La Directiva (UE) 2022/2555, más conocida como NIS2, supone un avance significativo hacia el establecimiento de un nivel común de ciberseguridad en toda la Unión Europea. Esta directiva, que entró en vigor el 16 de enero de 2023, tiene por objeto reforzar la resiliencia de los servicios esenciales y de los proveedores de servicios digitales frente a las amenazas cibernéticas mediante la introducción de normas y prácticas de ciberseguridad coherentes.
El sector de la impresión, junto con muchos otros, entra dentro del ámbito de aplicación de la Directiva NIS2. Por lo tanto, las entidades del sector de la impresión deben comprender las implicaciones de la Directiva NIS2 y tomar las medidas necesarias para cumplir con las normas de seguridad. Antes del 17 de octubre de 2024, los Estados miembros deben adoptar y publicar las medidas esenciales para cumplir con la Directiva NIS2.
En este artículo se analizan los detalles de la Directiva NIS2 y sus implicaciones para los distribuidores y clientes de MyQ X.
Si es usted un cliente final de MyQ X, comente los requisitos y recomendaciones de la Directiva NIS2 con su proveedor o distribuidor de MyQ X. Los socios de MyQ están capacitados para ofrecer un soporte de primer nivel y le ayudarán a implementar las medidas necesarias.
Áreas principales de la Directiva NIS2
Gestión de riesgos y ciberseguridad
Adopte un enfoque de gestión de riesgos en materia de ciberseguridad. Esto incluye identificar y evaluar los riesgos para la red y los sistemas de información, implementar medidas para mitigar dichos riesgos y revisar periódicamente dichas medidas.
Asegúrese de que su servidor y el software asociado estén actualizados con los últimos parches de seguridad para mitigar las vulnerabilidades. Además, implemente y pruebe periódicamente planes de copia de seguridad y recuperación ante desastres para garantizar la disponibilidad e integridad de los datos. MyQ proporciona actualizaciones de parches para sus productos con regularidad. Se recomienda encarecidamente mantenerse informado, seguir estas actualizaciones y diseñar su estrategia y procedimiento de actualización con antelación. MyQ genera una Lista de Materiales de Software (SBOM) para cada versión, que puede obtenerse a través de su proveedor o distribuidor de MyQ, lo que permite a las organizaciones analizar los componentes utilizados en el software en busca de vulnerabilidades de seguridad.
La segmentación de la red es una herramienta esencial para implementar una política de Zero Trust en la práctica. Ofrece a las organizaciones formas de controlar sus redes con políticas de seguridad más granulares. Garantiza que, incluso si un atacante compromete una parte de la red, no pueda desplazarse lateralmente a otras áreas con facilidad. Sin embargo, las organizaciones con entornos segmentados se enfrentan a retos a la hora de hacer que la impresión esté fácilmente disponible.
Con MyQ X, las colas de impresión se pueden propagar en redes segmentadas mediante Mobile Print Agents, y los documentos alojados en la nube se pueden descargar y liberar inmediatamente desde la pantalla del dispositivo con Easy Print. La compatibilidad con Microsoft Universal Print o Application Proxy en el cliente móvil puede ayudar significativamente a las organizaciones a habilitar los servicios de impresión en todo su entorno, al tiempo que garantiza que el acceso a dichos recursos esté protegido.
Los certificados SSL para conexiones seguras ayudan a cumplir el requisito de NIS2 de transmisión segura de datos a través de las redes. MyQ X, de serie, viene con la comunicación segura habilitada gracias a la autoridad de certificación integrada. Las organizaciones que utilizan PKI empresarial pueden alcanzar un nivel aún mayor de seguridad en las comunicaciones proporcionando certificados personalizados directamente.
Siempre que sea posible, aplique TLS para la comunicación con otros sistemas. Proteja la conexión a Active Directory u otros directorios de usuarios con LDAPS. Asegúrese de que la transmisión de correo electrónico se realice a través de SMTPS y revise todos los ajustes de la página Red de MyQ X y de la pestaña Seguridad de Easy Config (por ejemplo, que el servidor web solo permita conexiones seguras).
MyQ también ofrece la posibilidad de cifrar bases de datos, escaneos y trabajos de impresión. El cifrado de datos es vital para garantizar la confidencialidad e integridad de la información sensible, lo cual es un aspecto clave del cumplimiento de la norma NIS2.
Para la comunicación entre dispositivos, es esencial implementar protocolos de comunicación que ofrezcan el máximo nivel de seguridad. Se recomienda encarecidamente utilizar SNMPv3 en lugar de v1 o v2(c) para supervisar y gestionar el estado y la funcionalidad de los dispositivos en una red.
