Seguridad de la información y Ley de Resistencia Operativa Digital: retos y tendencias

La Ley de Resiliencia Operativa Digital (Inglés: Digital Operational Resilience Act, DORA) se encuentra actualmente en el centro de la regulación del sector financiero, especialmente para las empresas financieras de la Unión Europea. La normativa pretende reforzar la resistencia operativa de las empresas financieras y protegerlas contra las ciberamenazas y las interrupciones informáticas. Además de la resistencia financiera, la seguridad de los sistemas de información se encuentra ahora también en el centro de la regulación. En este artículo, analizamos la importancia de la seguridad de la información para EXCON y destacamos los mayores retos y tendencias en una entrevista con el responsable de TI, Markus Heiß.

Seguridad de la información en EXCON

La seguridad de la información es de vital importancia para empresas como EXCON. La protección de datos sensibles y la integridad de los sistemas son cruciales para el éxito empresarial y la confianza de empleados, clientes y socios. Por ello, EXCON ha implementado una serie de medidas para garantizar la seguridad de la información:

  1. Medidas técnicas: Actualización y supervisión periódicas de la infraestructura informática, implantación de cortafuegos, sistemas de detección y prevención de intrusiones (IDPS), cifrado de datos sensibles y uso de programas antimalware.
  2. Medidas organizativas: Implantación de un sistema de gestión de la seguridad de la información (SGSI) conforme a la norma ISO 27001, formación periódica de los empleados, estrictos controles de acceso y revisiones y auditorías periódicas de la seguridad.
  3. Protocolos de respuesta a incidentes: Un protocolo claramente definido permite dar respuestas rápidas y eficaces a los incidentes de seguridad, incluyendo la identificación, contención, reparación y análisis posterior.

La dirección desempeña un papel crucial a la hora de garantizar la seguridad de la información. Establece las prioridades estratégicas, proporciona los recursos necesarios y promueve una cultura de seguridad en toda la organización. EXCON no sólo sigue normas como ISO 27001 y GDPR, sino que también desarrolla directrices específicas para cada empresa que se adaptan a requisitos concretos.

 

Entrevista de experto en seguridad de la información con el responsable de TI Markus Heiß

Como experto en seguridad de la información y responsable de TI en EXCON, Markus Heiß nos dio una visión más profunda del lado práctico de las cosas en una entrevista. La entrevista se centró en los retos para la empresa y las lecciones aprendidas en el ámbito de la seguridad de la información.

¿Qué retos ve para el futuro en el ámbito de la seguridad de la información?

Markus Heiß: Uno de los mayores retos es el panorama de amenazas en constante evolución. Los ciberdelincuentes son cada vez más sofisticados y es un reto constante ir un paso por delante de ellos. Además, el aumento de las redes y la digitalización plantean riesgos adicionales que hay que gestionar.

¿Qué importancia tiene para EXCON el cumplimiento de los reglamentos y normas legales en el ámbito de la seguridad de la información?

Markus Heiß: El cumplimiento de los reglamentos y normas legales es una prioridad absoluta para nosotros. Esto no sólo ayuda a evitar consecuencias legales y financieras, sino también y sobre todo a reforzar la confianza de nuestros clientes y socios.

¿Qué medidas son especialmente importantes en relación con su estrategia de seguridad?

Markus Heiß: Es importante revisar y adaptar continuamente las medidas tanto técnicas como organizativas. Por ejemplo, en los últimos años hemos ampliado constantemente nuestros sistemas de vigilancia e introducido controles de acceso más estrictos. También hemos intensificado nuestra colaboración con expertos externos en seguridad para estar siempre informados sobre las últimas amenazas y medidas de defensa.

¿Qué cambios están realizando a largo plazo para cumplir los requisitos actuales de seguridad de la información?

