{"id":115916,"date":"2024-01-22T11:23:57","date_gmt":"2024-01-22T11:23:57","guid":{"rendered":"https:\/\/staging.advisera.com\/articles\/nis2-implementation-steps\/"},"modified":"2024-09-19T18:12:24","modified_gmt":"2024-09-19T18:12:24","slug":"nis2-implementacion-pasos","status":"publish","type":"adv_resources","link":"https:\/\/staging.advisera.com\/es\/articulos\/nis2-implementacion-pasos\/","title":{"rendered":"15 pasos para la implementaci\u00f3n de medidas para la gesti\u00f3n de riesgos de ciberseguridad en la NIS 2"},"content":{"rendered":"<p>Cumplir con normativas tan complejas como la <a href=\"https:\/\/staging.advisera.com\/es\/articulos\/que-es-nis2\/\" target=\"_blank\" rel=\"noopener\">Directiva NIS 2<\/a> (SRI 2) no es f\u00e1cil&#8230; pero es menos dif\u00edcil si cuenta con un plan claro para implementar el cumplimiento normativo. Este art\u00edculo presenta las buenas pr\u00e1cticas y los pasos a seguir para conseguir el cumplimiento pleno del Cap\u00edtulo IV de la NIS2, titulado \u201cMedidas para la gesti\u00f3n de riesgos de ciberseguridad y obligaciones de notificaci\u00f3n\u201d. El art\u00edculo se centra en este cap\u00edtulo porque enumera los principales requisitos de la NIS 2 que deben cumplir las compa\u00f1\u00edas (entidades esenciales e importantes).<\/p>\n<div class=\"post-featured\">\n<div class=\"post-featured--content\">\n<p>Para cumplir con el Cap\u00edtulo IV de la NIS 2, titulado \u201cMedidas para la gesti\u00f3n de riesgos de ciberseguridad y obligaciones de notificaci\u00f3n\u201d, las compa\u00f1\u00edas deben seguir estos 15 pasos que comienzan por conseguir soporte en la gesti\u00f3n y terminan con auditor\u00edas internas peri\u00f3dicas, revisi\u00f3n de la gesti\u00f3n y acciones correctivas.<\/p>\n<\/div>\n<\/div>\n<p>Desde mi experiencia, la forma m\u00e1s r\u00e1pida de cumplir con la NIS 2 es seguir estos 15 pasos:<br \/>\n<div id=\"middle-banner\" class=\"banner-shortcode\"><\/div><script>loadMiddleBanner();<\/script><\/p>\n<h2>1) Conseguir soporte de gesti\u00f3n<\/h2>\n<p>Quiz\u00e1s piense que, como la NIS2 es obligatoria, cumplir con esta norma ser\u00e1 sencillo y no requerir\u00e1 que se involucren los directivos. Sin embargo, la realidad es muy distinta: si los \u00f3rganos de direcci\u00f3n no apoyan activamente un proyecto as\u00ed, su implementaci\u00f3n resultar\u00e1 lenta, no contar\u00e1 con financiaci\u00f3n suficiente y se bloquear\u00e1 en cada paso.<\/p>\n<p>Por eso, aunque la NIS 2 es obligatoria, necesita convencer a los directivos de que realmente vale la pena dedicar esfuerzos a garantizar su cumplimiento.<\/p>\n<h2>2) Configurar la gesti\u00f3n del proyecto<\/h2>\n<p>La NIS 2 es demasiado compleja para dejarla en manos del administrador de TIC, por ejemplo, esperando que todo salga bien. En primer lugar, no puede esperar que alguien sin autoridad formal logre con \u00e9xito un proyecto tan grande. En segundo lugar, necesita tener una idea clara de los pasos de implementaci\u00f3n, hitos, principales efectos, responsabilidades, etc.<\/p>\n<p>En otras palabras: es necesario adoptar un enfoque de proyecto si quiere que todo salga bien.<\/p>\n<h2>3) Realizar la formaci\u00f3n inicial<\/h2>\n<p>La NIS 2 hace mucho hincapi\u00e9 en la realizaci\u00f3n de formaci\u00f3n sobre seguridad, por lo que es razonable realizar una formaci\u00f3n inicial al principio del proyecto.<\/p>\n<p>De este modo, todos los participantes involucrados tendr\u00e1n una imagen mucho m\u00e1s clara de qu\u00e9 es la NIS 2, qu\u00e9 es necesario hacer, por qu\u00e9 es necesario&#8230; As\u00ed el proyecto arrancar\u00e1 con mucha m\u00e1s facilidad.<\/p>\n<p>Vea este art\u00edculo para inspirarse con algunas ideas sobre formaci\u00f3n: <a href=\"https:\/\/staging.advisera.com\/es\/articulos\/nis2-formacion-concienciacion\/\" target=\"_blank\" rel=\"noopener\">C\u00f3mo realizar la formaci\u00f3n y la concienciaci\u00f3n seg\u00fan la NIS 2<\/a>.