Más allá de la recuperación: Lo que no sabe del DORA

Parte 5 de una serie de 5 partes

Creo que es justo decir que la mayoría de los que trabajamos en seguridad o cumplimiento normativo hemos oído hablar de DORA, la Ley de Resiliencia Operativa Digital de la UE, que entrará en vigor el año que viene.

La ley afecta no sólo a las entidades financieras (que incluyen desde bancos a empresas de inversión, compañías de seguros y más) que ofrecen servicios en suelo de la UE, sino también a muchos proveedores de servicios que suministran servicios críticos de TIC a estas entidades.

No son pocos los proveedores del sector del almacenamiento y la recuperación que han promocionado sus soluciones como la respuesta al cumplimiento de la ley DORA. Después de escuchar más o menos las mismas cosas de una plétora de departamentos de marketing, se le perdonaría por pensar que DORA era todo sobre el tipo de "resistencia" que viene de su capacidad para recuperarse de una violación. Yo sí lo creía.

Sin embargo, después de leer toda la ley, la mayoría de las publicaciones de la UE que la respaldan, así como las interpretaciones jurídicas de varios bufetes de abogados sobre el impacto de la ley, me corrijo y quería compartir algunas de las cosas que he aprendido.

El DORA es más que resiliencia y recuperación

Escribiendo para un proveedor de infraestructuras de datos como Hitachi Vantara, a mí también me habría gustado decir que DORA se centraba en la resiliencia empresarial mediante una recuperación rápida. Pero no es así. En muchos sentidos, DORA trata tanto de resistir ataques (es decir, de no ser derribado en primer lugar) como de recuperarse en caso de que algo vaya mal.

He aquí un pequeño secreto. Cuando me dispuse a escribir este artículo, mi intención inicial era tratarlo como un artículo independiente y no como parte de la serie Más allá de la recuperación porque pensaba que no encajaría. Para mi propia sorpresa, después de hacer la investigación, muchos de los conceptos que hemos estado discutiendo en torno a la adopción de un enfoque holístico, estratégico y centrado en la causa raíz de la seguridad son muy relevantes para el cumplimiento de DORA. Incluso pueden ser necesarios.

El DORA exige una gestión continua del riesgo. Y, como hemos visto en esta serie, la mera gestión del riesgo es insostenible o, al menos, muy costosa, y va a ser mucho más costosa con el DORA. Creo que su mejor apuesta a largo plazo es cambiar a un enfoque de gestión de calidad más proactivo para reducir la cantidad de gestión de riesgos que necesita en primer lugar.

Un nuevo enfoque para abordar el DORA

Debido a las tendencias actuales que hemos analizado, que muestran que los riesgos son cada vez mayores, el cumplimiento de los criterios de los reguladores será difícil tal como está. Y lo seguirá siendo cada vez más a medida que el riesgo se acumule, de forma insostenible.

Un ejemplo de que el DORA va mucho más allá de la recuperación, y de lo grave que puede llegar a ser, es que los reguladores pueden exigir a las organizaciones que aborden vulnerabilidades específicas a su discreción. El incumplimiento o la incapacidad de hacerlo podría acarrear multas e incluso sanciones penales.

Por tanto, es mucho más que copias de seguridad y recuperación. De hecho, si nos fijamos en el Proyecto de Normas Técnicas de Reglamentación (Sección 3), uno de los primeros requisitos del DORA es la gestión de activos.

Es lógico. ¿Cómo puede decidir qué es importante para su organización, qué necesita proteger y qué podría necesitar recuperar primero, si no sabe qué sistemas impulsan qué procesos empresariales e ingresos, o dónde están? ¿Y cómo puede proteger los sistemas que desconoce o sobre los que no tiene control?

Esta conexión entre activos informáticos y procesos empresariales es un tema recurrente en DORA, y personalmente me alegra verlo.

