NetApp prepara al sector financiero para la llegada de la ley DORA

La Ley de Resiliencia Operativa Digital, conocida como DORA, tiene el objetivo de fortalecer la seguridad en el sector financiero de la Unión Europea, frente a las crecientes amenazas en ciberseguridad. Las entidades financieras deben disponer de capacidades integrales que permitan una gestión sólida y eficaz de los riesgos de las TIC, así como de mecanismos y políticas específicos para gestionar todos los incidentes relacionados con las TIC y notificar aquellos incidentes importantes.

Programada para entrar en vigor el 17 de enero de 2025, DORA busca mejorar la resiliencia de la Unión Europea frente a amenazas como el ransomware. Esta normativa implica importantes consecuencias para las entidades financieras que no cumplan con sus disposiciones, incluyendo la imposición de multas de hasta el 1% de sus ingresos medios anuales.

Una de las principales ventajas de DORA radica en la creación de un entorno propicio para la colaboración y el intercambio de información entre entidades financieras, lo que fortalece la capacidad del sector para hacer frente a amenazas emergentes y proteger los datos de los clientes de manera más efectiva. Para los usuarios finales, la implementación de esta ley resultará en una mayor transparencia y confianza en el sistema bancario europeo.

Adaptación a la ley y propuesta de NetApp

La regulación se centra en dos aspectos críticos: la concentración excesiva de datos y aplicaciones en la nube y la protección contra ciberamenazas, especialmente el ransomware. El aspecto más disruptivo de DORA es que busca mitigar el riesgo de depender demasiado de un solo proveedor de servicios en la nube.

Adaptarse a DORA implica superar varios desafíos, más allá de desplegar simplemente las soluciones técnicas necesarias. El principal reto reside en comprender la normativa y establecer un plan de proyecto detallado que abarque desde la identificación de las tecnologías necesarias hasta la definición de roles y responsabilidades dentro de las compañías. Este proceso de adaptación puede llevar desde unas pocas semanas hasta varios meses, dependiendo de la complejidad de la organización y los recursos disponibles. La proporcionalidad es un principio clave en este procedimiento y se espera que las empresas adapten la normativa de acuerdo con sus necesidades y capacidades específicas.

En España, las empresas están aún definiendo roles y responsabilidades relacionados con DORA. José Luis Álvarez Cubero, Executive Architect de NetApp EMEA & LATAM, ha observado que muchas de ellas todavía están comenzando a designar responsables dentro de los equipos para garantizar el cumplimiento de la normativa. Este proceso involucra a múltiples departamentos, incluyendo equipos de seguridad, legal y áreas impactadas por las disposiciones de DORA. Para que las compañías puedan cumplir con la norma, NetApp ofrece un amplio porfolio de productos y servicios que satisfacen los requisitos estipulados en los artículos de la ley referentes a la parte de TI, estos son:

--Artículo 25, que se centra en los riesgos planteados por la dependencia de proveedores de servicios TIC de terceros, como los de nube, y proporciona pautas para reducir este riesgo, incluida la adopción de una estrategia de múltiples nubes y la planificación de la repatriación de datos. En este sentido, NetApp Cloud Volumes permite cumplir con los requisitos de DORA al ofrecer la capacidad de crear, replicar, hacer copias de seguridad, escanear, clasificar y segmentar datos en cualquier nube. Además, NetApp permite la reincorporación de cargas de trabajo en caso de fallo en la nube.

Por su parte, NetApp Astra simplifica la gestión de las cargas de trabajo en entornos de kubernetes híbridos y multinube, ofreciendo la capacidad de proteger, mover y gestionar el almacenamiento persistente de las aplicaciones de manera eficiente, reduciendo el tiempo de inactividad y minimizando la pérdida de datos. Además, se escala según las necesidades del negocio, asegurando la continuidad operativa de las aplicaciones críticas.

--Artículo 8, que se centra en la protección y prevención de datos, incluyendo la implementación de las últimas herramientas y estándares para proteger los datos en tránsito y en reposo. Con NetApp Cloud Data Sense, las empresas pueden analizar y mejorar los permisos de acceso a archivos, clasificar el dato y entender dónde están los más sensibles y personales, fortaleciendo así la seguridad de los datos. Además, dentro de NetApp ONTAP, fpolicy utiliza el aprendizaje automático para identificar y prevenir ataques de ransomware sofisticados. Esto permite a las entidades financieras identificar patrones inusuales de acceso a datos y responder proactivamente para protegerlos.

--Artículo 9, establece requisitos para disponer de mecanismos de detección de actividades anómalas y testearlos con frecuencia. Las soluciones Cloud Insights-workload Security de NetApp son capaces de rastrear el comportamiento de los usuarios para identificar patrones de acceso a los datos. En caso de localizar un comportamiento anormal, responde de manera proactiva, negando el acceso a archivos y carpetas donde se encuentren actividades sospechosas. Igualmente, NetApp Snapshot garantiza que los datos no sean vulnerables a ataques de ransomware.

--Artículo 10, aborda la respuesta y recuperación ante incidentes tecnológicos. NetApp FlexClone y SnapRestore pueden restaurar rápidamente un volumen completo o archivos individuales de una copia instantánea ante el impacto de un ataque de ransomware, mientras que los servicios profesionales de NetApp pueden ayudar a desarrollar planes de continuidad del negocio y garantizar una recuperación eficiente.

--Artículo 11, especifica requisitos detallados para los métodos de copia de seguridad y recuperación de datos. NetApp MetroCluster garantiza la continuidad del negocio mediante la replicación síncrona y la disponibilidad continua de datos críticos, mientras que SnapLock bloquea copias de seguridad para que nadie las pueda borrar.

NetApp ya trabaja con algunas de las principales entidades financieras para facilitar su adaptación a DORA. Según José Luis Álvarez, “somos pioneros en securizar el entorno financiero”.