<\/p>\n<p><img decoding=\"async\" class=\"aligncenter size-full wp-image-116349\" src=\"https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/15-implementation-steps-for-nis-2-cybersecurity-risk-management-measures-spanish.png\" alt=\"Cumplir la NIS 2: 15 pasos para la implementaci\u00f3n de medidas para la gesti\u00f3n de riesgos de ciberseguridad\" width=\"2500\" height=\"1309\" title=\"\" srcset=\"https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/15-implementation-steps-for-nis-2-cybersecurity-risk-management-measures-spanish.png 2500w, https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/15-implementation-steps-for-nis-2-cybersecurity-risk-management-measures-spanish-300x157.png 300w, https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/15-implementation-steps-for-nis-2-cybersecurity-risk-management-measures-spanish-1024x536.png 1024w, https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/15-implementation-steps-for-nis-2-cybersecurity-risk-management-measures-spanish-768x402.png 768w, https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/15-implementation-steps-for-nis-2-cybersecurity-risk-management-measures-spanish-1536x804.png 1536w, https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/15-implementation-steps-for-nis-2-cybersecurity-risk-management-measures-spanish-2048x1072.png 2048w\" sizes=\"(max-width: 2500px) 100vw, 2500px\" \/><\/p>\n<p>&nbsp;<\/p>\n<h2 style=\"line-height: 115%\"><span lang=\"EN-US\">4) Redactar una pol\u00edtica de primer nivel sobre la Seguridad de los Sistemas de Informaci\u00f3n.<\/span><\/h2>\n<p>Aunque la NIS2 no requiere espec\u00edficamente un documento de primer nivel que defina las directrices en ciberseguridad, ese documento es una buena pr\u00e1ctica seg\u00fan los est\u00e1ndares internacionales por lo siguiente: si usted no sabe hacia d\u00f3nde se dirige, seguramente se perder\u00e1.<\/p>\n<p>Por eso es necesario contar con un documento de primer nivel: muestra claramente lo que se necesita conseguir en materia de ciberseguridad, cu\u00e1les son los principales roles y responsabilidades y c\u00f3mo se medir\u00e1n los logros al respecto.<\/p>\n<h2>5) Definir la Metodolog\u00eda de Gesti\u00f3n de Riesgos<\/h2>\n<p>Normalmente la gesti\u00f3n de riesgos es el paso m\u00e1s complejo en el proceso de cumplimiento normativo y, adem\u00e1s de esto, la NIS 2 impone requisitos espec\u00edficos sobre c\u00f3mo debe hacerse esta gesti\u00f3n de riesgos.<\/p>\n<p>Para garantizar que su compa\u00f1\u00eda cumpla con la NIS 2 y asegurar que todo el mundo en la empresa comprenda c\u00f3mo deben gestionarse los riesgos, necesita crear un documento que especifique reglas claras para ello, como un documento de Metodolog\u00eda de Gesti\u00f3n de Riesgos.<\/p>\n<h2>6) Realizar la evaluaci\u00f3n y el tratamiento de los riesgos<\/h2>\n<p>Durante la evaluaci\u00f3n de riesgos, necesita identificar lo que podr\u00eda poner en riesgo sus sistemas de informaci\u00f3n. Esto se suele hacer haciendo un listado de activos y amenazas y vulnerabilidades relacionadas; adem\u00e1s, necesita identificar el alcance de estos riesgos evaluando su probabilidad y severidad (impacto).<\/p>\n<p>Una vez tenga la lista de riesgos, necesita identificar c\u00f3mo tratar (y mitigar) los mayores riesgos: en la mayor\u00eda de casos, tendr\u00e1 que implementar medidas de ciberseguridad establecidas en el <a href=\"https:\/\/staging.advisera.com\/es\/nis2\/medidas-para-la-gestion-de-riesgos-de-ciberseguridad\/\">art\u00edculo 21<\/a>. De este modo, su ciberseguridad se basar\u00e1 en un an\u00e1lisis minucioso en lugar de implementar varias medidas sin saber el porqu\u00e9.<\/p>\n<h2>7) Redactar y aprobar un Plan de Tratamiento de Riesgos<\/h2>\n<p>Cuando tenga una idea completa de los riesgos que corre y c\u00f3mo tratarlos, necesitar\u00e1 crear un plan concreto sobre c\u00f3mo implementar medidas de ciberseguridad. Y, aun m\u00e1s importante, conseguir la aprobaci\u00f3n de los directivos para ese plan.