¿Has sufrido una brecha de seguridad?
|
Soporte
|
Contáctanos
|
+1 855 426 3983
Blog
/
Resiliencia cibernética
Aishwarya Ramani
Gerente sénior de marketing de soluciones
Illumio Editorial
28de octubre de 2025
23 min. leer

Cómo cumplir con la normativa OR-2 de la HKMA con Illumio

En el sector bancario, la infraestructura tecnológica a menudo puede parecer un tazón de sopa wonton: terminales, enrutadores y dispositivos de almacenamiento flotando en un caldo de flujos de datos.  

Y no siempre es el tipo de comida reconfortante, como un abrazo en un tazón, que preparaba mamá. Es un desastre. Es impredecible. Si no puedes ver claramente cada componente de la sopa, puedes arruinar todo el plato.

Cuando algo falla, rara vez es un problema aislado y puede tener un impacto de gran alcance que se puede sentir en todo el ecosistema bancario.  

Por eso, los reguladores como la Autoridad Monetaria de Hong Kong (HKMA) están elevando el nivel con requisitos de cumplimiento como el OR-2, que exigen resiliencia operativa, no solo concietiza del riesgo. Para los bancos, esto significa demostrar que pueden ver el panorama completo, contener las perturbaciones cuando se producen y poner a prueba continuamente su capacidad de recuperación.

En esta publicación, exploraremos qué requiere OR-2, por qué la visibilidad es la clave para lograr el cumplimiento y cómo Illumio puede ayudar.

¡Las brechas en ICBC causan profundas heridas!

En 2023, el Banco Industrial y Comercial de China (ICBC), el banco más grande del mundo por activos, sufrió un ataque de ransomware que interrumpió sus operaciones de corretaje en Estados Unidos.  

¿El resultado? Casi 9.000 millones de dólares en operaciones con bonos del Tesoro pendientes de liquidación. Los empleados tuvieron que volver a usar unidades USB y Gmail solo para procesar las transacciones. Las repercusiones se extienden por todo el mercado de bonos del Tesoro estadounidense, valorado en 26 billones de dólares.

Como echar aceite de chile picante en una herida abierta, menos de un año después, la sucursal londinense del ICBC fue vulnerada. Los atacantes sustrajeron 6,6 terabytes de datos confidenciales. El momento no podría ser peor.  

La brecha no solo expuso datos. Puso de manifiesto la fragilidad, y en el sector bancario, la fragilidad es lo único que no te puedes permitir mostrar.  

Los organismos reguladores de todo el mundo exigen resiliencia. La Autoridad Monetaria de Hong Kong (HKMA), al igual que sus colegas en Europa, Australia y Singapur, está haciendo exactamente eso a través de su marco de Resiliencia Operativa (OR-2).  

El incidente de ICBC subrayó el objetivo de OR-2 de prevenir estos puntos ciegos operacionales que convierten las interrupciones en crisis.  

Cuando las pequeñas cosas se convierten en grandes problemas, intervienen los reguladores.  

Lo que ocurre con las operaciones bancarias es que están profundamente interconectadas. Una pequeña perturbación en un rincón del sistema puede repercutir en todas las funciones, regiones geográficas e incluso en los mercados financieros. Cuando esas pequeñas fluctuaciones se convierten en grandes olas, los reguladores toman nota.

Según el OR-2, se espera que los bancos de Hong Kong demuestren que pueden mantener operaciones críticas a través de interrupciones graves pero plausibles.  

Están pidiendo a los bancos que elaboren un mapa de cómo se conectan las operaciones, los sistemas y los terceros para comprender cómo podrían fallar las cosas. Lo más importante es que quieren que los bancos sean capaces de contener los daños cuando estos se produzcan.

Visibilidad: el mayor desafío de seguridad para la banca  

Muchas instituciones ya cuentan con los marcos, las políticas de gobernanza y los protocolos necesarios. Pero pocos se hacen la pregunta que realmente importa: ¿podemos realmente ver las interconexiones que se supone que debemos mapear?