Continuidad del negocio y gestión de crisis
Las organizaciones deben garantizar que sus operaciones puedan continuar en caso de una interrupción significativa.
Implemente servidores redundantes o sistemas de conmutación por error para garantizar que los servicios de impresión sigan estando disponibles durante un incidente. MyQ X permite la implementación de medidas de conmutación por error mediante varios métodos.
MyQ es compatible con la agrupación en clúster de conmutación por error de Windows Server para una alta disponibilidad, lo que garantiza que los servicios se transfieran automáticamente a un nodo de respaldo en caso de fallo.
Si se pierde la conexión con el servidor MyQ, la función de impresión de respaldo permite a los usuarios seguir imprimiendo a través de un dispositivo de respaldo. Desktop Client envía los trabajos de impresión directamente a un dispositivo de respaldo cuando la conectividad del servidor se interrumpe. Esto garantiza que las operaciones de impresión puedan continuar sin interrupciones durante las interrupciones del servidor, lo cual es crucial para mantener la continuidad del negocio. Del mismo modo, la función de cola de impresión en el dispositivo, compatible con determinados proveedores, puede combinarse con el inicio de sesión sin conexión para el funcionamiento sin conexión, lo que aumenta aún más el tiempo de actividad de los servicios de impresión.
Las copias de seguridad periódicas de la base de datos y la capacidad de restaurar los datos de MyQ cumplen con los requisitos de NIS2 para garantizar la disponibilidad y la resiliencia de los datos ante ciberataques o fallos del sistema. Las copias de seguridad de la base de datos y de los registros se pueden programar con MyQ X y realizarse automáticamente, incluidas las copias de seguridad de la base de datos SQL del Central Server.
Más información:
Modelo de acceso con privilegios mínimos
A los usuarios solo se les debe conceder el nivel mínimo de acceso o los permisos necesarios para realizar las operaciones requeridas.
NIS2 fomenta la segregación de funciones para evitar el acceso no autorizado a sistemas críticos.
Al asignar derechos específicos de acceso a la gestión del sistema y de usuarios, la gestión de trabajos, la generación de informes o los registros, es posible conceder a determinados usuarios acceso con privilegios elevados a áreas concretas del entorno MyQ, al tiempo que se limitan los derechos de acceso de los demás. Del mismo modo, los derechos se pueden asignar por servidor de sitio, de modo que los administradores de un servidor de sitio local no obtendrán acceso con privilegios elevados en otras ubicaciones y sucursales de la organización donde no sea deseable.
Cuando el administrador utiliza la gestión de usuarios basada en grupos (grupos de seguridad), puede reducir el número de pasos necesarios para configurar los derechos de acceso sin dejar de beneficiarse del aprovisionamiento y desaprovisionamiento de usuarios. Más información a continuación en la sección «Aprovisionamiento y desaprovisionamiento de usuarios».
Los permisos de acceso granulares deben aplicarse en toda la infraestructura de la organización, incluidos todos los componentes del ecosistema MyQ X. El acceso debe restringirse exclusivamente a los administradores y al personal autorizado, garantizando que solo aquellos con los privilegios adecuados puedan gestionar e interactuar con estos sistemas. Esto incluye dispositivos físicos, servidores físicos y su sistema operativo (Windows Server), servidores SQL, almacenamiento y más.
Más información:
Respuesta a incidentes y auditoría
Para gestionar incidentes, establezca y practique procedimientos con regularidad. En caso de actividad sospechosa, restrinja o suspenda el acceso del usuario para evitar daños mayores. La implementación adecuada de estas medidas puede mitigar el impacto de eventos inesperados.
Las capacidades de registro y auditoría de MyQ (MyQ Logs y MyQ Audit Log) pueden resultar extremadamente útiles para la respuesta a incidentes y su seguimiento. Estos registros ayudan a detectar, investigar y responder a actividades sospechosas, lo cual es un aspecto obligatorio de NIS2.
Los registros deben supervisarse con regularidad y deben habilitarse las notificaciones para los incidentes que la organización considere críticos. Para lograrlo, la utilidad Log Notifier integrada en MyQ X puede configurarse para supervisar los eventos en el entorno MyQ y se puede notificar al personal responsable para que tome medidas inmediatas. Las tareas programadas en ejecución (como la sincronización de usuarios, la detección de impresoras y otras) también pueden enviar avisos a contactos predeterminados. Los administradores también pueden configurar MyQ X para que envíe alertas automáticas cuando fallen los trabajos de impresión o se produzcan errores críticos.
