La comunicación móvil ante la NIS2: ¿el talón de Aquiles de la ciberseguridad?

Octubre es el duodécimo Mes Europeo de la Ciberseguridad (ESCM), la campaña anual de la Unión Europea que trata de concienciar sobre los peligros en el ciberespacio y las buenas prácticas. Por otra parte, la Directiva NIS2 de la Unión Europea (Network and Information Security Directive) se transpone a nivel nacional el día 17 de octubre. Buena ocasión para recordar la importancia, ampliamente olvidada, que tiene la seguridad de los datos que circulan por los canales de comunicación empresariales y para poner de relieve algunas de las implicaciones de la puesta en marcha de esta nueva directiva.

El entorno laboral se caracteriza por un flujo incesante de información entre personas, empresas, proveedores, clientes, etc. Se canaliza a través del correo electrónico, de una herramienta colectiva de comunicación o –cada vez más– mediante una app de mensajería instantánea en el teléfono móvil. El auge de la mensajería instantánea en la comunicación profesional radica en la posibilidad de un intercambio sencillo, rápido y práctico de información en tiempo real, independientemente de la ubicación de las personas implicadas.

Sin embargo, los smartphones están entre los puntos de entrada más populares para los ciberataques; estos ocurren cada vez con mayor frecuencia y desafortunadamente, la pérdida o el secuestro de datos (ransomware), la denegación de servicios (DDoS) o programas maliciosos (malware) que interrumpen las operaciones, forman parte de las amenazas rutinarias de las empresas. Visto así, asegurar la seguridad de la comunicación corporativa vía teléfono móvil es vital.

Bajo el RGPD, las empresas están obligadas a proteger los datos sensibles desde hace tiempo y la mensajería instantánea en el ámbito laboral no se escapa de esta lógica. En este contexto, cabe recordar que las apps de mensajería personales ni son seguras ni cumplen con los requisitos legales.

Carecen de las opciones de configuración de seguridad necesarias para el uso profesional. Pese a ofrecer un cifrado de extremo a extremo, en la mayoría de los casos recopilan sistemáticamente metadatos (como por ejemplo información sobre ubicación, hora y duración de la comunicación, número de teléfono o dirección IP).

Y ahora NIS2, la nueva directiva

A partir del 18 de octubre, la Directiva NIS2 de la Unión Europea (Network and Information Security Directive) es vinculante a nivel nacional en todos los Estados miembros. El texto, que tiene por objetivo mejorar la seguridad de los sistemas informáticos en la UE, amplía su alcance e incluye varias industrias estratégicas (por ejemplo infraestructura digital).

También trae un traspaso de responsabilidad: bajo NIS2, son los dirigentes de las empresas los que tienen la obligación de evaluar los riesgos, poner en marcha medidas para minimizarlos y supervisar su aplicación. En otras palabras, la ciberseguridad de las empresas en los sectores afectados se convierte en una prioridad.

Para hacer frente a la tendencia ascendente de ciberataques, la nueva directiva también busca fomentar la ciberresiliencia de las entidades. Naturalmente, el primer objetivo sería cortar de raíz cualquier agresión digital. Pero nadie ignora que sufrir un ciberataque "exitoso", hoy no es una cuestión del "si" sino del "cuándo". Visto el panorama, ciberresiliencia significa estar preparado para defenderse durante un ciberataque sin tener que paralizar áreas enteras del negocio. ¿Pero, qué implica "estar preparado" concretamente? Entre otras cosas, la directiva exige disponer de copias de seguridad, dispositivos para recuperar datos y/o herramientas que ayuden a gestionar/resolver contingencias con la mayor brevedad posible. Claro está, aquí el texto busca fomentar la continuidad empresarial.

Durante una crisis, buena parte de la continuidad empresarial depende de la comunicación: cuando los sistemas informáticos y los canales de comunicación habituales (por ejemplo, el correo electrónico) no están disponibles, la empresa necesita un canal de comunicación independiente, una herramienta fiable "fuera de banda" que funcione al margen de las infraestructuras informáticas comprometidas.

Visto así, asegurar la comunicación entre la dirección y el equipo de gestión de crisis con otras partes interesadas externas mediante una app de comunicación profesional segura resulta ser una de las claves para garantizar la continuidad empresarial y para cumplir con los requisitos de NIS2. Sin embargo, la ciberseguridad no siempre se mide con el mismo rasero en todos los ámbitos. Las laxas precauciones de seguridad en lo que se refiere al uso de servicios de

mensajería en las empresas aumentan el riesgo de ciberataques, daños a la reputación y multas de hasta 10 millones de euros o el 2% de la facturación anual de una compañía. ¿Qué empresa quiere aceptar tales riesgos?

*** Miguel Rodríguez es CRO y miembro del consejo de Threema.