Editor en La Ecuación Digital. Consultor de Innovación y Estrategia…
La Ley de Resiliencia Operativa Digital, conocida como DORA por sus siglas en inglés, tiene el objetivo de fortalecer la seguridad en el sector financiero de la Unión Europea, frente a las crecientes amenazas en ciberseguridad. Desarrollada por distintos organismos supervisores de la Unión Europea -EIOPA, EBA y ESMA-, regula la resiliencia a nivel europeo, ampliando el perímetro de supervisión a todos los actores del sector financiero: bancos, instituciones de crédito, firmas de inversión, plataformas de pago y proveedores de servicios TIC de terceros, como proveedores de nube y de análisis de datos.
Las entidades financieras deben disponer de capacidades integrales que permitan una gestión sólida y eficaz de los riesgos de las TIC, así como de mecanismos y políticas específicos para gestionar todos los incidentes relacionados con las TIC y notificar aquellos incidentes importantes.
Programada para entrar en vigor el 17 de enero de 2025, DORA implica importantes consecuencias para las entidades financieras que no cumplan con sus disposiciones: se pueden imponer multas de hasta el 1% de sus ingresos medios anuales.
La regulación se centra en dos aspectos críticos: la concentración excesiva de datos y aplicaciones en la nube y la protección contra ciberamenazas, especialmente el ransomware. DORA busca mitigar el riesgo de depender demasiado de un solo proveedor de servicios en la nube, así como la vulnerabilidad ante ciberataques.
Implicaciones e impacto para los usuarios finales
Una de las principales ventajas de DORA radica en la creación de un entorno propicio para la colaboración y el intercambio de información entre entidades financieras, teniendo en cuenta el incremento de ciberataques. Este enfoque colaborativo fortalece la capacidad del sector para hacer frente a amenazas emergentes y proteger los datos de los clientes de manera más efectiva.
Para los usuarios finales, la implementación de esta ley resultará en una mayor transparencia y confianza en el sistema bancario europeo. Esta normativa busca mejorar la resiliencia de la Unión Europea frente a amenazas como el ransomware, garantizando un marco común de ciberresiliencia que resultará en un sistema bancario más sólido y datos más protegidos para los usuarios.
Retos y oportunidades en su adaptación
Adaptarse a DORA implica superar varios desafíos, más allá de desplegar simplemente las soluciones técnicas necesarias. El principal reto reside en comprender la normativa y establecer un plan de proyecto detallado que abarque desde la identificación de las tecnologías necesarias hasta la definición de roles y responsabilidades dentro de las compañías.
Este proceso de adaptación puede llevar desde unas pocas semanas hasta varios meses, dependiendo de la complejidad de la organización y los recursos disponibles. La proporcionalidad es un principio clave en este procedimiento y se espera que las empresas adapten la normativa de acuerdo con sus necesidades y capacidades específicas.
En España, las empresas están aún definiendo roles y responsabilidades relacionados con DORA. NetApp ha observado que muchas de ellas todavía están comenzando a designar responsables dentro de los equipos para garantizar el cumplimiento de la normativa. Este proceso involucra a múltiples departamentos, incluyendo equipos de seguridad, legal y áreas impactadas por las disposiciones de DORA.
Soluciones de NetApp para cumplir con DORA
Para que las compañías puedan cumplir con los requisitos de DORA, NetApp ofrece un amplio porfolio de productos y servicios, adaptado a las necesidades de la nueva norma.
Artículo 25, proveedores de servicios TIC
Uno de los aspectos más destacados de DORA es el Artículo 25, que se centra en los riesgos planteados por la dependencia de proveedores de servicios TIC de terceros, como los de nube. Este artículo proporciona pautas para reducir este riesgo, incluida la adopción de una estrategia de múltiples nubes y la planificación de la repatriación de datos.
Cloud Volumes
NetApp Cloud Volumes permite cumplir con los requisitos de DORA al ofrecer la capacidad de crear, replicar, hacer copias de seguridad, escanear, clasificar y segmentar datos en cualquier nube. Además, NetApp permite la reincorporación de cargas de trabajo en caso de fallo en la nube.
NetApp Astra
Simplifica la gestión de las cargas de trabajo en entornos de kubernetes híbridos y multinube. Astra ofrece la capacidad de proteger, mover y gestionar el almacenamiento persistente de las aplicaciones de manera eficiente, reduciendo el tiempo de inactividad y minimizando la pérdida de datos. Además, se escala según las necesidades del negocio, asegurando la continuidad operativa de las aplicaciones críticas.
Artículo 8, protección y prevención
Se centra en la protección y prevención de datos, incluyendo la implementación de las últimas herramientas y estándares para proteger los datos en tránsito y en reposo.
NetApp Cloud Data Sense
Con NetApp Cloud Data Sense, las empresas pueden analizar y mejorar los permisos de acceso a archivos, fortaleciendo así la seguridad de los datos. La clasificación del dato y entender dónde están los más sensibles y personales, es vital para una protegerlos de la manera adecuada.
NetApp ONTAP (fpolicy)
Utiliza el aprendizaje automático para identificar y prevenir ataques de ransomware sofisticados. Esto permite a las entidades financieras identificar patrones inusuales de acceso a datos y responder proactivamente para protegerlos.
Artículo 9, detección
Establece requisitos para disponer de mecanismos de detección de actividades anómalas y testearlos con frecuencia.
Las soluciones de NetApp son capaces de rastrear el comportamiento de los usuarios para identificar patrones de acceso a los datos. En caso de localizar un comportamiento anormal, responde de manera proactiva, negando el acceso a archivos y carpetas donde se encuentren actividades sospechosas. Igualmente, NetApp Snapshot™ garantiza que los datos no sean vulnerables a ataques de ransomware.
Artículo 10, respuesta y recuperación
El Artículo 10 de DORA aborda la respuesta y recuperación ante incidentes tecnológicos.
NetApp FlexClone y SnapRestore
Pueden restaurar rápidamente un volumen completo o archivos individuales de una copia instantánea ante el impacto de un ataque de ransomware, mientras que los servicios profesionales de NetApp pueden ayudar a desarrollar planes de continuidad del negocio y garantizar una recuperación eficiente.
Artículo 11, políticas de copias de seguridad y métodos de recuperación
El Artículo 11 de DORA especifica requisitos detallados para los métodos de copia de seguridad y recuperación de datos.
NetApp MetroCluster garantiza la continuidad del negocio mediante la replicación síncrona y la disponibilidad continua de datos críticos.