Markus Heiß: A largo plazo, hemos establecido una cultura de mejora continua. Celebramos regularmente talleres sobre las lecciones aprendidas para aprender de cada situación y desarrollar continuamente nuestra estrategia de seguridad. Además, el papel de un responsable de seguridad de la información (ISO) en nuestra estructura corporativa es crucial para afianzar la seguridad de la información al más alto nivel.

¿Cómo evalúa el riesgo de las amenazas internas para las empresas y qué medidas ha implementado EXCON para protegerse contra ellas?

Markus Heiß: Las amenazas internas se refieren a los riesgos de seguridad que tienen su origen en individuos dentro de una organización. Estas amenazas proceden de empleados actuales o antiguos, contratistas o socios comerciales. Representan un riesgo importante para cualquier empresa, ya que a menudo son difíciles de reconocer. Minimizamos este riesgo de forma exhaustiva mediante estrictos controles de acceso, comprobaciones periódicas y formación de los empleados, así como mediante el uso de sistemas de supervisión que detectan comportamientos inusuales.

10 tendencias en seguridad de la información

El tema de la seguridad de la información seguirá siendo un reto para las empresas en el futuro debido a los requisitos constantemente nuevos o cambiantes. Las tendencias deben tenerse siempre presentes y reconocerse en una fase temprana. El director de TI de EXCON, Markus Heiß, nos ha resumido las principales tendencias.

 

  1. Aumento de la complejidad de las ciberamenazas: El panorama de las amenazas es cada vez más complejo y sofisticado. Los ciberdelincuentes recurren cada vez más a la inteligencia artificial y al aprendizaje automático para automatizar y perfeccionar los ataques. Las empresas deben desarrollar y modernizar constantemente sus medidas de seguridad para contrarrestar estas nuevas amenazas.
  2. Seguridad en la nube y modelos de trabajo híbridos: Con el aumento del uso de los servicios en la nube y el cambio hacia modelos de trabajo híbridos, en los que los empleados trabajan tanto en la oficina como a distancia, las organizaciones se enfrentan a nuevos retos de seguridad. Cada vez es más importante aplicar medidas de seguridad sólidas que garanticen un acceso seguro a los recursos de la nube y la protección de los puestos de trabajo remotos.
  3. Seguridad de confianza cero: El modelo de confianza cero está ganando importancia. Se basa en el principio de «nunca confíes, siempre verifica» y exige estrictos procesos de autenticación y autorización para todos los accesos a los recursos de la empresa. La implantación de la Confianza Cero requiere una revisión exhaustiva de las arquitecturas de seguridad existentes y plantea un reto importante.
  4. Ampliación de los requisitos de regulación y cumplimiento: Los requisitos normativos en materia de protección de datos y seguridad de la información seguirán aumentando. Las organizaciones deben prepararse para un cumplimiento más estricto de las leyes de protección de datos, como el GDPR, y de las nuevas normativas, como la Ley de Resiliencia Operativa Digital (DORA). Esto requiere ajustes y revisiones continuas de las medidas de cumplimiento.
  5. Inteligencia artificial y automatización en la ciberseguridad: La inteligencia artificial y la automatización desempeñarán un papel cada vez más importante en la ciberseguridad. Pueden ayudar a reconocer y responder a las amenazas con mayor rapidez. Al mismo tiempo, las empresas deben asegurarse de que sus sistemas de IA sean seguros y fiables para no crear riesgos adicionales.
  6. Proteger los dispositivos IoT y los sistemas de control industrial: A medida que los dispositivos del Internet de las Cosas (IoT) y los sistemas de control industrial (ICS) están más conectados, también aumenta el riesgo de ciberataques contra estos sistemas. Las empresas necesitan desarrollar medidas de seguridad especiales para proteger estos dispositivos y sistemas de los ataques.
  7. Ciberresiliencia y recuperación de desastres: La capacidad de recuperarse rápidamente de los ciberataques es cada vez más importante. Las organizaciones necesitan probar y actualizar regularmente sus planes y procesos de recuperación en caso de desastre para asegurarse de que pueden responder con rapidez y eficacia en caso de emergencia.
  8. Formación y concienciación de los empleados: El error humano sigue siendo una de las mayores vulnerabilidades en la seguridad de la información. Cada vez es más importante llevar a cabo programas continuos de formación y concienciación de los empleados para sensibilizarlos sobre las amenazas a la seguridad y promover las mejores prácticas.
  9. Protección y soberanía de los datos: La protección de los datos seguirá siendo una cuestión clave. Los consumidores y los gobiernos exigen un mayor control sobre los datos personales. Las empresas deben tratar los datos con transparencia y responsabilidad y desarrollar soluciones innovadoras para la protección de datos.
  10. Colaboración e intercambio de información: La colaboración y el intercambio de información entre empresas, industrias y gobiernos serán cruciales para combatir eficazmente las ciberamenazas. Las iniciativas y redes conjuntas para el análisis de amenazas y la defensa serán cada vez más importantes.

