Resiliencia digital y gestión de las amenazas en el tercer sector

Estamos de acuerdo en que la tecnología desempeña un papel fundamental en la prestación de servicios y apoyos en la labor de las entidades, sobre todo para el tercer sector. Por lo tanto, éste no puede quedarse atrás en la protección de sus contenidos y activos digitales. Las asociaciones sin ánimo de lucro están cada vez más expuestas a amenazas cibernéticas que pueden comprometer no solo sus operaciones, sino también la confianza de sus beneficiarios y financiadores.

Es aquí donde nace el concepto de la resiliencia digital que, junto con una adecuada gestión de amenazas, se convierten en elementos clave para la sostenibilidad del sector.

¿Qué entendemos por resiliencia digital?

La resiliencia digital es la capacidad de una organización para anticipar, resistir, recuperarse y adaptarse a incidentes que puedan afectar sus sistemas informáticos y procesos digitales. No se trata únicamente de contar con medidas de seguridad informática, sino de desarrollar una cultura organizativa que permita afrontar crisis tecnológicas sin que la misión de la entidad se vea comprometida.

Esto incluye aspectos como:

• Políticas de ciberseguridad claras y adaptadas a la realidad del sector.
• Concienciación y formación del personal.
• Sistemas de respaldo y recuperación ante desastres.
• Colaboración con otras entidades para compartir buenas prácticas.

El tercer sector: un blanco para los ciberdelincuentes

Aunque tradicionalmente se ha considerado que las organizaciones del tercer sector tienen menor riesgo de ser atacadas, la realidad actual muestra lo contrario. El incremento del uso de herramientas digitales para la gestión de donaciones, voluntariado, bases de datos sensibles y comunicación masiva ha hecho que estas entidades se conviertan en objetivos atractivos para los ciberdelincuentes.

Ataques de ransomware (secuestro o robo de datos), suplantación de identidad o interrupción de servicios esenciales son amenazas reales que pueden tener consecuencias devastadoras, tanto reputacionales como operativas.

NIS2: una oportunidad y un reto para fortalecer la ciberseguridad

En este contexto, la Directiva NIS2 (Network and Information Security Directive 2), aprobada por la Unión Europea en 2022, supone un avance significativo en la regulación de la ciberseguridad en Europa. Esta nueva directiva amplía el alcance de la original NIS (2016), incluyendo más sectores y aumentando los requisitos de seguridad para las organizaciones.

Objetivos principales de NIS2

1. Mejorar la preparación y resiliencia frente a incidentes cibernéticos.
2. Establecer obligaciones claras en materia de gestión de riesgos, notificación de incidentes y continuidad de negocio.
3. Fortalecer la cooperación entre los Estados miembros de la UE.
4. Ampliar la lista de sectores y entidades esenciales y relevantes que deben cumplir con requisitos específicos de ciberseguridad.

¿Cómo afecta NIS2 al tercer sector?

Aunque la directiva está orientada principalmente a operadores de servicios esenciales y sectores considerados críticos (salud, energía, transporte, servicios digitales, etc.), muchas entidades del tercer sector podrían verse indirectamente afectadas en los siguientes aspectos:

Prestación de servicios esenciales
Las organizaciones que colaboran con la administración pública o gestionan servicios clave (como atención social o sanitaria) pueden ser consideradas entidades relevantes bajo NIS2.

Contratistas y proveedores
Las entidades que trabajan con organismos obligados por NIS2 deberán demostrar buenas prácticas de ciberseguridad como parte de la cadena de suministro.

Financiación y transparencia
Se espera que los financiadores públicos y privados prioricen entidades con políticas sólidas de ciberseguridad y resiliencia digital.

Por tanto, aunque muchas ONG no estén directamente reguladas por NIS2, adoptar sus principios puede ser un valor añadido, tanto en términos de seguridad como de reputación institucional.

Construyendo una estrategia de resiliencia digital

Para hacer frente a este nuevo panorama, las entidades del tercer sector pueden adoptar una serie de medidas clave:

1. 1. Evaluar los riesgos digitales: como identificar los activos críticos, los posibles vectores de ataque y el impacto de una interrupción.
   2. Establecer un plan de ciberseguridad: qué políticas, controles técnicos, formación y respuestas debemos conocer para actuar ante incidentes.
   3. Capacitar al personal: la concienciación y la formación son las primeras líneas de defensa.
   4. Colaborar y aprender en red: participar en espacios de colaboración intersectorial puede fortalecer la capacidad de respuesta colectiva.
   5. Adoptar estándares reconocidos. Como el ENS (Esquema Nacional de Seguridad), ISO/IEC 27001 o las recomendaciones de NIS2, aunque no sean obligatorias.

Estas acciones marcarán el camino hacia un ecosistema más seguro y colaborativo. Incluso si no todas las entidades están directamente afectadas, alinearse con sus principios podría suponer una ventaja competitiva y una muestra de compromiso con la transparencia y la sostenibilidad.