Preparándose para la Ley de Resiliencia Operativa Digital (DORA) de la UE
Los responsables políticos europeos están cada vez más preocupados por los ciberataques a la infraestructura digital crítica de la región.
Para garantizar que el sector financiero pueda afrontar mejor las amenazas cambiantes, la UE ha elaborado el Reglamento sobre la Ley de Resiliencia Operativa Digital ( DORA ), que se aplicará a partir de enero de 2025.
El alcance de DORA es significativo y abarca más de 22.000 entidades financieras y sus proveedores de servicios TIC que operan dentro de la UE. También afectará a aquellos residentes fuera de la UE que interactúen con estas organizaciones.
En esencia, el cumplimiento de DORA es la base sobre la cual los actores del sector de servicios financieros pueden construir una estrategia de seguridad más sólida y holística que refleje los riesgos que deben afrontar.
Si bien la mayoría de los bancos han implementado desde hace mucho tiempo medidas de seguridad rigurosas, DORA está diseñado para reforzar las defensas en todo el ecosistema financiero al involucrar a actores más especializados, incluidas instituciones de crédito y pago, proveedores de servicios de criptoactivos, depositarios centrales de valores y empresas de calificación crediticia. Requiere que las entidades financieras minimizar el riesgo de corrupción o pérdida de datos, evitar acceso no autorizado y fallas técnicas que puedan obstaculizar la actividad empresarial y garantizar que sus sistemas de TIC permanezcan disponibles.
Garantizar el cumplimiento normativo
Para las entidades financieras, y de hecho para la mayoría de las demás empresas hoy en día, las aplicaciones y los datos son ahora una misión crítica. Proteger completamente estos activos con tecnología como un firewall de aplicação web (WAF) robusto es vital, tanto para cumplir con DORA como para garantizar operaciones continuas durante un ataque de denegación de servicio distribuido (DDoS) y otros ataques.
DORA también requiere que las entidades financieras detecten con prontitud actividades anómalas, incluidos problemas de rendimiento de la red de TIC e incidentes relacionados, así como la identificación de posibles puntos únicos de falla. En caso de un incidente grave, la entidad financiera debe notificar a los reguladores, clientes afectados y socios. Luego tendrán que informar sobre el progreso hacia la resolución del incidente y producir un informe final analizando las causas fundamentales.
Para cumplir con estos requisitos, las entidades financieras necesitan visibilidad completa del rendimiento y el estado de seguridad de sus aplicaciones. Aquí es donde la consola en nube distribuida F5 puede desempeñar un papel importante. Diseñado para proporcionar visibilidad consolidada de extremo a extremo de todo el patrimonio de aplicaciones, cumple la mayoría de los requisitos para el cumplimiento de la resiliencia digital de DORA.
La consola en nube distribuida F5 también ayuda con algunas de las demandas más matizadas de DORA. Por ejemplo, las entidades financieras deben probar sus herramientas, sistemas y procesos TIC al menos cada tres años mediante pruebas de penetración.
Hasta hace poco, este tipo de actividad era dominio de hackers “de sombrero blanco” expertos y a menudo costosos. Esto ya no es así y ahora es posible automatizar todo el proceso.
A principios de este año, F5 lanzó su solución Distributed Cloud Web App Scanning , que permite a las organizaciones monitorear continuamente Internet, repositorios públicos, servidores expuestos y otras fuentes para consolidar servicios de aplicaciones externas, datos y vulnerabilidades. Además de eso, también pueden realizar pruebas de penetración automatizadas, identificar vulnerabilidades potenciales, obtener evidencia de problemas y recibir orientación sobre soluciones para mejorar la seguridad y garantizar el cumplimiento.
Una mayor automatización significa que resulta más rentable ejecutar pruebas de penetración continuas, en lugar de proyecto por proyecto, para garantizar el lanzamiento oportuno de nuevos productos y servicios.
Diseño de seguridad en el parque de TIC
Todas las empresas deberían adoptar un enfoque holístico de la seguridad digital, en lugar de intentar implementar soluciones puntuales específicas para cumplir con DORA. La mayor automatización, posibilitada por los avances en IA, hace que sea mucho más fácil incorporar seguridad en el diseño, desarrollo e implementación de la infraestructura de TIC, los componentes, las aplicaciones y las interfaces de programación de aplicação (API) que las acompañan.
Las API, que hoy en día son esencialmente el sistema nervioso central de la economía digital, son particularmente importantes. Las organizaciones deben hacer todo lo posible para incorporar la detección de vulnerabilidades en los procesos de desarrollo de aplicação , garantizando que se identifiquen los riesgos y se implementen las políticas antes de que las API entren en producción.
Como respuesta directa a esta creciente necesidad, F5 Distributed Cloud Services ofrece la solución de seguridad de API preparada para IA más completa de la industria . Atrás quedaron los días en que las empresas se veían obligadas a utilizar distintos conjuntos de herramientas y capacidades para proteger sus API mientras se creaban y durante el tiempo de ejecución. F5 permite la detección y observabilidad de vulnerabilidades en el proceso de desarrollo de aplicação , garantizando que se identifiquen los riesgos y se implementen las políticas antes de que las API entren en producción. En un momento en que la seguridad de API nunca ha sido más importante o compleja, F5 está eliminando la necesidad de que los clientes paguen y administren soluciones de seguridad de API separadas. El descubrimiento de API, las pruebas, la gestión de la postura y la protección del tiempo de ejecución, todo en una sola plataforma, pueden ser una gran ventaja para anticipar las complejidades inminentes de DORA.
En última instancia, DORA no debería verse como un dolor de cabeza. Más bien, es una gran oportunidad para perfeccionar y reforzar las medidas de seguridad esenciales en todas las organizaciones. Sin embargo, es un viaje y es posible que algunos necesiten cambiar sus percepciones de lo que realmente significa la seguridad y cómo se articula.
Afortunadamente para todos los que enfrentan los desafíos futuros, F5 tiene muchas de las herramientas necesarias para cumplir con los requisitos de monitoreo e informes de DORA, sin mencionar la reducción sustancial de los riesgos de ataques cibernéticos paralizantes.