El Reglamento sobre la resiliencia operativa digital (Digital Operational Resilience Act, DORA) entra en vigor el 17 de enero de 2025 y los equipos de NetOps del sector de servicios financieros deben realizar algunos cambios para garantizar su cumplimiento.
Los bancos, las compañías de seguros, las empresas de inversión y sus proveedores TIC deben cumplir ahora una serie de requisitos más estrictos relacionados con la gestión de riesgos, la resiliencia de sus redes y la notificación de incidentes, entre otros. Mi compañero Ian Waters cuenta en detalle cuáles son los requisitos de la normativa DORA y cómo ThousandEyes puede ayudar a su cumplimiento si necesita más información.
DORA no es una simple lista de tareas pendientes que pueda ir tachando y de la que después se pueda olvidar. Se trata de un conjunto de requisitos que exigen una monitorización y vigilancia constantes, no solo de su propia infraestructura informática, sino también de la de sus partners externos. Se trata de que las instituciones financieras asuman la plena responsabilidad de toda su cadena de prestación de servicios, incluso de las partes que no están bajo su control directo.
Los equipos de NetOps de este sector, por tanto, deben adoptar un nuevo enfoque en su gestión de la red, para el que esta guía práctica les será de ayuda: señala los tres factores fundamentales que los equipos de NetOps deben monitorizar de forma continua, a poder ser utilizando la automatización para minimizar la carga de trabajo y mejorar la fiabilidad.
Checklist del Reglamento sobre la resiliencia operativa digital (DORA)
Si la nueva normativa DORA aplica a su equipo, estas son los tres aspectos que no puede permitirse ignorar:
1. Asegurarse de que sus sistemas de back-up estén siempre listos para la acción
Se podría argumentar que esto siempre debería haber sido así, pero ahora más que nunca los sistemas de respaldo no deben fallar. Su entorno de conmutación por error o failover debe estar listo para funcionar siempre que sea necesario.
Hemos visto ejemplos del sector financiero en los que esto no ha sido así en el pasado reciente. En octubre de 2023, por ejemplo, dos importantes bancos de Singapur sufrieron una caída que duró la mayor parte de un fin de semana después de que una actualización de una instalación de refrigeración en uno de sus centros de datos no saliera según lo previsto, lo que provocó la parada de los equipos informáticos. Ambos bancos declararon haber activado sus sistemas de copia de seguridad, pero no pudieron restablecer completamente sus servicios hasta el día siguiente.
DORA no solo exige que las entidades financieras dispongan de un sistema de respaldo seguro que permita reanudar rápidamente los servicios en caso de interrupción, sino que también requiere que estos sistemas se pongan a prueba periódicamente para garantizar su eficacia. Si su sistema de respaldo deja de funcionar cuando lo necesita, además de enfrentarse a clientes descontentos, puede ser sancionado. En lo que respecta a las instituciones que dependen de proveedores de servicios TIC externos, el reglamento DORA obliga a las entidades financieras a evaluar la resiliencia operativa de estos proveedores. Este proceso incluye la realización de simulaciones o pruebas de rendimiento para determinar la eficacia con la que el tercero puede gestionar una degradación significativa.
La monitorización constante de los sistemas de respaldo sigue siendo por tanto vital, dado que hasta el cambio más inocuo puede tener consecuencias inesperadas. Una mínima modificación en una página web puede impedir la autenticación de los usuarios. El cambio de una política de seguridad en un proveedor de la nube externo podría denegar el acceso a un circuito de respaldo.
Las compañías necesitan saber en tiempo real cuándo se producen estos problemas con una monitorización detallada de toda la cadena de servicios. Esperar a que se produzcan incidentes para actuar y, una vez ocurren, confiar en que se resuelvan por sí solos no es el enfoque adecuado.
La automatización desempeña un papel vital en este sentido, en el que sistemas como ThousandEyes prueban constantemente el estado de sus operaciones en activo y de las de respaldo, y avisan cuando un componente fundamental no funciona como debería.
2. Crear un sistema de monitorización exhaustivo
Hay dos formas de saber que las cosas van mal: que haya un sistema de monitorización exhaustivo o que haya quejas de clientes. Lo ideal es utilizar el primero y no el segundo. De hecho, DORA así se lo exige a las instituciones de servicios financieros que prestan servicios en la UE.
