Tag: DORA

¿Está listo tu negocio DORA? Cisco ThousandEyes identifica los “3 pilares” que todos deben implementar para ser resilientes

[ad_1]

Con la entrada en vigor de la Ley de Resiliencia de Operaciones Digitales (DORA) el 17 de enero de 2025, las instituciones financieras tendrán que seguir un estricto conjunto de reglas sobre cómo prepararse y responder a incidentes, especialmente cuando se trata de interrupciones de servicios y ataques cibernéticos.

dijo Joe Vaccaro, Jefe de Inteligencia de Internet de Cisco ThousandEyes Tecnología Radar Pro Hay tres pilares para volverse digitalmente resiliente; Seguridad, aseguramiento y observabilidad.

Las interrupciones en el sector financiero pueden tener graves consecuencias para los clientes y las empresas La Autoridad de Conducta Financiera ya ha advertido de los riesgos de las interrupciones de Crowdstrike son “graves pero razonables” hasta 2025.

El tiempo de inactividad es caro

Parte del reglamento DORA se refiere a preparar a las empresas para que estén protegidas contra cortes de energía. A pesar de ransomware Los ciberataques dominan la conversación y las interrupciones del servicio a menudo pueden deberse a errores o sistemas sin parches.

“Lo que vemos a menudo es que las interrupciones del servicio no son maliciosas por intención, sino que son simplemente un error de configuración en un punto crítico dentro de un dominio adyacente”, dice Vaccaro.

De cara al 2024, es difícil no recordar el apagón más grande y costoso: los cortes de energía El infame incidente de CrowdStrikeLos daños se estimaron en miles de millones y millones de dispositivos se vieron afectados, pero el incidente probablemente fue el resultado de un error de configuración y no de un ciberataque.

Sin embargo, Vaccaro dice que las empresas deben brindar una respuesta igualmente sólida a una mala configuración como lo hacen ante una amenaza cibernética. El proceso de respuesta a incidentes es muy similar y una comprensión integral de sus dependencias digitales puede determinar la efectividad de los procedimientos de una empresa:

“¿Puedes detectar si tienes un problema? ¿Puedes identificar en qué parte del camino está el problema? Y luego, como parte del diagnóstico, ¿puedes comprender cómo ha cambiado la configuración tanto en tu infraestructura como en la infraestructura en la que confías? Entonces puedes ¿Cómo aliviarlo?

Vaccaro dice que la velocidad y la precisión son claves para responder a una interrupción, porque el tiempo de inactividad no sólo es inconveniente, sino que también puede costarle mucho dinero a una empresa, y da el ejemplo de una empresa de atención médica estadounidense que sufrió una interrupción antes de convertirse en Thousand Eyes. cliente:

“Calcularon el costo del tiempo de inactividad para ellos en situaciones de la vida real en más de $1 millón por minuto, y se enfrentaban a operar en un corte de energía durante más de seis horas, cuando se piensa en el costo de implementar la resiliencia digital versus el costo. de no hacer nada.

Garantía digital

Una parte clave de la resiliencia digital es simplemente comprender el software que se utiliza y de dónde proviene, afirma Vaccaro. Al comprender los servicios, los proveedores y el software de terceros que utiliza su empresa, podrá tener más confianza a la hora de responder a los incidentes.

“Así que, a través de la lente de ThousandEyes, hemos estado ayudando a los clientes durante más de una década a poder mapear estas dependencias digitales”, dice.

“Pensamos en nosotros mismos de muchas maneras, como por ejemplo mapas de google De Internet. ¿Cómo tienes la capacidad de entender desde dónde estás hasta dónde quieres ir y cuáles serán todas las rutas? ¿Cuáles son todos los servicios digitales que se implementarán para que podamos ayudar a los clientes a descubrir el inventario y luego poder operar en este nuevo mundo?

Regulaciones en evolución

Si bien el reglamento DORA es una legislación de la UE, todavía se aplica a muchas empresas no europeas que participan en los mercados financieros europeos, lo que significa que incluso las empresas del Reino Unido y Estados Unidos deben estar a la altura.

“Creo que lo primero que hay que destacar es que vivimos en un mundo muy interconectado”, señala Vaccaro.

“Sabes, al vivir aquí en los Estados Unidos, tengo acceso a servicios de países europeos todo el tiempo. Esto es solo parte de la economía global en la que vivimos”.

Esto también podría ayudar a hacer cumplir regulaciones más estrictas en los EE. UU. y en todo el mundo, ya que Vaccaro señala que las regulaciones digitales desarrolladas en la UE y el Reino Unido a menudo allanan el camino para los marcos estadounidenses, brindando una mayor protección al consumidor y fomentando leyes de privacidad de datos, como esas. visto con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea y la CCPA de California.

