómo gestionar los riesgos y documenten su gestión de la seguridad de los sistemas de información mediante una política.

Política de seguridad de los sistemas de información

Una política de seguridad de los sistemas de información establece el enfoque de tu organización para gestionar la seguridad de los sistemas de información y cómo se aplica, lo que incluye medidas técnicas, operativas y organizativas.

Requisitos

La NIS2 exige que tu organización cree y aplique una política de seguridad de los sistemas de información para su red y sus sistemas de información.

La política debe adoptar un enfoque basado en el riesgo y garantizar un nivel adecuado de seguridad que se ajuste al objetivo de la organización. La política debe tener en cuenta el contexto de la organización, el estado actual de la tecnología, los costes de aplicación de las medidas y los riesgos para la seguridad de tus sistemas que podrían perjudicar la prestación de tus servicios críticos.

La política de seguridad de los sistemas de información debe seguir los requisitos de la Directiva NIS2 y apoyar los objetivos empresariales de la organización. Además, la política debe apoyar las actividades y valores fundamentales de la organización, y debe tener en cuenta los riesgos más relevantes para la organización.

Una política de seguridad de los sistemas de información debe

• describir la forma en que la organización gestiona la seguridad en su red y sistemas de información, el marco general de cómo se gestiona la seguridad tanto estratégicamente como en las operaciones diarias
• definir objetivos para la ciberseguridad; qué quiere conseguir la organización con su ciberseguridad
• incluir un compromiso para cumplir los requisitos de ciberseguridad, por ejemplo requisitos legales como el RGPD
• incluir el compromiso de seguir mejorando la política cuando sea pertinente
• estar disponible como documentación para todas las partes interesadas

La organización también puede crear políticas específicas sobre determinados temas si es necesario, por ejemplo una política de copias de seguridad o una política de control de acceso. Estas políticas deben ser siempre coherentes con la política general de seguridad del sistema de información.

Documentación

La política de seguridad de los sistemas de información debe actualizarse anualmente y siempre que se produzcan cambios significativos en los objetivos empresariales de la organización o en el panorama de las amenazas.

La política de seguridad de los sistemas de información debe ser aprobada por el órgano de dirección de la organización para garantizar la propiedad de la política. Si la dirección no se responsabiliza de la política de seguridad de los sistemas de información, ésta no tendrá ningún efecto en la organización.

Cualquier política específica de una materia debe ser revisada por la dirección correspondiente, y el resultado de la revisión, incluyendo cualquier ajuste, debe comunicarse al órgano de dirección de la organización.

Política de gestión de riesgos

El objetivo de tener una política de gestión de riesgos es establecer normas y métodos claros para identificar, analizar, evaluar y gestionar los riesgos de la organización. Esto debería garantizar que la gestión de riesgos es coherente y eficaz en todas las áreas que afectan a la prestación de servicios críticos.

Requisitos

La organización debe tener una política de gestión de riesgos que identifique y aborde todos los riesgos relacionados con la seguridad de su red y sus sistemas de información

La organización debe realizar y documentar evaluaciones de riesgos, establecer un plan de gestión de riesgos y asegurarse de que este plan se revisa y actualiza periódicamente.

Los resultados de la evaluación de riesgos, el tratamiento de riesgos previsto y el nivel de los riesgos que queden deben ser aprobados por el propietario del riesgo. Esto es especialmente importante si los riesgos pueden afectar a servicios críticos. Todos los resultados y decisiones deben comunicarse también al órgano de dirección de la organización.

La política de gestión de riesgos debe

• establecer un proceso claro para tratar los riesgos,
• ser parte integrante de la gestión global de riesgos de la organización,
• cubren todos los tipos de amenazas y garantizan que también se aborden los riesgos procedentes de terceros, como los proveedores,
• establecer y mantener criterios claros para evaluar los riesgos,
• identificar a los responsables de los riesgos y documentar sus responsabilidades.

Además, la política también debe incluir métodos para la evaluación de riesgos y puede describir:

• cómo identifica y documenta la organización los riesgos para su red y sistemas de información, incluida la identificación de puntos únicos de fallo,
• cómo se analizan los riesgos para la seguridad de los sistemas de red y de información,
• cómo se evalúan los riesgos identificados en función de los criterios establecidos,
• cómo identifica y prioriza la organización las medidas de seguridad adecuadas, basándose en la evaluación de riesgos y en la eficacia de dichas medidas,
• que es responsable de que las medidas elegidas se apliquen a tiempo,
• cómo documenta la organización las medidas elegidas y explica la aceptación de cualquier riesgo que subsista.

Documentación

Tus políticas de gestión de riesgos deben actualizarse periódicamente y siempre que se produzcan cambios importantes en la actividad de la organización, las vulnerabilidades o el panorama de amenazas. La política de gestión de riesgos debe redactarse por escrito y ser aprobada por la dirección.