La responsabilidad va directamente a la cúspide

Tras la gestión de activos, los requisitos continúan con la gestión de incidentes, la clasificación y notificación, y las pruebas de resistencia. Todo ello se integra en un marco obligatorio de gobernanza y control de las TIC para minimizar el riesgo para los activos críticos de negocio y de TI.

Y la responsabilidad de este marco recae en el más alto nivel de la organización.

Citando a Kemp IT Law, "El órgano de dirección de la entidad financiera (generalmente el consejo) será responsable de este marco, incluyendo políticas, funciones, planes de continuidad de negocio, auditoría, supervisión de proveedores de servicios TIC, formación, etc.."

Ahora bien, nada de esto significa que la recuperación no forme parte del DORA. Es muy importante, y algunas de sus partes son muy estrictas. Una que no he visto mencionada por ningún proveedor es que los servicios críticos, como los que realizan el procesamiento al final del día, deben poder recuperarse en dos horas.

Dos horas.

De nuevo, bajo pena de multas y, potencialmente, de cargos penales.

Prepárese para la recuperación y demuéstrelo

Y luego está lo que podría ser uno de los factores o diferenciadores más significativos del DORA: el requisito de demostrabilidad.

En otras palabras, el regulador podría exigirle que demuestre que puede recuperarse en un plazo de dos horas, o llevar a cabo la corrección de vulnerabilidades, o que su registro de activos es exhaustivo.

No hacerlo podría dar lugar a incumplimientos y sanciones incluso sin que se produzca un incidente. Y agravarlas significativamente en caso de que se produzca una infracción.

Considere también que cada país tiene su propio regulador. Esto significa que el regulador de cada país puede decidir aplicar el DORA tan estrictamente como considere oportuno. Un incidente, o incluso la falta de respuesta a un problema planteado por el regulador de un país de la UE, podría dar lugar a problemas en otros países de la UE en los que usted opere cuando sus reguladores se enteren.

Recapitulemos lo que sabemos sobre DORA:

• Exige un planteamiento holístico y global del riesgo, con riesgos aprobados y revisados continuamente, desde el nivel ejecutivo hacia abajo.
• Requiere una visión global de los activos y procesos empresariales para evaluar, reducir y mitigar sus riesgos asociados; no sólo un enfoque informático de la seguridad.
• Exige un programa o "marco" para abordar el riesgo en todos los procesos empresariales y de TI de su empresa en particular; no un marco genérico de cumplimiento de TI.
• Su naturaleza estricta significa que debemos considerar cuidadosamente y de forma proactiva cómo hacemos las cosas para minimizar el riesgo y la complejidad de cualquier proceso empresarial. De este modo, introduciremos menos problemas y podremos gestionar los restantes con mayor facilidad. No basta con añadir más capacidad de detección y respuesta: no podremos seguir el ritmo.
• Los problemas de deuda técnica, como los sistemas que no pueden incorporarse fácilmente a un plan de recuperación, actualizarse, parchearse o a los que no se pueden aplicar controles de seguridad, van a suponer importantes retos para el riesgo legal y de cumplimiento.
• Requiere que nos recuperemos con extraordinaria rapidez y que seamos capaces de demostrar nuestra capacidad para hacerlo.

Todo es cuestión de resistencia inherente

Así que, aunque la mayoría de las voces han estado hablando de DORA como si se tratara de recuperación, en realidad se trata principalmente de lo que he denominado anteriormente "resiliencia inherente". Es un término que acuñé porque siempre he pensado que la verdadera resiliencia debería consistir tanto (o más) en no ser derribado en primer lugar que en levantarse. Y teniendo en cuenta que la gran mayoría de las brechas son causadas por problemas conocidos, esta es un área en la que podemos mejorar mucho aplicando los conceptos presentados a lo largo de esta serie.

Para repetirlo, debemos ser más estratégicos y centrarnos en las causas profundas de nuestros problemas, los procesos informáticos y empresariales que introducen los riesgos y vulnerabilidades evitables que, a su vez, son responsables de la mayoría de las infracciones. Como ya hemos explicado antes, la red de seguridad de nuestra capacidad de recuperación es el mayor facilitador y acelerador de este cambio.