La OR-2 de la HKMA insta a los bancos a ir más allá de la documentación. Los bancos deben ser capaces de identificar y comprender cómo se conectan sus operaciones críticas. No solo las obvias, sino también las dependencias ocultas entre sistemas, equipos, proveedores y procesos.

Ya no basta con decir: “Conocemos nuestro entorno”. Las normativas de cumplimiento como la OR-2 exigen que los bancos comprendan profundamente cómo funcionan sus operaciones digitales.

Es aquí donde la mayoría de los bancos empiezan a sentir la presión. La resiliencia no se trata solo de tener un plan, sino de tener la visibilidad necesaria para convertir ese plan en realidad.  

En otras palabras, no puedes proteger lo que no puedes ver.

En los entornos híbridos de Hong Kong, donde los sistemas heredados se combinan con nuevas implementaciones en la nube e integraciones de terceros, mantener la visibilidad en todas las capas suele ser la parte más difícil. Sin embargo, es precisamente lo que los reguladores esperan que domines.

La contención ya no es solo técnica, es cultural.

La regulación OR-2 de la HKMA va más allá de la tecnología y abarca la gobernanza y la cultura. Se les pide a los bancos que identifiquen sus servicios comerciales importantes, establezcan márgenes de tolerancia ante el impacto y prueben su capacidad para operar dentro de esos límites durante una interrupción.

La contención ya no es solo un término técnico. Se convirtió en una prioridad para la junta directiva. Cuando los bancos flaquean, los clientes no solo pierden el acceso; pierden la confianza. Y la confianza, una vez quebrantada, es difícil de reconstruir.

En el ecosistema bancario de Hong Kong, basado en las relaciones y donde la confianza, la estabilidad y la reputación de la marca lo son todo, una brecha de seguridad no es solo un fallo técnico. Es una crisis cultural y empresarial.

Pruebas, pruebas y más pruebas

¿Cómo saber si tu proceso puede resistir el impacto de un ataque disruptivo de ransomware? Pruebas, pruebas y más pruebas. ¡Minuciosamente!  

La HKMA prevé pruebas de resiliencia basadas en escenarios. Y no del tipo en el que todos asienten con la cabeza durante un ejercicio de mesa y vuelven a sus escritorios. Quieren simulaciones realistas de lo que sucede cuando fallan los sistemas, quiebran los proveedores o los ciberataques se propagan más rápido de lo previsto.

Un examen no es divertido si no estudiaste. Estudiar para la prueba en términos de resiliencia significa tener un programa de respuesta a incidentes bien definido y bien ensayado que pueda detectar, contener y recuperar de interrupciones de extremo a extremo.  

También necesitas ejercicios bien seleccionados y diseñados para demostrar que estás manteniendo la continuidad operativa, gestionando la comunicación con los clientes e informando a los reguladores.

Y esto no es un ejercicio que se realiza una sola vez. OR-2 espera una mejora continua: actualizar la documentación, perfeccionar los controles y aprender de cada incidente, ya sea interno o en toda la industria.

Cómo cumplir con la normativa OR-2 de Illumio

Las organizaciones deben comenzar por obtener una visibilidad granular y de extremo a extremo para cumplir con los requisitos de cumplimiento de OR-2.  

Illumio ofrece a los bancos un mapa en tiempo real de cómo interactúan los sistemas, las aplicaciones y los flujos de datos en entornos de nube, centros de datos y puntos finales sin depender de escaneos de red tradicionales ni de agentes pesados.

visibilidad de Illumio

Con Illumio, puedes ver tus activos críticos, comprender cómo se comunican e identificar dónde una sola interrupción podría propagar por la red si no se controla.

Esto significa que cuando la HKMA pregunte cómo está gestionando el riesgo operacional según la OR-2, no estará jugando a ciegas reaccionando a cualquier sonido o estímulo proveniente de su entorno.  

En cambio, Illumio te ayuda a abordar el cumplimiento normativo con claridad. Puedes demostrar de forma rápida y sencilla que identificaste tus servicios empresariales importantes y has mapeado tus interconexiones.

