Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

BT e Illumio: Simplificando el cumplimiento de DORA

Maritza Marie Dubec
Gerente Senior de Marketing de Contenidos
Illumio Editorial
18de octubre de 2024
23 min. leer

Los ciberataques a las instituciones financieras europeas se duplicaron en 2023 , un claro recordatorio de cómo están creciendo los riesgos en el sector. Este aumento deja en claro que la Ley de Resiliencia Operativa Digital (DORA) no solo es importante, sino que es crucial para ayudar a las compañías financieras a defender de las amenazas y recuperar rápidamente.

En un seminario sitio web reciente, Raghu Nandakumara, Director Senior de Marketing de Soluciones Industriales de Illumio, y Justin Craigon, Especialista Senior en Consultoría de BT, compartieron su experiencia en la gestión de riesgos de TIC y la preparación para la fecha límite del 17de enero de 2025de DORA.

Los servicios financieros lideran el camino

"La industria bancaria siempre estuvo a la vanguardia de la seguridad. Leyes como NIS2 y DORA están impulsando el cambio y fortaleciendo las defensas", dice Justin.

Sin embargo, la mentalidad está cambiando. Las compañías están reconociendo que ocurrirán infracciones. El enfoque ahora es: "Cuando los atacantes entran, ¿qué necesito proteger más?" Priorizar los activos críticos es clave para limitar el daño.

"Los días de la defensa perimetral tradicional se fueron. El perímetro cambió y ya no es una simple burbuja que puedes dibujar". – Justin Craigon, BT

Los ataques recientes demuestran la necesidad de resiliencia

Incluso los bancos más grandes del mundo no son inmunes. ICBC fue víctima dos veces: en noviembre de 2023 y nuevamente en octubre de 2024. "Te golpearán en algún momento", afirma Justin. El objetivo no es solo detener cada ataque, sino controlar el daño cuando ocurre.

Raghu agrega que la industria de servicios financieros está tan interconectada que una violación en una organización puede tener un impacto global. "Cuando una organización se ve afectada, puede crear un efecto dominó, extender a través de las fronteras y perturbando los mercados. Eso es lo que DORA está diseñado para prevenir".

De la prevención a la resiliencia

Las compañías deben aceptar que los ataques son inevitables y planear en consecuencia.

"Como demostró ICBC, si te golpean una vez, no significa que no volverás a ser un objetivo", dice Raghu.

El cambio es hacia la resiliencia. "La prevención ya no es suficiente", enfatiza Justin. Las compañías necesitan planes estables de respuesta a incidentes. Recuperar rápidamente es tan crucial como detener el ataque en sí.

Los 5 pilares del cumplimiento de DORA

Para cumplir con DORA, las organizaciones deben centrar en estas cinco áreas clave:

  • Gestión de riesgos: "Se trata de estar listo para cualquier cosa", dice Justin. Los planes de crisis claros son esenciales.
  • Gestión de incidentes: Cuando ocurre un ataque, contenerlo rápidamente limita el daño a los sistemas críticos.
  • Pruebas de resiliencia: "No solo espere estar a salvo, pruebe sus sistemas", aconseja Justin. Las pruebas periódicas encuentran debilidades antes de que lo hagan los atacantes.
  • Resiliencia operativa: Proteja las partes más importantes de su negocio. "No puedes detener todo, pero puedes minimizar el daño", señala Justin.
  • Reporte de incidentes: Sea transparente sobre los incidentes mientras protege la información confidencial.  
Los cinco pilares de DORA

Cómo DORA limita el daño

"DORA ayuda a limitar el daño de una violación a través de correcciones técnicas y políticas", explica Justin. Empuja a las compañías a adoptar estándares técnicos y mejores prácticas, reduciendo el impacto de los ataques.

"Es como cerrar las puertas del mamparo de un submarino para evitar que el agua se propague". El objetivo es contener el ataque, detener el movimiento lateral y evitar que los problemas de la cadena de suministro lo afecten a usted y a sus clientes.

Priorizar lo que importa

DORA enfatiza la proporcionalidad. "No se espera que protejas todo", dice Raghu. DORA permite a las compañías priorizar lo que importa en lugar de exigirles que distribuyan demasiado los recursos.

Justin está de acuerdo: "No es como otros marcos en los que apruebas o fallas. Se trata de priorizar. Tienes que saber dónde están tus funciones críticas". DORA ayuda a las compañías a emplear sus recursos de manera inteligente.

Gestión de los riesgos de la cadena de suministro

El riesgo de la cadena de suministro es otra preocupación importante que aborda DORA. Las compañías dependen de proveedores externos, que pueden convertir en eslabones débiles. "Si su proveedor se ve afectado, eso también puede afectarlo", advierte Justin. Son necesarios controles regulares y gestión de proveedores críticos.

Un riesgo clave es la dependencia excesiva de un solo proveedor. "Si todos tus huevos están en una canasta, estás buscando problemas", dice Justin. Las compañías deben distribuir sus riesgos mediante el uso de múltiples proveedores.

