Según la Autoridad Bancaria Europea (EBA, European Banking Authority) DORA es un intento de amortizar y reforzar la seguridad en todo el sector financiero de la UE. Esta Ley de Resiliencia Operativa Digital, conocida como DORA por sus siglas en inglés, es un marco vinculante para la gestión de los riesgos de las TIC en el sector financiero de la Unión Europea.

Aporta un escenario nuevo, mucho más restrictivo que NIS II. Su objetivo es el de fortalecer la seguridad en este sector frente a las crecientes amenazas en ciberseguridad y se centra en dos aspectos clave: la concentración excesiva de datos y aplicaciones críticos en la nube y la mitigación del riesgo y la protección contra ciberamenazas como puede ser el ransomware.

Las empresas se enfrentan al reto de entender su estado actual en términos de DORA y prepararse en menos de un año

A grandes rasgos, esta norma regula la resiliencia a nivel europeo, ampliando el perímetro de supervisión a todos los actores del sector financiero: bancos, entidades de crédito, empresas de inversión, centros de negociación, instituciones de pago, repositorios de criptoactivos o proveedores de servicios TIC, incluyendo computación en la nube, software, servicios de análisis de datos.

En virtud de esta normal, las entidades financieras deben disponer de capacidades integrales que permitan una gestión sólida y eficaz de los riesgos de las TIC, así como de mecanismos y políticas específicos para gestionar todos los incidentes relacionados, incluyendo la obligatoriedad de notificar aquellos que son más importantes.

Implicaciones de DORA

La Ley está programada para entrar en vigor el 17 de enero de 2025, e implica importantes consecuencias para las entidades financieras que no cumplan con sus disposiciones: se pueden imponer multas de hasta el 1% de sus ingresos medios anuales.

Pero, además de aumentar la resiliencia de estas entidades, esta norma llega acompañada de una serie de ventajas, tanto para el usuario final (que redundará en mayor transparencia y confianza) como para el sistema bancario europeo. DORA va a facilitar la creación de un entorno propicio para la colaboración y el intercambio de información entre entidades financieras, un enfoque que fortalece la capacidad del sector para hacer frente a amenazas emergentes y proteger los datos de los clientes de manera más efectiva.

Adaptación a DORA

Jose Luis Álvarez, executive Architect en NetApp.

La adaptación a DORA va más allá del despliegue de las soluciones técnicas y, según Jose Luis Álvarez, executive Architect en NetApp, el grado de avance hacia el cumplimiento de esta norma es desigual, ateniendo al tamaño de las instituciones, pero también al sector en el que desarrollan su actividad.

Este proceso involucra a múltiples departamentos, incluyendo equipos de seguridad, legal y áreas impactadas por las disposiciones de DORA. El principal reto reside en comprender la normativa y establecer un plan de proyecto detallado que abarque la identificación de las tecnologías y la definición de roles y responsabilidades dentro de las compañías. Hablamos de un proceso que puede llevar desde unas pocas semanas hasta varios meses, dependiendo de la complejidad de la organización y los recursos disponibles.

En España, las empresas están aún definiendo roles y responsabilidades relacionados con DORA. NetApp ha observado que muchas de ellas todavía están comenzando a designar responsables dentro de los equipos para garantizar el cumplimiento de la normativa.

NetApp y DORA

En este contexto, NetApp ha identificado los cinco artículos más relevantes de esta norma, que afectan a áreas tan importantes como los proveedores de nube, lo relativo a la prevención y la protección de los datos, los mecanismos para detectar actividades anómalas y probarlas periódicamente o todo lo relativo a la respuesta y la recuperación, incluidos planes específicos de continuidad del negocio.

El artículo 25 de DORA se centra en los riesgos que plantea la dependencia de proveedores como los de nube

Para ayudar a las empresas a cumplir con los requisitos de DORA, NetApp ofrece un amplio porfolio de productos y servicios adaptado a las necesidades de la nueva norma:

Proveedores de servicios TIC. El artículo 25 de DORA se centra en los riesgos planteados por la dependencia de proveedores de servicios TIC de terceros, como los de nube. Este artículo proporciona pautas para reducir este riesgo, incluida la adopción de una estrategia de múltiples nubes y la planificación de la repatriación de datos. En este ámbito:

  • NetApp Cloud Volumes ofrece la capacidad de crear, replicar, hacer copias de seguridad, escanear, clasificar y segmentar datos en cualquier nube. Además, permite la reincorporación de cargas de trabajo en caso de fallo en la nube.
  • NetApp Astra simplifica la gestión de las cargas de trabajo en entornos de kubernetes híbridos y multinube. Ofrece la capacidad de proteger, mover y gestionar el almacenamiento persistente de las aplicaciones de manera eficiente, reduciendo el tiempo de inactividad y minimizando la pérdida de datos. Además, se escala según las necesidades del negocio, asegurando la continuidad operativa de las aplicaciones críticas.

Protección y prevención. Por su parte, el artículo 8 se enfoca en la protección y prevención de datos, en tránsito y en reposo. En este contexto, NetApp plantea dos soluciones:

  • NetApp Cloud Data Sense permite analizar y mejorar los permisos de acceso a archivos, fortaleciendo la seguridad de los datos. La clasificación del dato y entender dónde están los más sensibles y personales, es vital para una protegerlos de la manera adecuada.
  • Por su parte, NetApp ONTAP (fpolicy) utiliza el aprendizaje automático para identificar y prevenir ataques de ransomware Esto permite a las entidades financieras identificar patrones inusuales de acceso a datos y responder proactivamente para protegerlos.

Detección. En lo que respecta al artículo 9, establece una serie de requisitos para disponer de mecanismos de detección de actividades anómalas y testearlos con frecuencia. En este contexto, las soluciones de NetApp son capaces de rastrear el comportamiento de los usuarios para identificar patrones de acceso a los datos. En caso de localizar un comportamiento anormal, responde de manera proactiva, negando el acceso a archivos y carpetas donde se encuentren actividades sospechosas. Igualmente, NetApp Snapshot garantiza que los datos no sean vulnerables a ataques de ransomware.

Respuesta, recuperación y copias de seguridad. Este ámbito aparece referenciado en dos artículos. Por un lado, el artículo 10 aborda la respuesta y recuperación ante incidentes tecnológicos. En este escenario, NetApp FlexClone y SnapRestore pueden restaurar rápidamente un volumen completo o archivos individuales de una copia instantánea ante el impacto de un ataque de ransomware, mientras que los servicios profesionales de NetApp pueden ayudar a desarrollar planes de continuidad del negocio y garantizar una recuperación eficiente.

Por su parte, el artículo 11 se refiere a políticas de copias de seguridad y métodos de recuperación, un ámbito en el que se sitúa NetApp MetroCluster, que garantiza la continuidad del negocio mediante la replicación síncrona y la disponibilidad continua de datos críticos.