También está el poder de la simulación, del que hablamos en nuestra última entrega, que no sólo puede acelerar aún más nuestro cambio hacia entornos de menor riesgo, sino también ayudarnos a demostrar el cumplimiento de forma más fácil y rentable. Por no hablar de la velocidad a la que las empresas pueden innovar y adaptarse.

Las potentes posibilidades de simulación que ofrece Hitachi Vantara permiten simular y demostrar la recuperación de una forma verdaderamente realista (aprovechando los gemelos digitales de sus copias de seguridad) que satisfaga tanto a la empresa como a los organismos reguladores. Esto es más crítico de lo que mucha gente cree, ya que los esfuerzos de recuperación a menudo pueden fracasar debido a la dificultad de anticipar las relaciones y dependencias entre sistemas y cargas de trabajo en un escenario de desastre o incumplimiento.

La simulación es esencial para el proceso

Es similar a por qué la deuda técnica es a menudo tan difícil de abordar. Sabemos que es probable que existan dependencias desconocidas o impredecibles que generan miedo a realizar cambios debido a sus posibles repercusiones. Pero aprovechar la capacidad de simulación para crear una "copia" de su infraestructura nos permite eliminar esta barrera y resolver mucho más rápidamente los problemas de deuda técnica que podrían impedirnos cumplir la normativa y mucho más.

Naturalmente, la recuperación también es una parte importante de DORA, y podría decir que Hitachi Vantara, al disponer de la solución de recuperación más rápida del mundo, es su mejor apuesta para cumplir sus estrictos requisitos de tiempo de recuperación.

Mecanismos adicionales como la inmutabilidad real de los datos refuerzan aún más las posibilidades de éxito de la recuperación.

Pero no debemos olvidar la libertad y las posibilidades que nos brinda esta red de seguridad a la hora de realizar cambios proactivos en lugar de limitarnos a esperar a que ocurra lo peor. Son estas cosas, más allá de la recuperación, las que hacen que estas capacidades sean tan valiosas todo el tiempo, no sólo cuando ocurre un desastre.

Cuanto más rápida, fiable y completa sea su solución de recuperación, más rápido podrá impulsar este cambio proactivo y lograr un cumplimiento exhaustivo de la DORA. Y en caso de que las cosas vayan mal, esos mismos atributos no solo le permitirán volver al negocio más rápido, sino que protegerán su cumplimiento en términos de objetivos de tiempo de recuperación.

Aprovechar el DORA como oportunidad de cambio

Para terminar, debo decir que mis puntos de vista en esta serie son los míos propios, y usted debe absolutamente consultar a su propio consejo y tomar sus propias decisiones. Estoy seguro de que algunos pensarán que mi punto de vista sobre el DORA es más amplio de lo necesario. Pero responder al DORA de esta manera significa que podemos aprovechar su impulso para impulsar un cambio real, mejoras reales en nuestras formas de trabajar, acelerar la transformación, aumentar la agilidad e impulsar nuestro balance final al tiempo que reducimos nuestro riesgo.

Entonces, ¿por qué tratar el DORA como un coste de cumplimiento adicional y arriesgarse a incumplirlo por no hacer lo suficiente? En lugar de considerarlo una oportunidad no sólo para el cambio, sino para obtener mejores resultados, mejores TI y mejores negocios.

La elección es suya.

Lea los artículos anteriores de esta serie

• Más allá de la recuperación: Más allá de la tecnología, parte 1 de 5
• Más allá de la recuperación: explorando el problema, parte 2a de 5
• Más allá de la recuperación: Explorando el problema, parte 2b de 5
• Más allá de la recuperación: El dinero habla, parte 3 de 5
• Más allá de la recuperación: Romper la parálisis del legado, parte 4 de 5