Cuando una organización empieza a trabajar la adaptación a NIS2, una de las primeras preguntas suele ser:
«¿Qué software tengo que implantar?»
La pregunta parece lógica.
Pero en realidad es la pregunta equivocada. NIS2 no exige herramientas concretas. Exige capacidades organizativas y técnicas:
✔ Gestión del riesgo
✔ Gestión de incidentes
✔ Seguridad de la cadena de suministro
✔ Continuidad de negocio
✔ Gestión de accesos
✔ Políticas y procedimientos
✔ Evidencias y trazabilidad
✔ Revisión y mejora continua
Y aquí aparece uno de los errores más habituales: Buscar una única herramienta que lo cubra todo.
No existe.
La realidad suele parecerse más a un ecosistema de soluciones que trabajan juntas.
Gestión de dispositivos (MDM)
No puedes proteger lo que no conoces. Antes de hablar de ciberseguridad hay una pregunta mucho más básica:
¿Qué dispositivos existen realmente dentro de tu organización?
Un sistema MDM permite:
- Inventario de equipos
- Aplicación de políticas
- Cifrado de dispositivos
- Gestión remota
- Control de versiones y actualizaciones
Ejemplos habituales:
- Microsoft Intune
- Jamf
- VMware Workspace ONE
- Kandji
- Factorial IT
Sin visibilidad, el resto empieza a construirse sobre arena.
Monitorización y detección (SIEM)
Detectar un incidente tarde suele ser mucho más caro que prevenirlo.
Las organizaciones generan miles o millones de eventos:
- accesos
- cambios
- errores
- actividad sospechosa
- eventos de seguridad
Ejemplos habituales:
Protección de endpoints (EDR/XDR)
El antivirus tradicional dejó de ser suficiente.
Hoy el problema ya no es únicamente bloquear malware.
La diferencia real está en:
- detectar comportamientos anómalos
- contener ataques
- aislar equipos
- responder rápidamente
Ejemplos:
Gestión de identidades y privilegios (IAM / PAM)
Las credenciales siguen siendo una de las principales puertas de entrada para los incidentes.
Esto implica:
- MFA
- privilegios mínimos
- revisiones periódicas
- gestión de usuarios privilegiados
- control de altas y bajas
Ejemplos:
Gestión de vulnerabilidades
Escanear vulnerabilidades no es suficiente.
También necesitas:
- priorización
- asignación
- seguimiento
- trazabilidad
Ejemplos:
Backup y recuperación
NIS2 habla explícitamente de resiliencia.
No basta con tener copias de seguridad.
Hay que responder preguntas como:
- ¿Cuánto tardamos en recuperar?
- ¿Qué podemos perder?
- ¿Probamos las copias?
- ¿Existe un procedimiento documentado?
Ejemplos:
Gestión de terceros y cadena de suministro
Uno de los mayores cambios de NIS2 es que la seguridad ya no termina en tu empresa.
También alcanza a:
- proveedores
- partners
- subcontratistas
- servicios cloud
Ejemplos:
Formación y concienciación
La tecnología por sí sola no elimina riesgos.
Muchas incidencias siguen teniendo origen humano:
- phishing
- contraseñas débiles
- errores operativos
- malas prácticas
Ejemplos:
El problema menos visible
Muchas organizaciones sí tienen herramientas:
✔ SIEM
✔ EDR
✔ MDM
✔ Backups
✔ Directorio corporativo
Pero luego:
- Los riesgos viven en Excel
- Las políticas están en carpetas compartidas
- Los proveedores se gestionan por correo
- Los incidentes aparecen repartidos entre tickets y documentos
- Las evidencias están dispersas
Y cuando llega una auditoría aparece siempre la misma pregunta: «¿Dónde está la evidencia?»
Porque el problema normalmente no es la falta de herramientas.
El problema suele ser la falta de gobierno.
La capa que normalmente falta
Aquí es donde una plataforma de gobierno y cumplimiento aporta valor real.
En Ithikios trabajamos precisamente esa capa:
✔ Gestión de riesgos
✔ Gestión de incidentes
✔ Gestión de terceros
✔ Políticas y procedimientos
✔ Trust Center
✔ Canal de denuncias
✔ Evidencias y trazabilidad
Ithikios no pretende sustituir a herramientas especializadas como un SIEM, un EDR o un MDM.
Su función es conectar piezas dispersas y convertir información aislada en procesos ejecutables y auditables. Porque el reto real normalmente no es tener pocas herramientas. Es conseguir que todas trabajen juntas.
