Seis razones para trabajar con SUSE en la adecuación a la nueva Directiva NIS2

En los próximos meses, decenas de miles de empresas y organizaciones de toda Europa deberán cumplir la nueva Directiva de la UE sobre Seguridad de las Redes y de la Información (NIS2). SUSE puede ayudarle a conseguir a tiempo la implantación total de la NIS2. Con nuestras soluciones, puede aumentar la seguridad y fiabilidad de su TI, obtener mayor visibilidad y alcanzar más rápidamente niveles superiores de homologación.

La aplicación de la NIS2 continúa avanzando y, aunque no es seguro que la nueva directiva de ciberseguridad entre en vigor en todos los países de la UE el 17 de octubre de 2024 tal y como está previsto, los directivos de las empresas y responsables de TI deben tomar ya las medidas técnicas y organizativas necesarias. La NIS2 no solo aumenta los requisitos de seguridad de las redes y la información, sino que también incrementa significativamente la amenaza de sanciones por infracciones. Además, los directivos son personalmente responsables de la aplicación de las medidas prescritas, teniendo esta normativa un potencial de impacto mucho mayor que la GDPR.

Las organizaciones afectadas deben ahora hacer especial foco en cumplir con los requisitos de la directiva NIS2 para aplicar estrategias y soluciones eficaces que protejan su infraestructura informática, con la finalidad de evitar la responsabilidad de sus ejecutivos.

Cómo SUSE le puede ayudar a prepararse para la NIS2

SUSE ayuda a organizaciones y organismos gubernamentales a cumplir los requisitos de la NIS2 en varios aspectos. Concretamente, nuestras soluciones han demostrado que refuerzan la seguridad de las infraestructuras de TI en seis áreas, facilitando a las organizaciones el cumplimiento de la nueva directiva.