<\/p>\n<p>El Plan de Tratamiento de Riesgos, de hecho, es un plan de implementaci\u00f3n y suele incluir una lista de todas las medidas de ciberseguridad (por ejemplo: actividades, procesos y tecnolog\u00edas) que necesitan ser implementados junto a informaci\u00f3n sobre qui\u00e9n se encarga de ellos, en qu\u00e9 plazos, etc.<\/p>\n<h2>8) Implementar medidas de ciberseguridad<\/h2>\n<p>Por supuesto, la principal obligaci\u00f3n que impone la NIS 2 es implementar varias medidas de ciberseguridad. En la pr\u00e1ctica, esto implica que tendr\u00e1 que introducir nuevos procesos de seguridad, actividades y, en algunos casos, nuevas tecnolog\u00edas, bas\u00e1ndose en los resultados de la evaluaci\u00f3n de riesgos.<\/p>\n<p>En cualquier caso, tendr\u00e1 que redactar varias pol\u00edticas y procedimientos de ciberseguridad para establecer reglas claras sobre esos nuevos procesos, actividades y tecnolog\u00edas.<\/p>\n<p>Aqu\u00ed puede ver qu\u00e9 medidas de ciberseguridad son necesarias y qu\u00e9 documentos usar: <a href=\"https:\/\/staging.advisera.com\/es\/articulos\/documentos-obligatorios-nis-2\/\">Lista de documentos exigidos por la NIS 2<\/a>.<\/p>\n<h2>9) Configurar la seguridad de la cadena de suministros<\/h2>\n<p>La NIS 2 ha reconocido que un creciente n\u00famero de incidentes de seguridad est\u00e1n relacionados con problemas con los proveedores: es necesario prestar especial atenci\u00f3n a las relaciones con operadores y proveedores de servicios, lo que incluye la evaluaci\u00f3n de sus vulnerabilidades, as\u00ed como estudiar sus procedimientos de desarrollo de software.<\/p>\n<p>Esto se hace con una evaluaci\u00f3n de riesgos formal de los proveedores, seleccionando solo proveedores fiables para trabajar, incluyendo cl\u00e1usulas de seguridad en los acuerdos con ellos y supervisando su actitud ante la seguridad.<\/p>\n<h2>10) Configurar la evaluaci\u00f3n de la efectividad de la ciberseguridad<\/h2>\n<p>La NIS 2 exige que los directivos supervisen la implementaci\u00f3n de las medidas de ciberseguridad. Esto se puede hacer correctamente de tres formas: (1) medir y supervisar continuamente la ciberseguridad para poder detectar posibles desviaciones, (2) introducir auditor\u00edas internas peri\u00f3dicas para descubrir faltas de conformidad y (3) introducir revisiones peri\u00f3dicas de la gesti\u00f3n para organizar una sesi\u00f3n formal dedicada a revisar todos los hechos relacionados con la ciberseguridad.<\/p>\n<p>Para configurar estas actividades, necesita redactar algunos documentos claves: Metodolog\u00eda de Medici\u00f3n, Procedimiento de Auditor\u00eda Interna y Procedimiento de Revisi\u00f3n de la Gesti\u00f3n.<\/p>\n<h2>11) Configurar las notificaciones de incidentes<\/h2>\n<p>Uno de los requisitos clave de la NIS 2 es notificar al CSIRT (o autoridad competente) y a los destinatarios de servicios los incidentes significativos.<\/p>\n<p>Las entidades tienen que presentar varios tipos de informes al CSIRT: una alerta temprana, una notificaci\u00f3n de incidente, un informe intermedio, un informe final y un informe de situaci\u00f3n.<\/p>\n<p>Obtenga m\u00e1s informaci\u00f3n aqu\u00ed: <a href=\"https:\/\/staging.advisera.com\/es\/articulos\/obligaciones-de-notificacion-nis2\/\" target=\"_blank\" rel=\"noopener\">\u00bfCu\u00e1les son las obligaciones de notificaci\u00f3n seg\u00fan la NIS 2?<\/a><\/p>\n<h2>12) Establecer una formaci\u00f3n continua en ciberseguridad<\/h2>\n<p>La NIS 2 es muy concreta sobre el establecimiento de la ciberseguridad para todos los empleados, incluyendo los encargados de la direcci\u00f3n. Aqu\u00ed el reto es c\u00f3mo seleccionar los temas adecuados y qu\u00e9 formato de formaci\u00f3n elegir para conseguir la transferencia de conocimientos adecuada sin invertir demasiado tiempo o dinero.