27 de junio de 2024 - Tiempo de lectura 5 min

¿Qué es SGSI y cuál es su objetivo?

SGSI, o Sistema de Gestión de Seguridad de la Información, es un conjunto de políticas y procedimientos diseñados para gestionar de manera sistemática los datos confidenciales de una organización. El objetivo principal de un SGSI es minimizar el riesgo y asegurar la continuidad del negocio limitando proactivamente el impacto de una brecha de seguridad.

¿Cómo funciona un SGSI?

Un SGSI proporciona un enfoque estructurado para gestionar la seguridad de la información aplicando políticas que controlan y administran los niveles de riesgo. Este sistema no solo se centra en la protección contra ciberataques, sino que también aborda comportamientos, procesos, datos y tecnología. Abarca auditorías, procedimientos y prácticas laborales cotidianas para asegurar que, incluso si ocurre una intrusión, no haya pérdida de información y la empresa pueda responder adecuadamente.

La responsabilidad de un SGSI recae en la dirección de la empresa, y su implementación debe reflejar el compromiso contra el riesgo de la organización. A partir del conocimiento de los riesgos y el impacto financiero de estos, la dirección debe decidir hasta qué punto el SGSI debe reducir dichos riesgos.

Introducción a la norma ISO 27001

La norma ISO/IEC 27001 es un estándar internacional que establece los requisitos para la implementación, mantenimiento y mejora continua de un SGSI. Su objetivo es proteger la confidencialidad, integridad y disponibilidad de la información mediante la identificación y gestión eficaz de los riesgos de seguridad.

Esta norma es aplicable a cualquier tipo de organización, independientemente de su tamaño o sector, y proporciona un marco que incluye mejores prácticas para la documentación, identificación de riesgos, auditorías internas, mejora continua y acciones correctivas y preventivas.

¿Qué es la Directiva NIS2?

La Directiva NIS2 (Network and Information Systems Directive 2) es una normativa de la Unión Europea que afecta a empresas esenciales para el funcionamiento de la economía y la sociedad europeas. Divide las entidades en dos categorías: esenciales e importantes, cada una con diferentes niveles de requisitos en cuanto a medidas de seguridad y notificación de incidentes.

Medidas de ciberseguridad requeridas por NIS2

Entre las medidas que NIS2 exige se incluyen:

• Autenticación multifactor (MFA).
• Control de acceso mínimo.
• Seguridad en la cadena de suministro.
• Sistemas de prevención contra ciberataques.
• Políticas de continuidad de negocio.
• Formación en ciberseguridad para empleados.

Esta directiva entró en vigor el 16 de enero de 2023, y los estados miembros deben garantizar su cumplimiento antes del 17 de octubre de 2024.

¿Qué es el reglamento DORA?

El Reglamento DORA (Digital Operational Resilience Act) tiene como objetivo mejorar la resiliencia operativa y la ciberseguridad en el sector financiero de la UE. Establece requisitos para la gestión de incidentes de ciberseguridad, pruebas de resiliencia operativa, y la gestión del riesgo en la cadena de suministro de entidades financieras.

Plazos de implementación de DORA

DORA entró en vigor el 16 de enero de 2023. Las entidades financieras tienen hasta el 17 de enero de 2025 para cumplir con los requisitos establecidos. A partir de esa fecha, las autoridades competentes comenzarán la supervisión de su cumplimiento.

GDPR: Reglamento General de Protección de Datos

El GDPR (Reglamento General de Protección de Datos) es una ley de la UE que garantiza la protección y privacidad de los datos personales. Aplica a cualquier empresa que procese datos personales de ciudadanos de la UE, estableciendo estrictas reglas sobre cómo deben manejarse estos datos.

Sanciones por incumplimiento

Las multas por incumplimiento del GDPR pueden llegar hasta 20 millones de euros o el 4% de la facturación anual global, lo que sea mayor. El reglamento establece criterios claros para determinar el valor de las sanciones, como la gravedad y duración de la infracción, y el nivel de cooperación de la empresa infractora.

Estrategia Nacional de Ciberseguridad 2019

La Estrategia Nacional de Ciberseguridad 2019, aprobada por el Consejo de Seguridad Nacional, establece un marco para reforzar la ciberseguridad en España. Entre sus principales iniciativas se encuentran:

• Creación de la Plataforma Nacional de Notificación y Seguimiento de ciberincidentes.
• Impulso del Centro de Operaciones de Ciberseguridad de la Administración General del Estado.
• Desarrollo de un sistema integrado de indicadores de ciberseguridad.
• Promoción de la ciberseguridad en pymes, micropymes y autónomos.

El plan cuenta con un presupuesto de más de 1.000 millones de euros y prevé la implementación de cerca de 150 iniciativas para los próximos tres años.

¿Cumple tu organización con todos estos requisitos? Podemos ayudarte

La normativa y legislación de ciberseguridad en Europa es amplia y variada, con el objetivo de proteger la información y asegurar la continuidad del negocio frente a ciberamenazas. Desde el SGSI y la ISO 27001, hasta las directivas NIS2 y DORA, y el GDPR, todas estas normativas y regulaciones contribuyen a crear un entorno digital más seguro y resiliente. Con la Estrategia Nacional de Ciberseguridad 2019, España también se posiciona a la vanguardia en la protección cibernética, destacando la importancia de la cooperación entre entidades públicas y privadas para enfrentar las amenazas en el ciberespacio. Pero lo más importante es que se trata de un marco legal pensado para proteger tu actividad frente a una amenaza cada vez más real y que afecta a la competitividad y rentabilidad de tu negocio. Ahora que conoce lo que exige la normativa, es hora de aplicarlo cuanto antes. En Vodafone Business contamos con un equipo de expertos en Ciberseguridad que analizará tu nivel de riesgo actual y tu capacidad para hacerlo frente, y después te guiará de forma personalizada y a tu medida. Contacta con nosotros, por tu seguridad.

Protege tu empresa según tus necesidades con nuestros servicios. Consúltalos aquí.