Probando defensas

Las pruebas periódicas revelan vulnerabilidades en las defensas de una compañía. "Asuma una infracción, actúe como si los atacantes ya estuvieran adentro y vea hasta dónde pueden llegar", aconseja Justin. Estas pruebas resaltan posibles debilidades.

En un caso, el equipo de penetración de BT superó 400 de los 800 servidores debido a una mala segmentación. Las pruebas periódicas aumentan la conciencia y fortalecen las defensas, lo que ayuda a detener el movimiento lateral y la propagación de los ataques.

Responsabilidad en la cima

DORA se cerciora de que la responsabilidad de la resiliencia no solo recaiga en los equipos de TI. DORA hace de la resiliencia una responsabilidad a nivel de la junta.

"Al final del día, la junta es responsable de mantener el negocio en funcionamiento", explica Justin.

Este enfoque de arriba hacia abajo garantiza que la resiliencia se integre en la estrategia comercial general. Con la junta involucrada, la resiliencia se convierte en un elemento central de las operaciones, no solo en una casilla de verificación de cumplimiento.

Puntos clave para el cumplimiento de DORA

Para cumplir con los requisitos de DORA, las compañías deben:

  • Proteger sus funciones más críticas enfocando los recursos en lo que más importa.
  • Pruebe de manera regular los sistemas para encontrar y corregir debilidades.
  • Gestione los riesgos de la cadena de suministro verificando de manera regular a los proveedores externos.
  • Involucre a la junta en la planeación de la resiliencia para alinear con los objetivos comerciales.
"No se trata de si ocurrirá un ataque cibernético, sino de cuándo. Las compañías deben estar preparadas para mantener fuertes y operativas cuando llegue ese momento". – Raghu Nandakumara, Illumio

Dando forma al futuro de la ciberseguridad

DORA está remodelando la forma en que las instituciones financieras y sus proveedores piensan sobre la seguridad. En lugar de centrar solo en la prevención, DORA fomenta la resiliencia. Al proteger los sistemas clave, probar las defensas y gestionar los riesgos de la cadena de suministro, las compañías financieras pueden estar preparadas para la próxima amenaza cibernética.

Mira el Seminario sitio web completo a pedido para obtener más información sobre cómo DORA está impulsando el cambio en el sector financiero.

¿Quiere profundizar en el cumplimiento de DORA? Descargue nuestro libro electrónico, Estrategias para el cumplimiento de DORA: el papel clave de la microsegmentación. Descubra cómo la microsegmentación puede cambiar las reglas del juego para la seguridad de su organización. Obtenga su copia gratis ahora.

Portada del libro electrónico DORA de Illumio

Temas relacionados

Compliance

Artículos relacionados

Resiliencia cibernética: la principal prioridad de seguridad del sector bancario
Cyber Resilience

Resiliencia cibernética: la principal prioridad de seguridad del sector bancario

En este discurso de diciembre de 2021, Bo Li, subdirector gerente del Fondo Monetario Internacional (FMI), reforzó cómo la tecnología digital impregna todos los aspectos de la sociedad, aumentando nuestra dependencia de la interconectividad y de las redes que la respaldan.

Read more
5 consejos de confianza cero del estratega jefe de seguridad de Cylera
Cyber Resilience

5 consejos de confianza cero del estratega jefe de seguridad de Cylera

Obtenga más información sobre la seguridad de HIoT y OT médica y cómo puede apuntalar mejor las operaciones de atención médica con Zero Trust.

Read more
8 preguntas que los CISO deberían hacer sobre la IA
Cyber Resilience

8 preguntas que los CISO deberían hacer sobre la IA

Descubra ocho preguntas que los CISOS deben tener en cuenta a la hora de proteger sus organizaciones de los ataques de ransomware asistidos por IA.

Read more
Illumio y WWT se asocian para guiar su viaje de confianza cero
Socios e integraciones

Illumio y WWT se asocian para guiar su viaje de confianza cero

Descubra cómo la asociación de Illumio y WWT facilita a las organizaciones obtener los beneficios de la segmentación de confianza cero y lograr sus objetivos.

Read more
Cómo lograr el cumplimiento de DORA con Illumio
Cyber Resilience

Cómo lograr el cumplimiento de DORA con Illumio

Conozca las tres herramientas disponibles en la plataforma de segmentación de confianza cero (ZTS) de Illumio que lo ayudarán a desarrollar el cumplimiento de DORA.

Read more
Preparación para DORA: Perspectivas de 2 expertos en cumplimiento de ciberseguridad
Cyber Resilience

Preparación para DORA: Perspectivas de 2 expertos en cumplimiento de ciberseguridad

Obtenga información de Tristan Morgan, director general de ciberseguridad de BT, y Mark Hendry, socio de servicios digitales de Evelyn Socios, sobre cómo navegar por el cumplimiento de DORA.

Read more

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Learn more