Seguro que habrás oído hablar de la nueva directiva NIS2, que es una de las grandes novedades en materia de normativa de ciberseguridad de este año. Su objetivo primordial es mejorar la resiliencia cibernética de las organizaciones de la UE mediante la incorporación de requisitos más estrictos en cuanto gestión de riesgos y presentación de informes de incidencias. Además, amplía el rango de sectores implicados y ha endurecido las sanciones. El plazo para la transposición de esta Directiva al ordenamiento jurídico de los estados miembros de la UE finalizará el 17 de octubre de 2024.
Pero quizás lo que no sepas es que NIS2 subraya el papel crítico del DNS en la infraestructura digital y la vulnerabilidad a las amenazas cibernéticas, colocando la seguridad del DNS en un lugar privilegiado. Así, la nueva directiva establece: “El mantenimiento y la preservación de un sistema de nombres de dominio (DNS) confiable, resistente y seguro, son factores clave para mantener la integridad de Internet y son esenciales para su funcionamiento continuo y estable, del que dependen la economía digital y la sociedad”.
Así las cosas, la seguridad del DNS comienza a ser fundamental para mantener la integridad y la funcionalidad de las redes actuales, dado su papel estratégico en el enrutamiento del tráfico entre usuarios y aplicaciones. Sin embargo, el DNS no fue diseñado en su origen como un servicio seguro. Más bien todo lo contrario, se concibió como un servicio abierto y sin conexión, que, al no tomar en cuenta los actores maliciosos, es muy vulnerable. Por otra parte, un ataque al DNS puede interrumpir gravemente las operaciones, precisamente por su papel crítico en la red, con la consiguiente pérdida económica y mala imagen.
La directiva NIS2 puede responsabilizar con nombres propios a la alta dirección si se demuestra una negligencia grave tras un incidente cibernético.
Diego Solís, sales director para Iberia y Latinoamérica de EfficientIP
Si se garantiza la fiabilidad e integridad del DNS se pueden revertir con eficacia los riesgos y responder ante posibles incidentes, cumpliendo los mandatos de la nueva directiva, cuyo fin, recordemos, es promover un entorno digital seguro.
En cuanto a las implicaciones financieras en caso de incumplimiento de las obligaciones de gestión de riesgos y presentación de informes de ciberseguridad, cabe destacar que en la nueva directiva NIS2 son bastante significativas. Las empresas deben asegurarse de que el papel del DNS sea relevante e importante en la estrategia de ciberseguridad y que esté al día en cuanto a cumplimiento normativo.
Si no, se pueden llegar a enfrentar a multas de hasta el 10% de su facturación anual. El nuevo reglamento clasifica a las entidades en dos grupos diferenciados: “esenciales” e “importantes”, lo que determinará las medidas de supervisión y las sanciones aplicables a cada categoría.
Las entidades esenciales podrían enfrentarse a penas de hasta 10 millones de euros o el 2% de su facturación total mundial si se rompe su cumplimiento, mientras que las entidades importantes pueden incurrir en multas de hasta siete millones de euros o el 1,4% del negocio. Como novedad, la directiva NIS2 puede responsabilizar con nombres propios a la alta dirección si se demuestra una negligencia grave tras un incidente cibernético.
Pero vale la pena recordar que el impacto de los ataques DNS va más allá de las multas. Los ciberataques basados en DNS pueden provocar a corto plazo la inactividad de las aplicaciones, pérdida de productividad, pérdida de clientes, violación de la confidencialidad y un largo etcétera. Según un informe de la consultora IDC, el 90% de las organizaciones ha sufrido más de un ataque DNS con un coste medio valorado en más de un millón de euros.
¿Posibles soluciones? La implementación de una solución de seguridad DNS con inteligencia de amenazas focalizada en el DNS, unida a otras medidas de seguridad para mejorar las defensas, a la vez que se minimizan los riesgos cibernéticos cumpliendo los nuevos estándares, tal y como establece la futura directiva.
En definitiva, la directiva NIS2 viene a reconocer el papel fundamental de la seguridad integral del DNS en la protección de la infraestructura digital contra las amenazas cibernéticas. Es necesario adoptar estrategias de seguridad con el foco puesto en el DNS para reforzar significativamente la resiliencia cibernética y contribuir a un ecosistema de Internet seguro y estable. Aún estamos a tiempo.