Con esta visibilidad, puede emplear la segmentación de Illumio para aislar instantáneamente las amenazas y limitar su radio de explosión.  

Segmentación de Illumio

Puedes contener un ataque de ransomware en segundos, deteniendo el movimiento lateral antes de que afecte a sistemas críticos o se propague a conexiones de terceros. Esta capacidad de contener los daños en tiempo real es fundamental para el objetivo de OR-2 de llevar a cabo operaciones críticas a través de interrupciones plausibles.

En lugar de actuar con prisas tras una brecha de seguridad, Illumio te proporciona las herramientas para comprender tu entorno y responder con control, precisión y rapidez. Esto significa que puedes mantener el resto de las operaciones bancarias en funcionamiento mientras investigas y te recuperas.

OR-2 promueve la preparación, no la perfección.

La HKMA no exige la perfección. Se exige preparación: que los bancos sean pragmáticos, receptivos y realistas respecto a sus riesgos.  

La visibilidad granular de Illumio te ayuda a llegar allí sin el ruido.

La preparación no es solo la forma más fácil de fortalecer su postura de resiliencia operativa OR-2. También es la forma más inteligente de generar confianza con los reguladores, con su junta directiva y con sus clientes.

Porque, al fin y al cabo, la resiliencia no consiste en tener una carpeta llena de políticas. Se trata de saber qué está conectado, qué es vulnerable y qué harás cuando —no si— algo salga mal.

La visibilidad es la base de la resiliencia, e Illumio es cómo construirla.

Comienza con Illumio Insights Hoy.

Temas relacionados

Servicios bancarios y financieros

Artículos relacionados

El libro de jugadas del CISO: por qué necesita hacer del riesgo de seguridad una métrica comercial
Resiliencia cibernética

El libro de jugadas del CISO: por qué necesita hacer del riesgo de seguridad una métrica comercial

Descubra por qué los CISO de hoy deben llevar los datos a la sala de juntas para demostrar la reducción de riesgos, obtener apoyo presupuestario y alinear la ciberseguridad con los objetivos comerciales.

Lee más
Cómo preparar para NIS2: Lo que necesita saber
Resiliencia cibernética

Cómo preparar para NIS2: Lo que necesita saber

Obtenga la información que necesita para comenzar a preparar para cumplir con los mandatos de NIS2 para la resiliencia cibernética.

Lee más
Comprender los mandatos de cumplimiento de la UE: tecnología operativa y sistemas críticos
Resiliencia cibernética

Comprender los mandatos de cumplimiento de la UE: tecnología operativa y sistemas críticos

Una discusión de las regulaciones técnicas operativas y los controles de seguridad específicos de los sistemas críticos y la tecnología operativa.

Lee más
Dos brechas, un banco: lecciones de la crisis cibernética del ICBC
Resiliencia cibernética

Dos brechas, un banco: lecciones de la crisis cibernética del ICBC

Descubra las lecciones críticas de la crisis cibernética de ICBC, donde dos violaciones importantes, ransomware en los EE. UU. y un robo de datos en Londres, revelaron vulnerabilidades sistémicas en la banca global.

Lee más
Hackeos de cajeros automáticos: una amenaza cibernética oculta para la seguridad bancaria
Resiliencia cibernética

Hackeos de cajeros automáticos: una amenaza cibernética oculta para la seguridad bancaria

Descubra cómo los ciberdelincuentes explotan los cajeros automáticos para acceder a las redes y cómo Illumio ayuda a contener las infracciones rápidamente con la microsegmentación.

Lee más
Cómo Western Union creó una confianza cero escalable con la segmentación de Illumio
segmentación

Cómo Western Union creó una confianza cero escalable con la segmentación de Illumio

Descubra cómo Western Union empleó Illumio para implementar Zero Trust y microsegmentación escalable para el cumplimiento de PCI, seguridad de fusiones y adquisiciones y visibilidad en tiempo real.

Lee más

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Aprenda más