“Las regulaciones importantes que comenzaron en Europa ahora se han trasladado a otros países cuando pensamos en la soberanía de los datos, la privacidad de los datos, etc.”, señala. “Toman diferentes formas y diferentes nombres, pero fundamentalmente, todos están tratando de lograrlo. objetivos similares'”.

“Creo que lo útil de DORA es la claridad con la que defiende la necesidad de poder aumentar la agilidad dentro de su negocio, y eso se extiende más allá de su entorno, sino que incluye todas las dependencias importantes de las que depende”.

También te puede gustar

[ad_2]

Source Article Link

Tags Cisco, deben, DORA, está, identifica, implementar, listo, Los, negocio, para, pilares, resilientes, ser, ThousandEyes, todos

Featured

“Perforar, perforar, perforar”: ¿su empresa está haciendo lo suficiente en términos de cumplimiento de DORA?

Post author By lisa nichols
Post date January 18, 2025
No Comments on “Perforar, perforar, perforar”: ¿su empresa está haciendo lo suficiente en términos de cumplimiento de DORA?

[ad_1]

La Ley de Resiliencia Operacional Digital ya está en vigor
El reglamento tiene como objetivo garantizar la preparación de las empresas financieras en caso de ciberataques
El cumplimiento ya ha costado a muchas empresas más de 1 millón de euros

La nueva Unión Europea Ley de Resiliencia Operacional Digital (DORA) Ahora activo, será aplicable a miles de empresas del Reino Unido que realizan actividades en los mercados financieros en el bloque, así como a importantes proveedores de servicios de TIC (CTTPS) que prestan servicios a empresas europeas.

Una nueva investigación de la empresa de gestión de la nube Rubrik ha cuantificado los costes de cumplimiento para las empresas del sector financiero. El informe de Rubrik Zero Labs encontró que casi la mitad de las instituciones financieras y bancarias (47%) ya han gastado más de 1 millón de euros en los dos últimos años. años en la implementación de regulaciones como las medidas DORA e ICA.

Hay cinco pilares de los requisitos de DORA; Gestión y gobernanza de riesgos de TIC, pruebas de resiliencia operativa digital, informes de incidentes de TIC, riesgos de terceros de TIC e intercambio de información. Esto establece expectativas para las empresas financieras con respecto a la protección de sus plataformas digitales, con un enfoque en la gestión de riesgos y la respuesta a incidentes.

Practica en tiempos de paz

Entonces, ¿cómo sería el cumplimiento seguro? Bueno, la conclusión fundamental es “práctica, práctica, práctica”, afirmó James Hughes, vicepresidente de arquitectura de soluciones y director de tecnología de Rubrik. Tecnología Radar Pro En el último evento.

“Así que puedes simular entrenamiento, puedes simular recuperación de aplicaciones, puedes simular recuperación de datos, pero realmente hacerlo es realmente clave, porque en realidad si (un ataque de ransomware) ocurre en medio de la jornada laboral, especialmente si están haciendo un día de capacitación en uno de servicios financieros, eso representa una enorme cantidad de presión, eso representa una enorme cantidad de lo que hacemos y cómo lo hacemos?

La priorización y preparación es lo más importante para las empresas fintech. el La industria de servicios financieros se está viendo más afectada que nunca A través de ataques de ransomware, la complacencia matará. Las pruebas de respuesta a incidentes ya no son sólo una mejor práctica, se han convertido en ley gracias a DORA.

“Dada la creciente amenaza del ransomware y el compromiso de terceros, implementar regulaciones es necesario y costoso. Comprender qué datos son más importantes, dónde residen y quién tiene acceso a ellos es esencial para identificar, evaluar y mitigar los riesgos de las TIC. .

Consecuencias del incumplimiento

La aplicación de la regulación comenzó el 17 de enero de 2025, por lo que las empresas deben estar seguras de que están siguiendo las reglas de cerca; de lo contrario, enfrentarán una multa de hasta el 2% de las ventas globales anuales totales de una empresa.

La aplicación de la ley probablemente se centrará en las violaciones “importantes y obvias” que tendrán el mayor impacto, pero las pequeñas empresas aún deberían hacer del marco una prioridad. Esto puede resultar muy costoso inicialmente, pero el beneficio a largo plazo de una sólida gestión de riesgos y una alta flexibilidad operativa conducirá a un “ecosistema financiero más seguro y resiliente”, lo que redunda en interés de todos.

“En términos de posibles medidas punitivas por incumplimiento, este es el enfoque habitual de la UE de menos zanahoria y más palo, con el riesgo de enormes multas en los peores casos”. dijo Tim Wright, socio y abogado de tecnología de Fladgate.

