Con la entrada en vigor de la Ley de Resiliencia de Operaciones Digitales (DORA) el 17 de enero de 2025, las instituciones financieras tendrán que seguir un estricto conjunto de reglas sobre cómo prepararse y responder a incidentes, especialmente cuando se trata de interrupciones de servicios y ataques cibernéticos.
dijo Joe Vaccaro, Jefe de Inteligencia de Internet de Cisco ThousandEyes Tecnología Radar Pro Hay tres pilares para volverse digitalmente resiliente; Seguridad, aseguramiento y observabilidad.
Las interrupciones en el sector financiero pueden tener graves consecuencias para los clientes y las empresas La Autoridad de Conducta Financiera ya ha advertido de los riesgos de las interrupciones de Crowdstrike son “graves pero razonables” hasta 2025.
El tiempo de inactividad es caro
Parte del reglamento DORA se refiere a preparar a las empresas para que estén protegidas contra cortes de energía. A pesar de ransomware Los ciberataques dominan la conversación y las interrupciones del servicio a menudo pueden deberse a errores o sistemas sin parches.
“Lo que vemos a menudo es que las interrupciones del servicio no son maliciosas por intención, sino que son simplemente un error de configuración en un punto crítico dentro de un dominio adyacente”, dice Vaccaro.
De cara al 2024, es difícil no recordar el apagón más grande y costoso: los cortes de energía El infame incidente de CrowdStrikeLos daños se estimaron en miles de millones y millones de dispositivos se vieron afectados, pero el incidente probablemente fue el resultado de un error de configuración y no de un ciberataque.
Sin embargo, Vaccaro dice que las empresas deben brindar una respuesta igualmente sólida a una mala configuración como lo hacen ante una amenaza cibernética. El proceso de respuesta a incidentes es muy similar y una comprensión integral de sus dependencias digitales puede determinar la efectividad de los procedimientos de una empresa:
“¿Puedes detectar si tienes un problema? ¿Puedes identificar en qué parte del camino está el problema? Y luego, como parte del diagnóstico, ¿puedes comprender cómo ha cambiado la configuración tanto en tu infraestructura como en la infraestructura en la que confías? Entonces puedes ¿Cómo aliviarlo?
Vaccaro dice que la velocidad y la precisión son claves para responder a una interrupción, porque el tiempo de inactividad no sólo es inconveniente, sino que también puede costarle mucho dinero a una empresa, y da el ejemplo de una empresa de atención médica estadounidense que sufrió una interrupción antes de convertirse en Thousand Eyes. cliente:
“Calcularon el costo del tiempo de inactividad para ellos en situaciones de la vida real en más de $1 millón por minuto, y se enfrentaban a operar en un corte de energía durante más de seis horas, cuando se piensa en el costo de implementar la resiliencia digital versus el costo. de no hacer nada.
Garantía digital
Una parte clave de la resiliencia digital es simplemente comprender el software que se utiliza y de dónde proviene, afirma Vaccaro. Al comprender los servicios, los proveedores y el software de terceros que utiliza su empresa, podrá tener más confianza a la hora de responder a los incidentes.
“Así que, a través de la lente de ThousandEyes, hemos estado ayudando a los clientes durante más de una década a poder mapear estas dependencias digitales”, dice.
“Pensamos en nosotros mismos de muchas maneras, como por ejemplo mapas de google De Internet. ¿Cómo tienes la capacidad de entender desde dónde estás hasta dónde quieres ir y cuáles serán todas las rutas? ¿Cuáles son todos los servicios digitales que se implementarán para que podamos ayudar a los clientes a descubrir el inventario y luego poder operar en este nuevo mundo?
Regulaciones en evolución
Si bien el reglamento DORA es una legislación de la UE, todavía se aplica a muchas empresas no europeas que participan en los mercados financieros europeos, lo que significa que incluso las empresas del Reino Unido y Estados Unidos deben estar a la altura.
“Creo que lo primero que hay que destacar es que vivimos en un mundo muy interconectado”, señala Vaccaro.
“Sabes, al vivir aquí en los Estados Unidos, tengo acceso a servicios de países europeos todo el tiempo. Esto es solo parte de la economía global en la que vivimos”.
Esto también podría ayudar a hacer cumplir regulaciones más estrictas en los EE. UU. y en todo el mundo, ya que Vaccaro señala que las regulaciones digitales desarrolladas en la UE y el Reino Unido a menudo allanan el camino para los marcos estadounidenses, brindando una mayor protección al consumidor y fomentando leyes de privacidad de datos, como esas. visto con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea y la CCPA de California.
“Las regulaciones importantes que comenzaron en Europa ahora se han trasladado a otros países cuando pensamos en la soberanía de los datos, la privacidad de los datos, etc.”, señala. “Toman diferentes formas y diferentes nombres, pero fundamentalmente, todos están tratando de lograrlo. objetivos similares'”.
“Creo que lo útil de DORA es la claridad con la que defiende la necesidad de poder aumentar la agilidad dentro de su negocio, y eso se extiende más allá de su entorno, sino que incluye todas las dependencias importantes de las que depende”.