Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe

¿Experimentó una violación?

|
Contáctenos
|
+1 855 426 3983
Blog
/
Ciberresiliencia

BT e Illumio: simplificación del cumplimiento de DORA

Maritza Marie Dubec
,
Gerente Senior de Marketing de Contenidos
October 18, 2024
23 min. lectura

Ciberataques a instituciones financieras europeas se duplicó en 2023 — un duro recordatorio de cómo están creciendo los riesgos en el sector. Esta oleada deja claro que la Ley de Resiliencia Operacional Digital (DORA) no solo es importante, sino que es crucial para ayudar a las empresas financieras a defenderse de las amenazas y recuperarse rápidamente.

En un seminario web reciente, Raghu Nandakumara, Director Senior de Marketing de Soluciones Industriales de Illumino, y Justin Craigon, Especialista Senior en Consultoría de BT, compartieron su experiencia en la gestión de riesgos de TIC y la preparación para la fecha límite del 17 de enero de 2025 de DORA.

Los servicios financieros lideran el camino

“La industria bancaria siempre ha estado a la vanguardia de la seguridad. Legislación como NIS2 y DORA están impulsando el cambio y fortaleciendo las defensas”, dice Justin.

Sin embargo, la mentalidad está cambiando. Las empresas están reconociendo que las brechas ocurrirán. El enfoque ahora es: “Cuando los atacantes se meten, ¿qué es lo que más necesito para proteger?” Priorizar los activos críticos es clave para limitar el daño.

“Se acabaron los días de la defensa perimetral tradicional. El perímetro se ha desplazado, y ya no es una simple burbuja que puedas dibujar”. — Justin Craiton, BT

Los ataques recientes demuestran la necesidad de resiliencia

Ni siquiera los bancos más grandes del mundo son inmunes. ICBC cayó víctima dos veces — en noviembre de 2023 y nuevamente en octubre de 2024. “Te golpearán en algún momento”, afirma Justin. El objetivo no es solo detener cada ataque sino controlar el daño cuando ocurre.

Raghu agrega que el industria de servicios financieros está tan interconectado que una violación en una organización puede tener un impacto global. “Cuando una organización se ve afectada, puede crear un efecto de onda, extendiéndose a través de las fronteras e interrumpiendo los mercados. Eso es lo que DORA está diseñada para prevenir”.

De la prevención a la resiliencia

Las empresas deben aceptar que los ataques son inevitables y planificar en consecuencia.

“Como mostró ICBC, si te golpean una vez, no significa que no volverás a ser un objetivo”, dice Raghu.

El cambio es hacia resiliencia. “La prevención ya no es suficiente”, enfatiza Justin. Las empresas necesitan planes sólidos de respuesta ante incidentes. Recuperarse rápidamente es tan crucial como detener el ataque en sí.

Los 5 pilares del cumplimiento de DORA

Para cumplir con DORA, las organizaciones deben centrarse en estas cinco áreas clave:

  • Administración de Riesgos: “Se trata de estar listo para cualquier cosa”, dice Justin. Los planes claros de crisis son esenciales.
  • Administración de incidentes: Cuando ocurre un ataque, contenerlo limita rápidamente el daño a los sistemas críticos.
  • Pruebas de resiliencia: “No solo espere que esté seguro, pruebe sus sistemas”, aconseja Justin. Las pruebas regulares encuentran debilidades antes que los atacantes.
  • Resiliencia operacional: Proteja las partes más importantes de su negocio. “No se puede detener todo, pero se puede minimizar el daño”, señala Justin.
  • Reporte de incidentes: Sea transparente sobre los incidentes mientras protege la información confidencial.
The five pillars of DORA

Cómo DORA limita el daño

“DORA ayuda a limitar el daño de una brecha a través de correcciones técnicas y políticas.,” Justin explica. Esto empuja a las empresas a adoptar estándares técnicos y mejores prácticas, reduciendo el impacto de los ataques.

“Es como cerrar las puertas del mamparo en un submarino para evitar que el agua se extienda”. El objetivo es contener el ataque, detener el movimiento lateral y evitar que los problemas de la cadena de suministro afecten a usted y a sus clientes.

Priorizar lo que importa

DORA enfatiza la proporcionalidad. “No se espera que protejas todo”, dice Raghu. DORA permite a las empresas priorizar lo que importa en lugar de exigirles que distribuyan los recursos demasiado.

Justin está de acuerdo: “No es como otros marcos donde o pasas o fallas. Se trata de priorizar. Tiene que saber dónde están sus funciones críticas”. DORA ayuda a las empresas a utilizar sus recursos sabiamente.

Administración de los riesgos de la cadena de suministro

Riesgo de la cadena de suministro es otra de las principales preocupaciones que DORA aborda. Las empresas dependen de proveedores externos, que pueden convertirse en eslabones débiles. “Si su proveedor se ve afectado, eso también puede impactar a usted, advierte Justin. Son necesarias comprobaciones y administración periódicas de los proveedores críticos.