“Además, se pueden imponer multas periódicas de hasta el 1% del volumen promedio diario de operaciones en todo el mundo por incumplimiento continuo, por un período de hasta seis meses. Otras sanciones potenciales incluyen sanciones que incluyen una amonestación pública y restricciones a la actividad comercial. y posible suspensión de licencias.

córtalo bien

A pesar de dos años de preparación, muchas empresas del Reino Unido (43%) no cumplirán en la fecha límite, y muchas (28%) citan una falta de prioridades por parte de la organización, como sugiere una investigación de Orange Cyberdefence.

Para abordar este problema, el 97% de los encuestados está utilizando o planea contratar soporte externo para ayudar a su empresa a cumplir, pero el 20% de las organizaciones aún espera no cumplir con el plazo por al menos 4 meses.

Esto se produce a pesar del apoyo abrumador a esta legislación: el 88% de los profesionales de seguridad encuestados cree que DORA sería beneficioso y el 96% dice que mejoraría la resiliencia en toda la UE y el ecosistema empresarial de la UE.

ya en Un momento cada vez más estresante para los jefes de departamentos de TI y líderes de TI, el informe Rubrik muestra que el 79% de estos profesionales informaron que el estrés causado por los ataques de ransomware tuvo un impacto negativo en su salud mental.

A pesar de esto, la mayoría de los gerentes de TI del Reino Unido confían en la nube, y el 73% siente que los datos de sus clientes, socios y empleados están seguros en entornos de nube.

La regulación DORA es anómala en el sentido de que puede responsabilizar personalmente a los funcionarios de seguridad de la información, lo que significa que las personas pueden ser multadas o incluso encarceladas por incumplimiento, aunque esto último probablemente solo sea en casos de negligencia grave o denuncia de incidentes fraudulentos.

“Tendría que asumir negligencia grave en este tipo de escenario en el que no has cumplido con ninguno de ellos hasta el punto de no proteger ese riesgo en absoluto o has hecho cálculos falsos o informes falsos de que en realidad estás “Está en una posición mucho mejor que la tuya”, dice Hughes. “Realmente lo es”.

También te puede gustar

[ad_2]

Source Article Link

Tags cumplimiento, DORA, empresa, está, haciendo, perforar, suficiente, términos

Featured

NIS2 y DORA: mantenerse a la vanguardia

Post author By lisa nichols
Post date October 11, 2024
No Comments on NIS2 y DORA: mantenerse a la vanguardia

[ad_1]

A menos de un mes de la fecha límite actualizada para la Directiva de seguridad de la información y las redes (NIS2), las organizaciones de toda la UE se están preparando para que la nueva regulación entre en pleno vigor el 17 de octubre. Sin embargo, la cosa no se detiene ahí. El 17 de enero de 2025, la nueva Ley de Resiliencia Operacional Digital (DORA) también entrará en vigor para las instituciones financieras y proveedores externos de TI del sector.

Organizaciones de toda la UE y de otros lugares que hacen esto un trabajo A medida que las entidades de la región enfrentan una presión cada vez mayor para cumplir con estos requisitos regulatorios. Parece que la convergencia de estos marcos afectará a más de 170.000 organizaciones europeas en total: 150.000 organizaciones afectadas por NIS2 y se estima que más de 22.000 entidades financieras y proveedores de servicios TIC se ven afectados por DORA.

Simón Pescador

¿Qué son NIS2 y DORA?

NIS2 tiene como objetivo proporcionar una legislación integral a nivel de la UE sobre ciberseguridad. Amplía el alcance de la Directiva NIS e introduce requisitos de seguridad más estrictos para 18 sectores empresariales. De manera similar al Reglamento General de Protección de Datos (GDPR), NIS2 unirá medidas y métodos de ciberseguridad entre organizaciones para ayudar a fortalecer la infraestructura digital de Europa.

DORA es una guía sectorial específica para instituciones financieras, dirigida a su enfoque del riesgo operativo. DORA tiene dos objetivos claros. En primer lugar, reforzar la gestión de riesgos de TI en el sector de servicios financieros. En segundo lugar, armonizar las regulaciones existentes de gestión de riesgos de TI que ya existen en los Estados miembros de la UE.

DORA no deja margen de discreción a nivel de los estados miembros, mientras que NIS2 es una directiva que permite a los estados desarrollar reglas basadas en sus necesidades nacionales específicas.

Estrategias de cumplimiento de NIS2 y DORA

Si bien puede parecer difícil para las empresas que ya están pasando por una situación económica difícil, estos sistemas se están implementando en respuesta al creciente panorama de amenazas, y la implementación de los cambios necesarios brindará nuevas oportunidades para mejorar la resiliencia cibernética y general. Situación de seguridad. Para aprovechar estas oportunidades y adelantarse a las próximas regulaciones, aquí hay nueve estrategias de cumplimiento que las organizaciones deben adoptar:

Evaluación integral de riesgos: Las organizaciones deben realizar una evaluación de riesgos integral que cubra los requisitos tanto de NIS2 como de DORA. Esto debería incluir la identificación de activos críticos, la evaluación de amenazas potenciales y la evaluación del impacto de diferentes escenarios de riesgo. Un enfoque estandarizado para la evaluación de riesgos ayuda a identificar vulnerabilidades comunes y desarrollar una estrategia de mitigación optimizada.

