Opinión

La mensajería instantánea en el ámbito laboral bajo la directiva del NIS2

  • Obliga a los órganos de dirección a aplicar medidas para tratar la ciberseguridad
Un hacker operando en su ordenador. dreamstime

Hoy, la interconexión a través de las redes digitales forma parte íntegra de nuestra vida privada y laboral. Tristemente, las ciberamenazas también. En 2022, el INCIBE gestionó unos 118.820 incidentes relacionados con la ciberseguridad en España; es un incremento del 9% con respecto al año anterior y, teniendo en cuenta el entorno actual caracterizado por la desaceleración económica, la inestabilidad geopolítica, la rápida maduración de tecnologías y la escasez de talento TI, es una tendencia que podría acelerarse, no solamente en España.

Una directiva bien acogida…

Visto así, la puesta en marcha de la nueva Directiva 2016/1148 del Parlamento Europeo y del Consejo, conocida como NIS 2 no puede ser más oportuna. Que la nueva normativa saca la ciberseguridad de los departamentos de TI de las empresas para convertirla en un asunto estratégico lo dice todo: obliga a los órganos de dirección a adoptar medidas técnicas y operativas para gestionar los riesgos de ciberseguridad. Lejos de ser simplemente otra traba administrativa que incrementa el coste operacional, es una legislación con visos de ser bien acogida por el ámbito empresarial: el World Economic Forum (WEF) señala que, a nivel global, el 76% de los dirigentes (y el 70% de los líderes del sector TI) opinan que un marco legislativo más exigente contribuirá positivamente a reforzar la ciber-resiliencia de sus empresas2.

… con implicaciones profundas

La normativa publicada el pasado 27 de diciembre plantea obligaciones a todas las entidades medianas y grandes (más de 250 empleados y más de 50 millones de facturación) que presten servicios en sectores esenciales, como p. ej. energía, transporte, finanzas, salud, alimentación, logística, infraestructura digital y de astronáutica. De aquí al 17 de octubre del 2024, todas estas instituciones (incluidas las administraciones públicas) han de establecer medidas de gobernanza, de gestión de riesgos, de notificación; necesitan instalar canales para el intercambio de información y asegurarse de la formación de los trabajadores y de los ejecutivos.

La Agencia de la Unión Europea para la Ciberseguridad (ENISA), que se erige como órgano responsable de la difusión de nuevas normas en la UE, busca una armonización entre los países miembros. En este sentido, los incidentes (ciberataques) deben reportarse a las autoridades pertinentes dentro de un plazo de 24h. Las sanciones por incumplimiento pueden ser severas. Un ejemplo: el Banco Central Europeo está considerando imponer una multa de 3,14 millones de euros a un banco español que sufrió un ataque de "malware" a sus sistemas, sin reportar el incidente en los plazos prescritos. Otros casos abiertos similares no hacen más que recalcar la importancia de cumplir con la directiva.

Ciberseguridad: la dirección asume la responsabilidad

El asunto es complejo: los consejos de administración de las empresas tienen ahora la obligación de familiarizarse con una temática que, hasta hace poco, estaba principalmente en manos de los CIOs. A partir de este momento, son los directivos de las empresas (C-suite) los que firman como responsables de la implementación y del cumplimiento de la directiva NIS2. Por otra parte, se enfrentan a muchas falsas creencias en torno a la seguridad informática en las empresas: en un estudio reciente de Bitdefender los responsables de TI en España afirman que les encantaría acabar de una vez por todas con mitos como «los terminales móviles son inmunes a las amenazas de malware» o «utilizar apps no autorizadas por la empresa no tiene mayor importancia»". El mismo estudio revela que el 44% de los CIFO encuestados en España indica que su empresa ha sufrido una filtración y/o una fuga de datos en los últimos 12 meses.

Prevenir vulnerabilidades digitales en ámbitos a menudo olvidados

En este contexto, cabe recordar que la comunicación entre empleados a través de una aplicación de mensajería personal sigue siendo una práctica habitual, a menudo sin las medidas de seguridad pertinentes. Además de escaparse de la supervisión del departamento de TI de la empresa, esta práctica, también llamada «TI en la sombra», no cumple ni con la directiva NIS 2 ni con el marco legislativo europeo sobre la protección de datos (RGPD6).

La mayoría de las aplicaciones de mensajería proponen encriptación de extremo a extremo (E2EE), aunque esto no es necesariamente una garantía contra una «pérdida de datos»: algunas aplicaciones recopilan y procesan sistemáticamente datos sensibles de los usuarios con fines publicitarios y de marketing. Los metadatos rastreados pueden incluir información sobre ubicación, hora y duración de la comunicación, número de teléfono, etc. Por otra parte, al usar aplicaciones populares, pero no protegidas (como, p. ej., WhatsApp), hay un riesgo considerable de «tropezar» con troyanos y/o con otros programas maliciosos.

Lo cierto es que las empresas no pueden permitirse posibles fugas de datos. De cara al creciente número de ciberamenazas en todos los frentes, necesitan reforzar su flanco digital, evaluar prácticas/sistemas existentes e identificar posibles vulnerabilidades. Esto incluye los canales de comunicación y, en particular, el uso de la mensajería instantánea en el ámbito laboral: su indudable comodidad la ha convertido en una herramienta muy popular en los últimos años. Las empresas que no lo hayan hecho ya harían bien en implementar una aplicación de mensajería diseñada específicamente para el uso profesional: además de garantizar una comunicación segura, les ayudará a cumplir con las nuevas directivas, evitar posibles sanciones y prevenir riesgos reputacionales.

WhatsAppTwitterTwitterLinkedinBeloudBeloud