Validar continuamente que los sistemas de alerta y monitorización funcionan correctamente es crucial para detectar fallos de seguridad y otros problemas de fiabilidad. No se puede dar por sentado que funcionan, hay que realizar comprobaciones periódicas para asegurarse de que todo esté en orden. De nada sirve instalar detectores de humo si no se comprueba con regularidad que las baterías estén cargadas.
La validación de la integridad y el rendimiento de sus sistemas de monitorización debe ser un proceso continuo y automatizado para garantizar que estos sean fiables y que estén preparados para proporcionar las alertas y notificaciones necesarias. Aquí la IA podría emplearse para analizar miles de millones de mediciones diarias de Internet, la nube y las redes empresariales que permitieran identificar problemas y ofrecer insights sobre cómo están afectando a los usuarios.
Con ThousandEyes, por ejemplo, puede establecer los umbrales de métricas como la latencia, el tiempo de respuesta y la pérdida de paquetes, y crear paneles que le avisen cuando no se cumplan estos KPI. Esta información puede combinarse con otros conjuntos de datos para ofrecer una visión completa del estado y el rendimiento de las aplicaciones.
DORA también impone requisitos estrictos a las entidades financieras para que notifiquen los incidentes a las autoridades competentes. Sin una monitorización y notificación adecuadas, podría estar dejando a su empresa expuesta a posibles sanciones si se produce un incidente que no haya detectado en tiempo real.
3. Monitorizar activamente los sistemas de terceros
De acuerdo con el reglamento DORA, su responsabilidad no termina con su propia infraestructura física. La normativa exige a las entidades financieras que validen continuamente la integridad y el rendimiento de los entornos de terceros de los que depende su organización.
Esto no significa únicamente validar el rendimiento de los servicios de terceros, sino comprobar si existen riesgos potenciales para la seguridad, como el secuestro de rutas BGP o la envenenamiento de DNS, que en última instancia podrían afectar a sus clientes.
Teniendo en cuenta la cantidad de sistemas de terceros que intervienen en la prestación de servicios, digamos que no es tarea fácil. Proveedores de nube, CDN, proveedores de SaaS, servicios de mitigación de DDoS y pasarelas de pago son solo algunos de los sistemas de terceros con los que cuentan sus servicios o aplicaciones. Y como ya comentamos en un blog recientemente, confiar únicamente en una página de estado del servicio para descubrir cuándo hay un problema con un proveedor de servicios TIC externo puede no ser eficaz. Los equipos deben tener en cuenta diversos puntos de datos y disponer de su propia monitorización exhaustiva tanto para los servicios propios como para los ajenos.
Una vez que haya identificado a un proveedor de servicios TIC externo como responsable de una caída, también es importante disponer de datos concretos que pueda compartir con él (y con sus compañeros) a la hora de afrontar el problema y colaborar para resolverlo.
Esto también nos remite a un tema sobre el que mi colega Kemal Sanjta ha reflexionado recientemente: la importancia de la ingeniería del tráfico. Los ingenieros de redes optimizan constantemente el enrutamiento para garantizar que el tráfico siga la ruta óptima, pero eso requiere una monitorización exhaustiva tanto del tráfico de entrada como de salida, para asegurarse de que éste sigue las rutas previstas y que no se produce ningún problema con sistemas de terceros. Si se dispone de cientos de diversos puntos de monitorización en todo el mundo, se le puede notificar rápidamente si se producen caídas o filtraciones de rutas.
La era de DORA
Estos consejos buscan ayudar a las instituciones financieras regidas por el reglamento DORA a tomar las medidas adecuadas, pero son a su vez buenas prácticas empresariales que se pueden aplicar en cualquier sector.
Comprobar de forma continua y proactiva que sus sistemas de respaldo están preparados para entrar en acción si fallan sus sistemas principales le garantiza que no está malgastando dinero en dispositivos de seguridad ineficaces, y podría salvar a su empresa de un desastre. Mantener sistemas de monitorización en tiempo real es crucial para detectar problemas antes que sus clientes. Y vigilar de cerca el rendimiento de los entornos de terceros garantiza que sus sistemas tengan menos probabilidades de verse arrastrados cuando un partner tiene un problema.
En este sentido, nuestro check-list de DORA puede ser un ejercicio recomendable para cualquier equipo de NetOps en cualquier sector y región del mundo.