NIS2 ha subido el listón de la ciberseguridad en toda Europa, y con razón. Las amenazas son más persistentes, más sofisticadas y más perturbadoras que nunca, y los reguladores están respondiendo exigiendo controles de seguridad más estrictos, una rendición de cuentas más clara y una mejor visibilidad de la forma en que las organizaciones gestionan el riesgo.

En respuesta, muchas organizaciones han tomado medidas conocidas y sensatas. Han invertido en nuevas herramientas de seguridad, han reforzado sus defensas técnicas, han perfeccionado sus políticas y han aumentado los informes de riesgos a la dirección. Todo ello desempeña un papel importante en la mejora de la postura de seguridad. Sin embargo, la historia demuestra que estas medidas por sí solas no serán suficientes.

Cuando se producen infracciones, rara vez comienzan con un fallo en la tecnología. Empiezan con una decisión humana, a menudo tomada con rapidez, bajo presión o sin el contexto suficiente para reconocer el riesgo en ese momento. Ahí es donde se determinará en última instancia el éxito o el fracaso de NIS2.

NIS2 pone a las personas en el punto de mira

Uno de los conceptos erróneos más comunes en torno a la NIS2 es que se trata principalmente de una normativa técnica o de TI. Aunque sí incluye requisitos en torno a los sistemas, la supervisión, la notificación de incidentes y la seguridad de la cadena de suministro, su alcance es mucho más amplio que eso.

La NIS2 pone un claro énfasis en la gestión de riesgos, la gobernanza y la resistencia organizativa. Espera que las organizaciones comprendan dónde existen sus riesgos reales, cómo evolucionan esos riesgos con el tiempo y si los controles establecidos son realmente eficaces para reducirlos. Esa eficacia no se mide por el número de herramientas desplegadas o por lo completa que parezca una biblioteca de políticas sobre el papel, sino por si los riesgos se están gestionando en la práctica.

La responsabilidad también se impulsa firmemente hacia arriba. Se espera que la alta dirección apruebe las medidas de gestión de riesgos y supervise su eficacia continua. En ese contexto, resulta imposible ignorar el comportamiento humano. Las decisiones en torno al acceso, el manejo de credenciales, el intercambio de datos y las respuestas bajo presión influyen directamente en si los controles se mantienen cuando se ponen a prueba.

NIS2 no enmarca esto como una cuestión secundaria o blanda. Trata el comportamiento humano como un componente central del riesgo organizativo.

La mayoría de las infracciones siguen comenzando con decisiones cotidianas

A pesar de los años de progreso en la tecnología de la ciberseguridad, las vías de violación más comunes siguen siendo notablemente constantes. Según el último Informe sobre investigaciones de violaciones de datos, alrededor del 60% de las violaciones implican un elemento humano, como el phishing, las credenciales comprometidas y los errores rutinarios, lo que pone de relieve hasta qué punto el comportamiento humano sigue influyendo en el riesgo.

En ese mismo informe, las credenciales robadas o utilizadas indebidamente fueron el principal vector de acceso inicial en cerca del 22% de los casos, mientras que la suplantación de identidad contribuyó aproximadamente en un 15%. Estas cifras ponen de relieve cuántos incidentes comienzan no por un fallo en las herramientas de seguridad, sino por decisiones cotidianas tomadas cuando las personas están ocupadas, distraídas o bajo presión.

Estas situaciones no surgen porque los empleados sean descuidados o malintencionados. Surgen porque las personas intentan hacer su trabajo en entornos que se mueven con rapidez y en los que la comodidad, la urgencia y las prioridades contrapuestas suelen condicionar el comportamiento. Los atacantes entienden muy bien esta dinámica, por lo que la ingeniería social sigue siendo una táctica tan eficaz.

Según el Informe de Verizon sobre investigaciones de filtraciones de datos (DBIR), las técnicas de ingeniería social están implicadas en casi tres cuartas partes de las filtraciones, lo que las convierte en una de las formas más sistemáticamente exitosas que tienen los atacantes de obtener acceso inicial explotando la toma de decisiones humanas en lugar de los fallos técnicos.

La tecnología está diseñada en torno a procesos definidos y entradas predecibles, pero a menudo asume que las personas se comportarán de forma coherente, incluso cuando estén cansadas, bajo presión o trabajando con información incompleta. Desde la perspectiva de NIS2, esa laguna es importante. A los reguladores no sólo les interesa saber si existen controles, sino si son lo suficientemente resistentes como para soportar las condiciones del mundo real.

Si un control depende de un comportamiento perfecto en circunstancias imperfectas, representa un riesgo que hay que comprender y gestionar.

Por qué la política y la formación anual se quedan cortas

La mayoría de las organizaciones pueden demostrar que cuentan con políticas de seguridad y que los empleados realizan periódicamente cursos de concienciación. Durante mucho tiempo, esto se ha considerado una prueba razonable de la diligencia debida.