1. Seguridad de la cadena de suministro: la NIS2 requiere que todas las organizaciones afectadas por la norma evalúen continuamente los posibles riesgos informáticos en su cadena de suministro y tomen las medidas de seguridad adecuadas. Sin embargo, es casi imposible realizar una evaluación independiente de toda la cadena de suministro de software. El tiempo necesario para ello sería enorme y, al mismo tiempo, siempre existiría el riesgo de ser considerado responsable de una vulnerabilidad de seguridad pasada por alto.
   SUSE simplifica este proceso para todas las soluciones basadas en SUSE Linux Enterprise Server (SLES), ya que el sistema operativo cuenta con la certificación Common Criteria EAL 4+ de la Oficina Federal de Seguridad de la Información de Alemania (BSI). Esto convierte a SUSE en el único proveedor de un sistema operativo de uso general que ha superado con éxito una evaluación exhaustiva de sus procesos de actualización de productos, desarrollo y seguridad. Con esta certificación de carácter oficial, las organizaciones evitan la carga que supone realizar una evaluación propia y pueden demostrar en cualquier momento que la seguridad de la cadena de suministro de su sistema operativo ha sido verificada por un organismo independiente.
   Rancher Prime, la plataforma de gestión de contenedores de nivel empresarial de SUSE, también protege la cadena de suministro de software y cuenta además con la reciente certificación Supply-chain Levels for Software Artifacts (SLSA). Este framework, desarrollado por Google, está diseñado para garantizar la integridad del software a medida que se construye. Medidas como un proceso de creación automatizado y una completa documentación de la lista de materiales de software (SBOM) protegen el sistema de la manipulación y proporcionan una trazabilidad segura del código fuente.
2. Encriptación: otro aspecto importante de NIS2 es el cifrado. El artículo 21 de la directiva exige que todas las organizaciones afectadas utilicen tecnologías de encriptación actualizadas para garantizar la seguridad e integridad de los datos confidenciales. SUSE ayuda a cumplir esta exigencia siguiendo las normas federales de procesamiento de información (FIPS) 140-2 y 140-3 del gobierno de EE.UU., que definen los requisitos de seguridad que deben cumplir los módulos de encriptado en las agencias gubernamentales estadounidenses.
   SLES 15 SP2 cuenta con la validación FIPS 140-2, lo que proporciona una base segura para las comunicaciones cifradas y el almacenamiento de datos. Además, los módulos de cifrado certificados también pueden utilizarse en SP3. Los módulos de SLES 15 SP4 están actualmente en proceso de certificación según la nueva normativa, FIPS 140-3. Una vez que el Instituto Nacional de Estándares y Tecnología haya completado su revisión, módulos como Kernel Crypto API, GnuTLS, libgcrypt, mozilla-nss y OpenSSL serán certificados según este estándar.
3. Alta disponibilidad: Para cumplir con NIS2 y DORA (Digital Operational Resilience Act), muchas organizaciones necesitan mejorar la resistencia de su infraestructura de TI y tomar medidas adicionales para garantizar la continuidad del negocio. SUSE ofrece soluciones que maximizan la disponibilidad del sistema y minimizan el tiempo de inactividad, como SUSE Linux Enterprise High Availability Extension, con funciones como el geo-clustering, la replicación de datos en múltiples ubicaciones y la conmutación por error basada en reglas. De esta manera, las organizaciones pueden garantizar que sus aplicaciones de TI más importantes están siempre disponibles y que además pueden recuperarse rápidamente de cualquier imprevisto.
4. Edge computing y seguridad IoT: la NIS2 afecta a todos los operadores de infraestructuras críticas en sectores como el energético, el industrial, las telecomunicaciones, el transporte o la logística. Hoy en día, estas organizaciones utilizan dispositivos Edge e IoT para controlar sus infraestructuras. Tanto estos dispositivos como las aplicaciones que se ejecutan en entornos de Edge, también deben protegerse de posibles ciberamenazas.
   Aquí es donde SUSE Edge 3.0 toma especial relevancia. El stack tecnológico, basado en Rancher, NeuVector y SLE Micro, no solo simplifica la gestión de dispositivos distribuidos, sino que también proporciona seguridad integral para infraestructuras Edge de todos los tamaños. Con NeuVector, las políticas de seguridad pueden aplicarse de forma generalizada y los ataques a los entornos de Edge pueden bloquearse en tiempo real. SLE Micro mejora la seguridad de los dispositivos Edge con el marco de seguridad SELinux preinstalado y un sistema de archivos inmutable. Además, el sistema operativo ofrece la posibilidad de activar un modo FIPS para garantizar el estricto cumplimiento de los módulos de cifrado validados por el NIST y aplicar las mejores prácticas de refuerzo del sistema.
5. Gestión de vulnerabilidades y riesgos para contenedores y Kubernetes: Muchas organizaciones hoy en día están modernizando su entorno de aplicaciones y confiando cada vez más en tecnologías nativas de la nube que se desarrollan ágilmente y se despliegan de forma dinámica. Esto debe tenerse en cuenta a la hora de planificar una estrategia de NIS2. SUSE NeuVector proporciona una gestión de vulnerabilidades de extremo a extremo, seguridad automatizada del pipeline de CI/CD, seguridad completa en run-time y protección contra amenazas de día cero (Zero-day) e internas en entornos de Kubernetes. Al mismo tiempo, esta solución de seguridad de contenedores realiza comprobaciones y controles de acceso durante el desarrollo, las pruebas y la implantación de nuevas aplicaciones. SUSE NeuVector explora contenedores, hosts y plataformas de orquestación en tiempo de ejecución y verifica la seguridad de hosts y contenedores. Todas estas funciones ayudan a las organizaciones a cumplir las medidas de gestión de riesgos de ciberseguridad exigidas por la Directiva NIS2 para aplicaciones modernas nativas de la nube.
6. Mejora de la notificación de incidentes: La nueva normativa NIS2 también incluye requisitos reforzados de notificación de incidentes de seguridad. Las organizaciones afectadas deben notificar los incidentes a los organismos gubernamentales competentes en un plazo de 24 horas, debiendo presentar un informe completo en el plazo de 72 horas. SUSE facilita el cumplimiento de este requisito con productos como SUSE Manager, Rancher o NeuVector, que ofrecen funciones completas de supervisión y elaboración de informes. Además, estas herramientas ayudan a supervisar el estado de la infraestructura de TI en tiempo real, detectar anomalías, identificar rápidamente incidentes de seguridad, automatizar los procesos correspondientes y ayudan a recopilar la información necesaria para investigar un incidente y notificarlo a las autoridades.