Educación y formación: Debido a los recursos limitados, las organizaciones a menudo se encuentran particularmente vulnerables a las amenazas cibernéticas. Pero incluso cuando los recursos son limitados, las empresas pueden implementar sesiones continuas de capacitación y concientización, así como crear e implementar medidas de seguridad bien definidas. A través de esta capacitación periódica, las organizaciones pueden fomentar una cultura de cumplimiento y conciencia de seguridad.

Adoptar el modelo de responsabilidad compartida: En los últimos años, los ciberdelincuentes han avanzado en sus tácticas, ejerciendo una tremenda presión sobre las empresas para que actúen con rapidez. Una forma de abordar estas preocupaciones es adoptar un modelo de responsabilidad compartida para garantizar que las políticas y prácticas de seguridad se actualicen y se apliquen por igual en todas las organizaciones, sin dejar piedra sin remover. Una estrategia de cumplimiento activo comienza con roles, responsabilidades y objetivos claramente definidos y documentados dentro de la política de la empresa, en línea con las directrices NIS2 y DORA.

Informe integrado de incidentes: Las organizaciones necesitan desarrollar un plan de respuesta a incidentes cohesivo y unificado para cumplir con los requisitos de NIS2 y DORA, ya que ambos exigen mecanismos de notificación de incidentes. Esto incluye optimizar eficazmente los canales de comunicación, comunicaciones transparentes con los consumidores y garantizar la presentación oportuna de informes a las autoridades pertinentes.

Haga de la ciberseguridad un valor fundamental: Los líderes de seguridad deben trabajar duro para desmitificar la ciberseguridad y demostrar cómo unos pocos cambios de comportamiento pueden proteger a toda la organización de acuerdo con NIS2 y DORA. Es responsabilidad de los equipos de liderazgo senior integrar la seguridad y la privacidad en todas las iniciativas de datos desde el principio.

Gobernanza entre marcos: Las empresas deberían considerar la creación de equipos de cumplimiento dedicados o la consolidación de responsabilidades en funciones de gestión de riesgos existentes para supervisar el cumplimiento bajo múltiples marcos. Al crear una estructura de gobernanza clara, las organizaciones pueden mantener la coherencia, evitando la duplicación de esfuerzos y garantizando la rendición de cuentas.

Pruebas de resiliencia cibernética: No hay cumplimiento sin pruebas periódicas de los sistemas y procesos. Las organizaciones deben desarrollar un programa de pruebas integral que incluya pruebas de penetración, equipos rojos y ejercicios de continuidad del negocio para cumplir con los requisitos de NIS2 y DORA. Las organizaciones deben alinear sus procedimientos de prueba con los requisitos del marco para garantizar una postura de seguridad más resistente.

Benefíciese de la tecnología: Para facilitar la gestión del cumplimiento, las empresas deben utilizar soluciones tecnológicas e integrarlas en su estrategia general de seguridad. Esto incluye soluciones basadas en datos para evaluación de riesgos, gestión de incidentes y pruebas de resiliencia. Para garantizar informes más precisos, se deben considerar soluciones automatizadas para ayudar a optimizar los procesos y reducir los esfuerzos manuales.

Desarrollar confianza y transparencia: Para que exista confianza, las organizaciones deben, de acuerdo con NIS2 y DORA, compartir cómo la empresa maneja la información y los datos personales, incluido cómo los protege. Proporcionar esta información contribuirá en gran medida a permitir iniciativas de ciberseguridad más amplias. Una respuesta de seguridad sólida va más allá de la protección de datos e incluye reguladores, empleadosconsumidores y más. Por lo tanto, el cumplimiento continuo puede significar la diferencia entre un mal necesario y un socio confiable.

Convierta los desafíos de cumplimiento en oportunidades

A medida que se acercan las fechas límite de NIS2 y DORA, la adopción de un enfoque unificado para la gestión de riesgos, informes de incidentes, pruebas de resiliencia, tecnología y más puede ayudar a las organizaciones a navegar el panorama regulatorio de manera efectiva. El objetivo no es sólo cumplir con estos marcos, sino también aprovecharlos como catalizadores para mejorar la postura general de seguridad y la resiliencia operativa.

Hemos enumerado las mejores herramientas de monitoreo de red.

Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde mostramos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro

[ad_2]

Source Article Link

Tags DORA, mantenerse, NIS2, vanguardia