La gestión de registros se puede centralizar exportando y procesando los registros a través del Registro de eventos de Windows, y se puede procesar posteriormente mediante sistemas SIEM cuando sea necesario. Asegúrese de que los periodos de conservación del historial, los registros y los registros de auditoría sean suficientes para sus necesidades. Esto se configura en Ajustes – Gestión del sistema.
Establecer acuerdos de nivel de servicio (SLA) sólidos es esencial para servicios gestionados como MyQ, especialmente bajo la normativa NIS2. Para garantizar tiempos de respuesta rápidos ante incidentes, las organizaciones deberían considerar optar por las ofertas de Soporte Premium.
Más información:
Autenticación segura
La autenticación segura garantiza que solo los usuarios autorizados accedan a los sistemas. La autenticación de dos factores (2FA) mejora esto al requerir dos tipos de credenciales, lo que aumenta significativamente la seguridad.
Los requisitos de contraseña y PIN, la autenticación de dos factores en los Embedded Terminals o el uso de «Iniciar sesión con Microsoft» en las interfaces web o en los Embedded Terminals (con el cliente móvil MyQ X) ofrecen alternativas para proteger el acceso al entorno MyQ X.
El cliente móvil MyQ X se puede configurar para que requiera verificación biométrica, lo que mejora aún más la seguridad de la cuenta de usuario de MyQ X al exigir un factor adicional durante la autenticación en los dispositivos.
La implementación de mecanismos de bloqueo de cuentas de usuario tras varios intentos fallidos de inicio de sesión mejora la seguridad y reduce el riesgo de ataques de fuerza bruta.
Más información:
Provisión y desprovisión de usuarios
El aprovisionamiento y el desaprovisionamiento garantizan que se deniegue inmediatamente el acceso de los usuarios al entorno MyQ tras su eliminación del directorio de usuarios de origen.
MyQ admite la sincronización automática y programada de usuarios con sistemas externos como LDAP, Microsoft Entra ID (antes Azure AD), Google Workspace y archivos CSV. Esto garantiza que los usuarios recién añadidos se importen automáticamente al entorno MyQ X sin necesidad de introducirlos manualmente. Al sincronizar regularmente los datos de los usuarios, MyQ X ayuda a mantener una lista actualizada de usuarios con los derechos de acceso correctos, lo que reduce el riesgo de accesos no autorizados.
La gestión basada en grupos y el uso de grupos de seguridad en el directorio de usuarios de origen pueden ayudar a asignar y retirar automáticamente el acceso a partes del entorno MyQ X para los usuarios recién provisionados o eliminados.
MyQ X ofrece una función de registro automático, que permite a los usuarios registrarse por sí mismos enviando trabajos de impresión, pasando una tarjeta de identificación o creando una cuenta a través de la interfaz web. Esta función resulta especialmente útil en entornos con usuarios externos frecuentes, como empleados invitados. Se puede proporcionar a los usuarios del sistema un PIN temporal que caduca tras el periodo establecido, lo que garantiza que el acceso se revoque automáticamente una vez que el usuario ya no lo necesite.
MyQ admite la anonimización de los datos de los usuarios para cumplir con la normativa de privacidad. Este proceso elimina de forma irreversible todos los identificadores personales, lo que hace que las cuentas de usuario sean inutilizables e imposibles de rastrear, al tiempo que permite la generación de informes y la auditoría del sistema sin comprometer la privacidad.
Más información:
Concienciación y formación
NIS2 hace hincapié en la necesidad de sensibilizar y formar al personal sobre las prácticas de ciberseguridad.
Se recomienda impartir sesiones de formación al personal de TI y a los administradores sobre la gestión segura del entorno MyQ X, haciendo hincapié en el cumplimiento de NIS2. La mejor opción es consultar la gestión del ecosistema MyQ X con su proveedor o distribuidor. Los socios de MyQ están capacitados para proporcionar un soporte de la más alta calidad.
Además, deben desarrollarse programas de sensibilización para ayudar a los usuarios finales a identificar amenazas e instruirlos sobre el uso del ecosistema MyQ X, así como sobre los pasos a seguir en caso de incidentes de seguridad y de otro tipo.
Documento técnico sobre seguridad e implementación segura
Para obtener más información sobre cómo alcanzar los mejores estándares de seguridad con MyQ X, consulte el resto de esta guía, que trata sobre la seguridadde MyQ X.
Actualizado el 16/9/2024