Un riesgo clave es la dependencia excesiva de un solo proveedor. Si todos tus huevos están en una canasta, estás pidiendo problemas”, dice Justin. Las empresas deben distribuir sus riesgos mediante el uso de múltiples proveedores.

Prueba de defensas

Las pruebas periódicas revelan vulnerabilidades en las defensas de una empresa. Suponga una brecha: actúe como si los atacantes ya estuviesen dentro y vea qué tan lejos pueden llegar, Justin aconseja. Estas pruebas ponen de manifiesto posibles debilidades.

En un caso, el equipo de penetración de BT violó 400 de 800 servidores debido a la mala segmentación. Las pruebas regulares concientizan y fortalecen las defensas, ayudando a detener el movimiento lateral y la propagación de ataques.

Rendición de cuentas en la cima

DORA se asegura de que la responsabilidad de la resiliencia no recae únicamente en los equipos de TI. DORA hace de la resiliencia una responsabilidad a nivel de la junta directiva.

“Al final del día, la junta es responsable de mantener el negocio en marcha”, explica Justin.

Este enfoque de arriba hacia abajo asegura que la resiliencia se integre en la estrategia general del negocio. Con la placa involucrada, la resiliencia se vuelve central para las operaciones, no solo una casilla de verificación de cumplimiento de normas.

Pasos clave para el cumplimiento de DORA

Para cumplir con los requisitos de DORA, las empresas deben:

  • Proteger sus funciones más críticas enfocando los recursos en lo que más importa.
  • Comprobación periódica de los sistemas para encontrar y corregir debilidades.
  • Administrar los riesgos de la cadena de suministro verificando periódicamente a proveedores externos.
  • Involucrar a la junta en la planificación de resiliencia para alinearse con los objetivos del negocio.
“No se trata de si va a ocurrir un ciberataque, sino de cuándo. Las empresas deben estar preparadas para mantenerse fuertes y operativas cuando llegue ese momento”. — Raghu Nandakumara, Illumio

Dando forma al futuro de la ciberseguridad

DORA está reconfigurando la forma en que las instituciones financieras y sus proveedores piensan sobre la seguridad. En lugar de centrarse únicamente en la prevención, DORA fomenta la resiliencia. Al proteger sistemas clave, probar defensas y administrar los riesgos de la cadena de suministro, las empresas financieras pueden estar preparadas para la próxima amenaza cibernética.

Ver el seminario web completo bajo demanda para más información sobre cómo DORA está impulsando el cambio en el sector financiero.

¿Busca profundizar en el cumplimiento de DORA? Descargue nuestro eBook, Estrategias para el cumplimiento de DORA: El papel clave de la microsegmentación. Descubra cómo la microsegmentación puede ser un punto de cambio para la seguridad de su organización. Obtenga su copia gratuita ahora.

Illumio's DORA ebook cover

Temas relacionados

Cumplimiento de normas

Artículos relacionados

Nuestras historias favoritas de Zero Trust de febrero de 2024
Ciberresiliencia

Nuestras historias favoritas de Zero Trust de febrero de 2024

Obtenga algunos de los puntos de datos, preguntas y respuestas e historias sobre el progreso de sus iniciativas Zero Trust que nos parecieron más perspicaces este mes.

Leer más
Los dispositivos médicos conectados: la principal vulnerabilidad de ciberseguridad de la atención médica
Ciberresiliencia

Los dispositivos médicos conectados: la principal vulnerabilidad de ciberseguridad de la atención médica

Averíguese sobre las problemas de seguridad de dispositivos médicos IoT conectados y cómo resolver con la Segmentación de confianza cero.

Leer más
La historia y los desafíos de los firewalls de próxima generación
Ciberresiliencia

La historia y los desafíos de los firewalls de próxima generación

Conozca el ímpetu de los firewalls de próxima generación (NGFW), sus desafíos con la complejidad y la posible innovación futura.

Leer más
Illumio y WWT se asocian para guiar su viaje de confianza cero
Asociados de negocios e integraciones

Illumio y WWT se asocian para guiar su viaje de confianza cero

Descubra cómo la asociación de Illumio y WWT facilita a las organizaciones obtener los beneficios de la Segmentación de Confianza Cero y lograr sus objetivos.

Leer más
Cómo lograr el cumplimiento de DORA con Illumio
Ciberresiliencia

Cómo lograr el cumplimiento de DORA con Illumio

Conozca las tres herramientas disponibles en la Plataforma de Segmentación de Confianza Cero (ZTS) de Illumio que le ayudarán a desarrollar el cumplimiento de DORA.

Leer más
Preparación para DORA: Perspectivas de 2 Expertos en Cumplimiento de Normas de Ciberseguridad
Ciberresiliencia

Preparación para DORA: Perspectivas de 2 Expertos en Cumplimiento de Normas de Ciberseguridad

Obtenga información de Tristan Morgan, director gerente de ciberseguridad de BT, y Mark Hendry, socio de servicios digitales en Evelyn Partners, sobre cómo navegar por el cumplimiento de DORA.

Leer más

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información