Con NIS2, esa suposición se hace más difícil de defender.

Las políticas describen cómo deben funcionar las cosas y la formación anual explica el comportamiento esperado en teoría. Lo que no muestran es cómo responde realmente la gente cuando se enfrenta a escenarios realistas que reflejan las presiones de sus funciones cotidianas.

Desde un punto de vista normativo, esto crea un vacío de visibilidad. Las tasas de finalización y los reconocimientos normativos demuestran la actividad, pero no la eficacia.

A medida que la NIS2 impulsa un enfoque del cumplimiento más basado en el riesgo y centrado en los resultados, las organizaciones tendrán que demostrar que sus programas de concienciación influyen en el comportamiento de una manera mensurable.

Las pruebas de comportamiento importan más que la asistencia

Uno de los cambios más significativos introducidos por la NIS2 es el enfoque en la gestión continua del riesgo en lugar del cumplimiento puntual.

Cuando se trata del riesgo humano, eso significa ser capaz de responder a preguntas prácticas:

  • ¿Dónde tienen más dificultades los empleados?
  • ¿Qué comportamientos introducen los mayores niveles de riesgo?
  • ¿Cómo varía ese riesgo en función de las funciones, los equipos o las ubicaciones?
  • ¿Qué pruebas existen que demuestren que las intervenciones de aprendizaje están teniendo realmente un impacto?

Las pruebas del comportamiento ayudan a responder a estas preguntas. Los datos de compromiso, las respuestas a escenarios realistas y los patrones en la toma de decisiones proporcionan una valiosa visión de cómo se comporta la gente cuando se enfrenta a situaciones importantes.

Las métricas de asistencia y finalización por sí solas no pueden proporcionar ese nivel de garantía.

El compromiso no es algo agradable de tener

El compromiso en la concienciación sobre la seguridad se discute a menudo en términos de participación o finalización, en lugar de su impacto en la forma de pensar y actuar de las personas cuando se enfrentan a un riesgo.

Si los empleados no están comprometidos, es mucho menos probable que asimilen la orientación, reconozcan las señales de advertencia o apliquen el aprendizaje cuando más importa. Desde la perspectiva de NIS2, no se trata de un problema de diseño del aprendizaje, sino de gestión de riesgos.

Los contenidos interactivos, basados en escenarios, desempeñan aquí un valioso papel porque reflejan cómo aprende mejor la gente.

Este enfoque se alinea estrechamente con las expectativas normativas en torno a la eficacia y la mejora continua.

La tecnología apoya la resiliencia, las personas la determinan

Los controles técnicos sólidos siguen siendo esenciales. Los cortafuegos, las herramientas de supervisión, los sistemas de identidad y las capacidades de detección desempeñan un papel fundamental.

Lo que también exige NIS2 es una comprensión clara de cómo interactúan esos controles con el comportamiento humano.

Las organizaciones que aborden el NIS2 puramente como un proyecto tecnológico corren el riesgo de perderse esto por completo.

Construir una alineación NIS2 defendible

A medida que se acerque la entrada en vigor de la NIS2, se pedirá cada vez más a las organizaciones que demuestren cómo gestionan el riesgo en la práctica.

Una alineación defendible se basa en pruebas.

Porque, en última instancia, el cumplimiento de NIS2 no fracasará porque falte una herramienta. Fracasará cuando el comportamiento humano se trate como una ocurrencia tardía en lugar de como una parte fundamental de la gestión de riesgos.

Trabajar con MetaCompliance

Cumplir las expectativas de NIS2 requiere algo más que demostrar que se ha impartido la formación.

MetaCompliance ayuda a las organizaciones a adoptar un enfoque práctico y defendible de la gestión de los riesgos humanos.

Hemos identificado contenidos de aprendizaje relevantes que pueden utilizarse para apoyar los requisitos de formación del NIS2.

Combinado con el enfoque de aprendizaje basado en riesgos de MetaCompliance, las organizaciones obtienen visibilidad sobre cómo se comportan realmente las personas.

A medida que el NIS2 impulsa una mayor responsabilidad y escrutinio, las organizaciones que puedan demostrar claramente cómo preparan a las personas estarán mejor situadas para satisfacer tanto las expectativas normativas como las amenazas del mundo real.

Póngase en contacto hoy mismo para averiguar cómo MetaCompliance puede apoyar su estrategia de formación NIS2.

Preguntas frecuentes sobre el cumplimiento de NIS2

¿Qué es el cumplimiento de NIS2?

El cumplimiento de la Directiva NIS2 se refiere al cumplimiento de los requisitos de la Directiva NIS2 de la UE, que refuerza la ciberseguridad, la gestión de riesgos y la responsabilidad de las organizaciones esenciales e importantes de toda Europa.