Preparación y requisitos clave del DORA

La Ley de Resiliencia Operativa Digital (DORA, por sus siglas en inglés ) es muy importante a la vista de los crecientes retos y la complejidad de la seguridad de la información señalados anteriormente. La normativa establece normas y requisitos armonizados para la resiliencia digital que se aplican en toda la UE. Esto ayuda a minimizar el riesgo de ciberataques y fallos informáticos y a garantizar la estabilidad del sistema financiero. El DORA también protege los intereses de los clientes y fomenta la confianza en el sector financiero. Como empresa de software y proveedora de servicios en el sector financiero, la normativa también se aplica a EXCON. Por lo tanto, las normas DORA para proveedores externos se nos aplican desde el principio. Pero, ¿por dónde empieza una empresa a la hora de aplicar el reglamento y cuáles son los requisitos clave más importantes? Responderemos a estas preguntas en las siguientes secciones:
 

¿Cómo deben prepararse las empresas para la aplicación del DORA?

Las empresas deben prepararse exhaustivamente para la aplicación del DORA. El primer paso en la preparación es un análisis GAP. Esto sirve para determinar dónde los procesos y sistemas existentes no cumplen los requisitos del DORA. A continuación, se adoptan medidas de formación y se sensibiliza a los empleados sobre los nuevos requisitos y las mejores prácticas en materia de gestión de riesgos informáticos. Sobre esta base, debe seguir la optimización de los procesos, que garantiza la adaptación y optimización de los procesos informáticos y de seguridad de acuerdo con la normativa DORA. A continuación, se toman decisiones sobre posibles inversiones en tecnologías avanzadas de seguridad y supervisión. Además, todos los proveedores externos que prestan servicios informáticos críticos también deben cumplir con el DORA. Esto debe comprobarse.
 

¿Cuáles son los requisitos clave más importantes del DORA?

  • Gestión de riesgos informáticos: Las organizaciones financieras deben disponer de sistemas y procesos sólidos para identificar, evaluar y gestionar los riesgos informáticos.
  • Notificación de incidentes: Las organizaciones deben notificar y documentar rápidamente los incidentes cibernéticos y las interrupciones de las TI.
  • Auditorías de seguridad: Se requieren auditorías y evaluaciones de seguridad periódicas para identificar y corregir las vulnerabilidades.
  • Gestión de riesgos de terceros: Las organizaciones deben asegurarse de que los proveedores externos que prestan servicios de TI también cumplen las normas DORA.
  • Supervisión de la seguridad: Supervisión continua de la infraestructura de TI para la detección temprana de amenazas y anomalías.
     

Los pasos y aspectos clave del reglamento descritos anteriormente implican numerosos procesos nuevos, obligaciones y complejidad para las organizaciones financieras. El cumplimiento de la normativa DORA requiere una supervisión y un ajuste continuos de las medidas de seguridad antes de la fecha de entrada en vigor, el 17 de enero de 2025. En función del statu quo, los diversos y detallados requisitos conllevarán una revisión exhaustiva de la infraestructura informática y de seguridad existente. En la gestión de proveedores externos, es necesaria una coordinación general, colaboración y recopilación de datos a través de los límites de la empresa para crear la transparencia requerida.

