La nueva regulación de ciberseguridad de la Unión Europea (UE), el Reglamento de Resiliencia Operativa Digital (DORA), no solo impacta al sector financiero, sino también a los proveedores de servicios TIC con los que colaboran. Microsoft encabeza esa lista. Si te preguntas cómo afectará esto a tu organización o infraestructura de TI, aquí tienes una visión general de cómo Microsoft está abordando el cumplimiento del DORA.
Soluciones de Microsoft para el cumplimiento del DORA
Microsoft cuenta con una variada cartera de productos para el sector financiero, como Microsoft Cloud for Financial Services, Microsoft 365, Microsoft Azure, etc. Por lo tanto, ya cuenta con sólidos protocolos de TIC y se encuentra entre los primeros en trazar su preparación para el cumplimiento del DORA. En el marco de DORA, Microsoft pretende:
- Ayudar a los clientes a cumplir con éxito sus compromisos contractuales;
- Gestionar los riesgos relacionados con las TIC y establecer un marco interno de gobernanza y control; y
- Reforzar los servicios para la gestión, clasificación y notificación de incidentes.
Por ejemplo, Microsoft Defender for Cloud y Azure Security Center ofrecen a los clientes detección y respuesta continuas ante amenazas. En cambio, Microsoft Purview permite realizar pruebas de resiliencia e intercambio de información sobre incidentes para ajustarse a las nuevas regulaciones.
Todas estas integraciones son beneficiosas, pero ¿cómo encajan en el marco tan estricto del DORA? Teniendo esto en cuenta, examinemos cómo funcionan algunas de estas aplicaciones con los cinco pilares del reglamento DORA.
Gestión de riesgos de las TIC
El aspecto más crítico para el cumplimiento del DORA es la gestión de riesgos de las TIC, y Microsoft ha puesto su protección contra amenazas avanzadas (ATP) y Microsoft Sentinel a la vanguardia de la detección proactiva de amenazas y la respuesta a las mismas.
Los informáticos pueden confiar en ATP para protegerse en tiempo real contra los ciberataques. Utiliza análisis basados en IA y algoritmos de aprendizaje automático para revisar correos, archivos adjuntos y enlaces antes de que el usuario pueda interactuar con ellos. También utiliza la tecnología sandbox para aislar las amenazas en un entorno seguro. Por otro lado, Microsoft Sentinel puede identificar vulnerabilidades y proporcionar análisis e información de seguridad procesable.
Para el cumplimiento del DORA, Microsoft propone integrar la suite Defender de Microsoft 365 E5 y Microsoft Sentinel en el marco de gestión de riesgos de TIC.
Gestionar y reportar incidentes
Microsoft Defender y Compliance Center son las dos principales soluciones que ofrece Microsoft para detectar y notificar rápidamente incidentes relacionados con las TIC. El primero es fundamental para detectar amenazas de seguridad desde el minuto uno, mientras que el Compliance Center brinda un panel centralizado para la supervisión y generación de informes.
Estos componentes proporcionan a las entidades reguladas un sistema completo de notificación y gestión de incidentes que se ajusta a los nuevos estándares del DORA. Ambas integraciones de software también mejoran la eficiencia con flujos de trabajo automatizados para evaluar, documentar y notificar incidentes con rapidez y precisión.
Las organizaciones también pueden aprovechar la herramienta de gestión de eventos e información de seguridad (SIEM) de Microsoft, Sentinel, así como sus protocolos de detección y análisis basados en IA para reforzar las políticas de seguridad.
Pruebas de resiliencia
La resiliencia operativa es el objetivo principal que el DORA busca alcanzar dentro de la EU. Para respaldar este objetivo, los clientes pueden utilizar Azure Security Center para realizar evaluaciones de seguridad actualizadas y pruebas de resistencia entre sus equipos.
Azure puede consolidar las últimas tendencias en seguridad para facilitar y mantener actualizados los entornos de pruebas que cumplen las disposiciones de ciberresiliencia de DORA. Como recordatorio, las instituciones financieras también compartirán la responsabilidad de asegurarse de que los proveedores de servicios externos estén al día en su formación.
Las Arquitecturas de referencia de ciberseguridad de Microsoft (MCRA) pueden ayudarte a aprender más sobre cómo integrar las capacidades y tecnologías de ciberseguridad de Microsoft en tu marco de gestión de riesgos.
Gestión del riesgos de terceros
Cuando se trata de capacidades de gobernanza y cumplimiento normativo, Microsoft Purview está entre los mejores de su categoría.
También destaca en la gestión de servicios de terceros, al proporcionar a las organizaciones una visibilidad completa de su estructura de datos, incluida la supervisión de los datos almacenados y procesados por proveedores. Por eso, Microsoft Purview proporciona capacidades de gestión unificada de datos que pueden ayudar a las instituciones reguladas a cumplir rápidamente con las normativas.
