DORA y el nuevo estándar para el cumplimiento normativo de los datos financieros

El sector financiero siempre ha operado bajo estrictas exigencias regulatorias, pero el Reglamento de Resiliencia Operativa Digital (DORA) marca un nuevo capítulo. DORA exige que las organizaciones demuestren que pueden resistir interrupciones de las Tecnologías de la Información y la Comunicación (TIC) y recuperarse con rapidez. El reglamento presiona la forma en que las entidades financieras protegen sus datos y validan sus sistemas, elevando el listón de cómo se almacenan los datos de copia de seguridad. 

Por qué DORA es más relevante que nunca 

El último informe Threat Landscape de ENISA (la agencia de ciberseguridad de la UE) confirma que el ransomware sigue intensificándose en toda la UE, impulsado por modelos de ransomware como servicio y la explotación rápida de vulnerabilidades. Esto lo convierte en la categoría de incidente cibernético más dañina desde el punto de vista económico, y el impacto no se limita a caídas aisladas ni a empresas con defensas de seguridad débiles. Un único sistema comprometido puede afectar negativamente a clientes, mercados y proveedores conectados a él. El propósito de DORA es convertir la resiliencia en un requisito del sector. 

Para muchas organizaciones, esto significa reevaluar suposiciones mantenidas durante mucho tiempo sobre su capacidad de recuperarse de un ataque. También significa reconocer que el cumplimiento normativo de los datos financieros ahora va más allá de prevenir brechas, e incluye demostrar que los datos de copia de seguridad permanecen íntegros y recuperables después de una brecha. 

DORA - cambiando la forma en que operan las organizaciones 

DORA eleva el riesgo TIC a una responsabilidad de gobernanza. Los consejos de administración y los equipos directivos deben comprender cómo se comportan sus sistemas durante una interrupción y qué se necesita para restablecer las operaciones. La normativa también obliga a las organizaciones a examinar de cerca los sistemas de los que dependen cada día. Los entornos Backup, las relaciones con proveedores y los procesos de recuperación son ahora fundamentales para cumplir las normativas del sector vinculadas al cumplimiento normativo de los datos financieros. 

El verdadero reto: demostrar resiliencia, no declararla 

Muchas organizaciones tienen políticas que parecen sólidas sobre el papel, pero se quedan cortas cuando se ponen a prueba. DORA deja al descubierto esta brecha. Exige evidencias de que los sistemas pueden recuperarse sin problemas, de que los datos están protegidos frente a manipulaciones y de que los procesos de recuperación funcionan durante un ataque. 

Aquí es donde la arquitectura de copias de seguridad desempeña un papel protagonista. Si los datos de recuperación se ven comprometidos o la restauración se retrasa, la resiliencia - y en consecuencia el cumplimiento normativo de los datos financieros - inevitablemente se resienten. 

Dónde la mayoría de las organizaciones aún no están preparadas 

Incluso los equipos con buenos recursos a menudo pasan por alto áreas que más importan durante un incidente: 

• Segmentación incompleta: las redes deben segmentarse para contener las brechas, incluida la separación lógica del software de copia de seguridad y del almacenamiento que resistirá a un atacante que haya obtenido credenciales de administrador 
• Procesos de recuperación no probados: procedimientos que no se han validado de extremo a extremo, desde pruebas de penetración externas hasta la recuperación completa  
• Visibilidad limitada: incertidumbre sobre cómo se almacenan, protegen y restauran los datos, así como falta de documentación 

 Centrarse en estas áreas ayudará a las organizaciones a construir la resiliencia necesaria para el cumplimiento de DORA, incluso cuando estén bajo ataque. 

Cómo Object First puede ayudar 

DORA deja claro que la resiliencia operativa depende de la capacidad de restaurar de forma segura los sistemas y datos TIC sin pérdida de integridad ni corrupción. Si las organizaciones no pueden recuperar datos limpios y no comprometidos, no pueden garantizar la continuidad de los servicios críticos. 

Aquí es donde entra en juego el almacenamiento de copias de seguridad de Object First. La Inmutabilidad Absoluta garantiza que los datos de copia de seguridad no puedan ser modificados ni eliminados por nadie, eliminando el riesgo de manipulación incluso en el peor de los casos en el que todas las credenciales estén comprometidas. Proporciona a las organizaciones una última línea de defensa fiable y respalda el nivel de garantía que los reguladores esperan ahora. 

Para obtener más información sobre cómo las copias de seguridad absolutamente inmutables pueden garantizar la resiliencia operativa y, por extensión, el cumplimiento normativo, descargue nuestra guía sobre el Reglamento de Resiliencia Operativa Digital (DORA).