Board Training NIS2
Nivel 1

LECCIÓN 1 – EL MARCO NORMATIVO
Esta conferencia explora la evolución del marco regulador de la ciberseguridad desde 2010 hasta la reciente directiva NIS2. Analiza las etapas clave de la regulación en Italia y destaca el paso de la protección de las infraestructuras críticas a la salvaguarda de todo el sistema productivo europeo, ilustrando las principales diferencias entre NIS y NIS2 y las nuevas obligaciones para los agentes críticos del mercado.

LECCIÓN 2 – LA DIRECTIVA NIS2 (PARTE I)
En esta lección se analiza el contenido de la Directiva NIS2, que introduce nuevas obligaciones para las empresas y los organismos públicos. También se definen las razones por las que la UE intervino para superar algunas de las limitaciones de la anterior Directiva NIS, a menudo relacionadas con la extrema discrecionalidad que se dejaba a los Estados miembros. También se ofrece una visión general de las entidades reguladas, con una distinción entre entidades esenciales e importantes.

LECCIÓN 4 – LA DIRECTIVA NIS2 (PARTE III)
Esta lección proporciona antecedentes sobre el enfoque de riesgos múltiples, que incluye los riesgos físicos, humanos y tecnológicos. A continuación, se hace hincapié en cómo notificar incidentes. Por último, se presta especial atención al marco de sanciones, que es especialmente severo, y ello tanto para los agentes esenciales como para los importantes.

LECCIÓN 5 – TRANSPOSICIÓN DE LA NIS2
Esta lección está dedicada al estudio en profundidad de las disposiciones del Decreto Legislativo 138/2024, como legislación de transposición de la Directiva NIS2. La lección analiza los elementos de especificidad introducidos por el legislador italiano, esboza las funciones y responsabilidades de los actores implicados e ilustra las consecuencias en caso de incumplimiento, incluidas las sanciones administrativas previstas.

LECCIÓN 1 – EL CIBERRIESGO
La gestión del ciberriesgo, parte integrante de las operaciones empresariales, requiere evaluar y mitigar los riesgos derivados de las vulnerabilidades digitales explotadas intencionadamente por agentes malintencionados. La reducción del riesgo se basa en dos dimensiones: disminuir la probabilidad de un ataque mediante la prevención y la concienciación, y limitar el impacto mediante activos resistentes y mejores prácticas tecnológicas.

LECCIÓN 2 – ANÁLISIS DE LOS RIESGOS CIBERNÉTICOS
El análisis de riesgos es fundamental para comprender las amenazas, sus probabilidades e impactos, y definir contramedidas. Siguiendo normas como ISO o NIST, consta de seis pasos: identificación del contexto y los riesgos, análisis de los mismos, definición de prioridades, preparación de respuestas y supervisión continua. El principal resultado es el Registro de Riesgos, que establece un mapa de los riesgos cibernéticos y no cibernéticos, esencial para las estrategias de seguridad multirriesgo exigidas por la NIS2.

LECCIÓN 4 – CONTROLES DE SEGURIDAD
La gestión de incidentes de seguridad se basa en el análisis de los registros generados por las infraestructuras digitales para identificar y prevenir situaciones críticas. El Centro de Operaciones de Seguridad (SOC) procesa las alertas a través de un flujo operativo estructurado que consta de tres fases: análisis preliminar, análisis detallado y definición de acciones de contención y remediación. El uso de Inteligencia Artificial (IA) ayuda a reducir los falsos positivos, mejorando la eficiencia operativa.

LECCIÓN 5 – DAÑOS
El impacto representa el daño causado por un evento adverso, que puede clasificarse en directo, responsabilidad, indirecto y consecuente. En el riesgo cibernético, los daños se dividen en propios (interrupción del negocio, restauración del sistema, gestión de incidentes) y de terceros (litigios, violación de datos). Mientras que los daños materiales son más fáciles de estimar, los inmateriales requieren evaluaciones complejas.

LECCIÓN 2 – LAS PRINCIPALES TÉCNICAS DE ATAQUE
Las técnicas de ciberataque incluyen el malware, la explotación de vulnerabilidades y los ataques distribuidos de denegación de servicio (DDoS). El malware, incluido el de día cero, explota vulnerabilidades desconocidas, mientras que las vulnerabilidades expuestas en Internet permiten robar datos y obtener acceso privilegiado, a menudo mediante ingeniería social. Los DDoS sobrecargan infraestructuras o aplicaciones, dejándolas inutilizables.

LECCIÓN 3 – VULNERABILIDADES
Las vulnerabilidades sólo suponen un riesgo si no se mitigan mediante controles técnicos o de procedimiento. Su ciclo de vida pasa por cuatro fases: descubrimiento, divulgación, identificación de contramedidas y aplicación, siendo las dos primeras especialmente críticas. Una gestión eficaz de las vulnerabilidades requiere un proceso industrializado basado en actualizaciones constantes, inventarios exhaustivos de activos y una estrategia priorizada.

LECCIÓN 1 – ESTAFA AL DIRECTOR GENERAL
Un ciberdelincuente compromete o falsifica el correo electrónico del director general o de otro miembro del consejo de administración y envía un correo urgente al director financiero o a un ejecutivo financiero, ordenando una transferencia de millones de euros a una cuenta extranjera.

LECCIÓN 2 – ATAQUE RANSOMWARE CON CHANTAJE
Una empresa energética líder sufre un ataque de ransomware que bloquea los sistemas informáticos y paraliza las operaciones. Los delincuentes amenazan con publicar datos sensibles de la Junta si no se paga el rescate.

LECCIÓN 4 – VIOLACIÓN DE DATOS
Un ataque dirigido roba datos financieros y personales de miembros del consejo de administración. La prensa se entera y la empresa sufre daños en su reputación, así como riesgos por incumplimiento de las normas NIS2 y GDPR.