Microsoft Purview Compliance Manager también puede ayudar a evaluar y gestionar el cumplimiento en entornos multinube. Por ejemplo, puedes crear evaluaciones predefinidas para cumplir con tus requisitos específicos, así como con los estándares habituales y regionales del sector.
Compartir información y gobernanza
Aparte de su conjunto de herramientas de productividad y comunicación, Microsoft 365 ya aborda muchos protocolos relacionados con las TIC, especialmente con el Centro de Cumplimiento de Microsoft 365. Desde la prevención de pérdida de datos (DLP) hasta la auditoría automatizada, el Centro de Cumplimiento puede proporcionar a los administradores de TI con herramientas sólidas de gestión para controlar los activos y gestionar el cumplimiento normativo. Además, Microsoft ofrece varias vías seguras para que los accionistas se comuniquen.
Buenas prácticas para aplicar la normativa de DORA con Microsoft
Automatizar las evaluaciones de riesgos y los controles de seguridad
Hay muchas razones para automatizar los procesos empresariales más allá de la reducción del error humano. La automatización de TI puede permitir a las empresas redistribuir los activos de forma más eficiente, estandarizar los flujos de trabajo y mejorar los controles de seguridad. Por ejemplo,
Azure RBAC (Control de Acceso Basado en Roles) se puede utilizar para ajustar el acceso a tus activos, lo que ayuda a garantizar el cumplimiento a nivel de usuario y a mejorar la eficiencia.
Realizar pruebas de seguridad regulares y simulacros de resiliencia
Varios artículos del DORA han resaltado la importancia de la formación y la concienciación. Más importante aún, el documento reitera la responsabilidad de las organizaciones financieras de formar a su personal y asus proveedores de acuerdo con la normativa de la UE. Lo bueno es que las inversiones en formación siempre compensan, casi de inmediato y a largo plazo.
Establecer un marco de cumplimiento con las herramientas de Microsoft
Un marco de cumplimiento es esencial para establecer una solución de gestión de riesgos completa y eficaz. Un enfoque estructurado y una definición clara de las políticas y los activos pueden ayudar a tu organización a adaptarse más rápido a las normativas y a corregir proactivamente las carencias del sistema.
Preguntas frecuentes sobre Microsoft y el cumplimiento del DORA
1. ¿Pueden los servicios de Microsoft garantizar plenamente el cumplimiento del DORA?
Por sí solas, las herramientas de Microsoft no pueden garantizar el pleno cumplimiento. En primer lugar, el software debe ir acompañado de una implementación o integración adecuada. En segundo lugar, otro software de terceros puede ofrecer un marco o solución más adecuada a los requisitos específicos de una organización.
Además, el cumplimiento del DORA exige un proceso de monitoreo y revisión de riesgos de terceros. También fomenta que las empresas diversifiquen su infraestructura TIC en lugar de consolidar los procesos principales bajo una sola plataforma. Por lo tanto, las instituciones financieras deben recurrir a otros proveedores para cumplir las disposiciones del DORA.
2. ¿Cuáles son las principales diferencias entre el DORA y otras normativas de ciberseguridad?
El DORA se centra principalmente en la resiliencia operativa digital. Sus disposiciones buscan garantizar que las entidades financieras de la UE tengan las capacidades y estrategias necesarias para resistir y recuperarse de interrupciones informáticas significativas.
Por su parte, el Reglamento General de Protección de Datos (RGPD) se centra más en la privacidad y la seguridad de los datos, mientras que NIS2 establece directrices más amplias para diversas industrias esenciales. ISO 27001, por su parte, introduce principalmente estándares para sistemas de gestión de seguridad de la información (SGSI).
3. ¿Cómo pueden las pequeñas y medianas instituciones financieras emplear las herramientas de Microsoft de forma rentable?
Las pequeñas y medianas empresas financieras pueden comenzar con Microsoft 365 o Microsoft Azure como integraciones principales para cumplir con los requisitos normativos. Muchas empresas ya cuentan con una licencia para al menos una de estas soluciones, y las que no, encontrarán un gran valor en estas suites más allá de solo cumplir con la normativa.
Las PYMES pueden priorizar paquetes esenciales o soluciones combinadas que aborden las carencias actuales en su cumplimiento normativo. La organización puede posponer la adopción de soluciones avanzadas y más costosas hasta que esté lista para escalar.
Trazar una estrategia eficaz para el cumplimiento del DORA
Las herramientas y servicios de Microsoft pueden ofrecer una base sólida para cumplir con el DORA. Sin embargo, diversificar tu infraestructura de TI también puede ofrecer ventajas clave. Algunos procesos, como la generación de informes y la documentación automatizadas, pueden optimizarse aún más mediante soluciones integradas de otros especialistas. Lo importante es que todo lo que añadas complemente tus aplicaciones de Microsoft y refuerce tu alineación con las disposiciones del DORA.