<\/p>\n<p>Vea algunas posibles opciones aqu\u00ed: <a href=\"https:\/\/staging.advisera.com\/es\/articulos\/nis2-formacion-concienciacion\/\" target=\"_blank\" rel=\"noopener\">C\u00f3mo realizar la formaci\u00f3n y la concienciaci\u00f3n seg\u00fan la NIS 2<\/a>.<\/p>\n<h2>13) Auditor\u00edas internas peri\u00f3dicas<\/h2>\n<p>Es cierto que la auditor\u00eda interna no se menciona en la NIS 2. Sin embargo, la ISO 27001 y otras normas internacionales sugieren que la auditor\u00eda interna es la mejor pr\u00e1ctica para que los \u00f3rganos de direcci\u00f3n logren supervisar la implementaci\u00f3n de las medidas de seguridad.<\/p>\n<p>Sin identificar las faltas de conformidad durante la auditor\u00eda interna, la direcci\u00f3n nunca tendr\u00e1 una imagen completa del estado de la ciberseguridad, lo que podr\u00eda llevar a incidentes y responsabilidades.<\/p>\n<h2>14) Revisiones peri\u00f3dicas de la gesti\u00f3n<\/h2>\n<p>Una revisi\u00f3n de la gesti\u00f3n es una reuni\u00f3n formal en la que los \u00f3rganos de direcci\u00f3n necesitan recibir toda la informaci\u00f3n relevante sobre ciberseguridad (por ejemplo: Informe de Medici\u00f3n, Informe de Auditor\u00eda Interna, etc.) para tomar decisiones importantes en materia de ciberseguridad.<\/p>\n<p>Durante la revisi\u00f3n de gesti\u00f3n, los directivos pueden proponer acciones correctivas, cambiar roles importantes y responsabilidades, establecer nuevos objetivos de seguridad, definir el presupuesto de seguridad, etc.<\/p>\n<h2>15) Ejecutar acciones correctivas<\/h2>\n<p>Las acciones correctivas son una forma sistem\u00e1tica de resolver faltas de conformidad. Durante su implementaci\u00f3n, la causa de una falta de conformidad se analiza formalmente y se definen y ejecutan acciones para eliminar esta causa.<\/p>\n<p>En otras palabras, el fin de las acciones correctivas es garantizar que faltas de conformidad similares no se vuelvan a repetir.<\/p>\n<p><em>Para encontrar todos los documentos necesarios para cumplir la Directiva NIS 2 (SRI 2), consulta el<\/em>\u00a0<a href=\"https:\/\/staging.advisera.com\/toolkits\/nis-2-documentation-toolkit\/\" target=\"_blank\" rel=\"noopener\">Paquete de Documentos NIS 2<\/a>\u00a0<em>que incluye todas las pol\u00edticas, procedimientos, planes y otras plantillas<\/em>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Cumplir con normativas tan complejas como la Directiva NIS 2 (SRI 2) no es f\u00e1cil&#8230; pero es menos dif\u00edcil si cuenta con un plan claro para implementar el cumplimiento normativo. Este art\u00edculo presenta las buenas pr\u00e1cticas y los pasos a seguir para conseguir el cumplimiento pleno del Cap\u00edtulo IV de la NIS2, titulado \u201cMedidas para [&hellip;]<\/p>\n","protected":false},"author":26,"featured_media":116198,"comment_status":"open","ping_status":"closed","template":"","tags":[],"class_list":["post-115916","adv_resources","type-adv_resources","status-publish","has-post-thumbnail","hentry","adv_resource_type-articles-es","adv_standard-nis-2-es","adv_topic-implementation","adv_level-beginner"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/es\/wp-json\/wp\/v2\/adv_resources\/115916","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/es\/wp-json\/wp\/v2\/adv_resources"}],"about":[{"href":"https:\/\/staging.advisera.com\/es\/wp-json\/wp\/v2\/types\/adv_resources"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/es\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/es\/wp-json\/wp\/v2\/comments?post=115916"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/es\/wp-json\/wp\/v2\/adv_resources\/115916\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/es\/wp-json\/wp\/v2\/media\/116198"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/es\/wp-json\/wp\/v2\/media?parent=115916"}],"wp:term":[{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/es\/wp-json\/wp\/v2\/tags?post=115916"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}