Con el fin de reforzar la resistencia digital y lograr el éxito a largo plazo, la atención de las organizaciones financieras y de los proveedores terceros se centra una vez más en el desarrollo continuo de las medidas de seguridad y en el compromiso activo con los nuevos retos.
 
 

Consejo práctico: Audite a sus proveedores externos con ex:plore

¿Sus socios y proveedores de servicios cumplen los requisitos del DORA? ¿Dónde es necesario optimizar y dónde podrían ser más estrictos los contratos? Con el software de auditoría ex:plore, podrá responder a estas preguntas en toda su organización.

Gestión de contratos y auditorías

Una base de datos central, de fácil acceso y que permite realizar búsquedas, le permite almacenar y gestionar todos los contratos con proveedores externos. Esto facilita enormemente la gestión centralizada. Para apoyar las auditorías de contratos [link contract audits usecase], el software de auditoría garantiza que se incluyan en los contratos todos los requisitos DORA y las medidas de seguridad pertinentes.

Cumplimiento e informes

Con la ayuda de cuestionarios de cumplimiento, las organizaciones financieras comprueban si los proveedores externos cumplen todos los requisitos de cumplimiento del DORA pertinentes. Además, se generan informes y cuadros de mando de los resultados en tiempo real para visualizar el estado de las medidas de cumplimiento en cualquier momento.

Gestión de incidencias

El seguimiento de incidentes se realiza mediante la introducción manual y el seguimiento de los incidentes de seguridad con proveedores terceros. Las medidas de seguimiento automático se definen dentro del software de auditoría y se rastrean en todo momento. ex:plore también admite la revisión manual y la gestión de los planes de emergencia de los proveedores terceros para garantizar su preparación para hacer frente a interrupciones operativas.

Registros de auditoría y documentación

Las pistas de auditoría se garantizan documentando todas las interacciones y revisiones con proveedores externos para crear un historial rastreable. El almacenamiento central de todos los documentos relevantes, como informes de auditoría, análisis de riesgos y pruebas de cumplimiento, permite una gestión eficaz de la documentación.

¿Tiene más preguntas sobre el uso de ex:plore como parte de su gestión de proveedores externos? No dude en ponerse en contacto con nosotros en cualquier momento.

 

Info-Glühbirnen-Icon

 

Es bueno saberlo:

¿Qué significa «resistencia operativa»?

La resistencia operativa es la capacidad de una organización para continuar con sus procesos y servicios empresariales críticos a pesar de las circunstancias adversas y las interrupciones. Esto incluye la planificación, la preparación y la capacidad de responder a ciberataques, catástrofes naturales, fallos técnicos y otros imprevistos. El objetivo es minimizar el impacto de tales incidentes y garantizar la continuidad de las operaciones.

Ejemplos de resistencia operativa del sector financiero:

Ciberataques: Los bancos aplican medidas de ciberseguridad como cortafuegos, IDS y planes de contingencia para restablecer rápidamente los sistemas.
Catástrofes naturales: Las empresas de inversión utilizan centros de datos dispersos geográficamente y replicación de datos para realizar operaciones ininterrumpidas.
Fallos técnicos: Los sistemas redundantes y los planes de recuperación en caso de catástrofe garantizan el rápido restablecimiento de los servicios bancarios en línea.
Pandemias: Las aseguradoras confían en infraestructuras de trabajo a distancia con acceso VPN seguro y herramientas de colaboración.
Fallo de proveedores externos: Los bancos cuentan con proveedores alternativos o soluciones in situ para continuar con los servicios.
Cambios normativos: Las organizaciones financieras se adaptan rápidamente a las nuevas normativas mediante una arquitectura informática flexible y una gestión ágil de los proyectos.