Garantizando que su infraestructura en la nube y de red cumpla con los estándares de cumplimiento DORA

La Ley de Resiliencia Operativa Digital (DORA) marca un cambio importante en la forma en que el sector financiero europeo gestiona el riesgo tecnológico. En lugar de centrarse solo en la solvencia, DORA hace énfasis en mantener los servicios digitales funcionando sin problemas. Para las organizaciones empresariales, esto significa que cada parte de la pila tecnológica, especialmente la infraestructura de red que conecta entornos cloud y centros de datos, debe revisarse con la resiliencia operativa y la seguridad en mente.

Con este nuevo marco, las instituciones financieras son, en última instancia, responsables de su resiliencia digital, incluso mientras dependen de una red más compleja de proveedores de servicios TIC de terceros. Para gestionarlo, los equipos de TI y de cumplimiento deben pasar de la seguridad reactiva a la creación de sistemas en los que la resiliencia se incorpore desde el principio.

Los pilares fundamentales del cumplimiento de DORA

DORA exige que las organizaciones financieras cuenten con una estrategia completa para gestionar los riesgos de TIC. Esta estrategia debe abordar cinco áreas principales: gestión del riesgo de TIC, notificación de incidentes, pruebas de resiliencia operativa, gestión del riesgo de terceros e intercambio de información.

Desde el punto de vista de la infraestructura, la normativa indica que las organizaciones deben tratar a sus proveedores de red y cloud como partes esenciales de la prestación del servicio. Los equipos de TI deben asegurarse de que los proveedores vayan más allá de solo ofrecer un acuerdo de nivel de servicio y también proporcionen información clara sobre cómo se construyen, gestionan y aseguran sus sistemas.

Seguridad por diseño en la infraestructura de red

Para construir seguridad por diseño, empieza por elegir plataformas de infraestructura que sigan estándares bien conocidos de la industria. Al revisar a un proveedor de red, los equipos de TI deberían buscar señales de un enfoque “nacido en la nube” o “security-first”. Esto muestra que la plataforma se construyó para funcionar en entornos de alto riesgo y con regulación estricta.

Los indicadores clave de un enfoque de seguridad por diseño incluyen:

• Gobernanza de identidad y acceso: Los proveedores deben contar con funciones sólidas de gestión de identidad y acceso (IAM), como autenticación multifactor (MFA), control de acceso basado en roles detallado (RBAC) y control de acceso basado en políticas (PBAC). Esto ayuda a garantizar que solo las personas autorizadas puedan cambiar configuraciones importantes de red.

• Conectividad cifrada: La seguridad por diseño significa que los datos deben protegerse tanto al transportarse como cuando se almacenan. Los proveedores de red deberían facilitar el uso del cifrado en configuraciones multi-cloud e híbridas sin complicar más las operaciones.

• Validación independiente: Las afirmaciones de seguridad deben respaldarse con auditorías de terceros. Certificaciones como SOC 2 Type II, que cubren la seguridad, la disponibilidad y la confidencialidad, son estándares importantes. Estos informes brindan la evidencia necesaria para la debida diligencia requerida por DORA.

Construir para la resiliencia operativa

La resiliencia operativa significa que una empresa puede manejar, responder y recuperarse de problemas tecnológicos. Para DORA, esto significa que la red no debe tener un único punto de falla. Una configuración resiliente suele estar distribuida, de modo que si una parte falla, el tráfico se redirige para mantener los servicios en funcionamiento.

Los equipos de TI deberían elegir proveedores que se enfoquen en alta disponibilidad como parte clave de sus servicios. Esto significa contar con monitoreo constante y alertas para detectar problemas temprano. El proveedor también debe tener un plan de respuesta a incidentes claro y probado. DORA exige que las instituciones financieras informen rápidamente a los reguladores los principales incidentes TIC, por lo que el proveedor de red debe poder suministrar los datos y registros necesarios para una investigación y notificación rápidas.

Gestionar el riesgo de terceros y la supervisión

Un desafío importante con DORA es la supervisión adicional de los proveedores de terceros. Las organizaciones financieras ahora deben incluir términos contractuales claros sobre la supervisión y los derechos de auditoría. Esta necesidad de transparencia puede ser difícil para algunos proveedores tradicionales de tecnología.

Al elegir un socio de infraestructura, las organizaciones deberían seleccionar proveedores con procesos claros para gestionar preguntas de cumplimiento. Esto significa que pueden compartir políticas de seguridad, procedimientos operativos y evidencia de pruebas de penetración periódicas bajo acuerdos de no divulgación. El proveedor debe actuar como un socio, ayudando al cliente a cumplir los requisitos regulatorios, no solo a proporcionar un servicio técnico.

El rol de Infrastructure-as-a-Service (IaaS)

A medida que las instituciones financieras actualizan sus redes, muchas optan por modelos de Infrastructure-as-a-Service (IaaS) para gestionar la complejidad de los entornos multi-cloud. Estas plataformas conectan centros de datos on-premises con diferentes proveedores de servicios cloud, actuando como el hub central del sistema.

Para cumplir con los requisitos de DORA, una plataforma IaaS debe demostrar que no crea nuevos riesgos. Debe construirse sobre una infraestructura cloud bien conocida que ya cumpla con estándares sólidos de seguridad. Usar un modelo IaaS resiliente ayuda a los equipos de TI a ver toda su red con claridad, haciendo más fácil la gestión del riesgo y el cumplimiento.

Pasos prácticos para equipos de TI

Para prepararse para DORA, los equipos de TI y de gestión de riesgos deben tomar estos pasos prácticos con sus proveedores de red:

2. Realizar una debida diligencia integral: Verifique proveedores actuales y potenciales para asegurarse de que cumplen las reglas de DORA para controles de seguridad, respuesta a incidentes y pruebas de resiliencia.

3. Auditar los arreglos contractuales: Asegúrese de que los contratos establezcan claramente los derechos de auditoría, los niveles de servicio y el deber del proveedor de ayudar durante una investigación regulatoria.

4. Evaluar la estrategia multi-cloud: Compruebe si la configuración actual de su red le permite mover cargas de trabajo rápidamente entre proveedores cloud si uno se cae.

5. Establecer líneas de reporte claras: Defina cómo se comunicará el proveedor de red durante un incidente y qué información proporcionará para respaldar sus necesidades de reporte.

De cara al futuro

DORA es un proceso operativo continuo, no un proyecto único. A medida que cambian las regulaciones, la necesidad de resiliencia operativa solo crecerá. Las instituciones financieras que se enfocan en seguridad por diseño y eligen socios de infraestructura que valoran la transparencia y la confiabilidad estarán mejor preparadas para estos cambios.

Al final, la resiliencia es algo que todos comparten. La organización financiera sigue siendo responsable ante el regulador, pero su éxito en el cumplimiento depende de sus proveedores de tecnología. Al elegir proveedores que vean el cumplimiento como una parte clave de su diseño, las organizaciones pueden construir una base digital que cumpla con DORA y respalde el futuro de las finanzas digitales.