Quan una organització comença a treballar l’adaptació a NIS2, una de les primeres preguntes és:
“Quin programari he d’implantar?”
La pregunta sembla lògica.
Però en realitat és la pregunta equivocada. NIS2 no exigeix eines concretes. Exigeix capacitats organitzatives i tècniques:
✔ Gestió del risc
✔ Gestió d’incidents
✔ Seguretat de la cadena de subministrament
✔ Continuïtat de negoci
✔ Gestió d’accessos
✔ Polítiques i procediments
✔ Evidències i traçabilitat
✔ Revisió i millora contínua
I aquí apareix un dels errors més habituals: Buscar una única eina que ho cobreixi tot.
No existeix.
La realitat sol assemblar-se més a un ecosistema de solucions que treballen juntes.
Gestió de dispositius (MDM)
No pots protegir allò que no coneixes. Abans de parlar de ciberseguretat hi ha una pregunta molt més bàsica:
Quins dispositius existeixen realment dins de la teva organització?
Un sistema MDM permet:
- Inventari d’equips
- Aplicació de polítiques
- Xifrat de dispositius
- Gestió remota
- Control de versions i actualitzacions
Exemples habituals:
- Microsoft Intune
- Jamf
- VMware Workspace ONE
- Kandji
- Factorial IT
Sense visibilitat, la resta es comença a construir sobre sorra.
Monitorització i detecció (SIEM)
Detectar un incident tard sol ser molt més car que prevenir-ho.
Les organitzacions generen milers o milions d’esdeveniments:
- accessos
- canvis
- errors
- activitat sospitosa
- esdeveniments de seguretat
Exemples habituals:
Protecció d’endpoints (EDR/XDR)
L’antivirus tradicional va deixar de ser suficient.
Avui el problema ja no és només bloquejar codi maliciós (malware).
La diferència real és a:
- detectar comportaments anòmals
- contenir atacs
- aïllar equips
- respondre ràpidament
Exemples:
Gestió d’identitats i privilegis (IAM/PAM)
Les credencials continuen sent una de les portes d’entrada principals per als incidents.
Això implica:
- MFA
- privilegis mínims
- revisions periòdiques
- gestió d’usuaris privilegiats
- control d’altes i baixes
Exemples:
Gestió de vulnerabilitats
Escanejar vulnerabilitats no és suficient.
També necessites:
- priorització
- assignació
- seguiment
- traçabilitat
Exemples:
Backup i recuperació
NIS2 parla explícitament de resiliència.
No n’hi ha prou amb tenir còpies de seguretat.
Cal respondre preguntes com:
- Quant triguem a recuperar?
- Què podem perdre?
- Provem les còpies?
- Hi ha un procediment documentat?
Exemples:
Gestió de tercers i cadena de subministrament
Un dels canvis més grans de NIS2 és que la seguretat ja no acaba a la teva empresa.
També arriba a:
- proveïdors
- partners
- subcontractistes
- serveis cloud
Exemples:
Formació i conscienciació
La tecnologia per si sola no elimina riscos.
Moltes incidències continuen tenint origen humà:
- phishing
- contrasenyes febles
- errors operatius
- males pràctiques
Exemples:
El problema menys visible
Moltes organitzacions sí que tenen eines:
✔ SIEM
✔ EDR
✔ MDM
✔ Backups
✔ Directori corporatiu
Però després:
- Els riscos viuen a Excel
- Les polítiques estan en carpetes compartides
- Els proveïdors es gestionen per correu
- Els incidents apareixen repartits entre tiquets i documents
- Les evidències estan disperses
I quan arriba una auditoria apareix sempre la mateixa pregunta: “On és l’evidència?”
Perquè el problema normalment no és la manca de ferramentes.
El problema sol ser la manca de govern.
La capa que normalment falta
Aquí és on una plataforma de govern i compliment aporta valor real.
A Ithikios treballem precisament aquesta capa:
✔ Gestió de riscos
✔ Gestió d’incidents
✔ Gestió de tercers
✔ Polítiques i procediments
✔ Trust Center
✔ Canal de denúncies
✔ Evidències i traçabilitat
Ithikios no pretén substituir eines especialitzades com un SIEM, un EDR o un MDM.
La seva funció és connectar peces disperses i convertir informació aïllada en processos executables i auditables. Perquè el repte real normalment no és tenir poques eines. És aconseguir que totes treballin juntes.
