A lo largo de un día normal, recurrimos a cientos, cuando no miles, de servicios digitales. Tanto en el trabajo como en nuestra vida personal, las experiencias digitales forman ya parte del tejido de la vida moderna. Sin embargo, la innovación que esperamos de las aplicaciones actuales solo es posible gracias a un complejo ecosistema de conexiones, plataformas, API e integraciones, todas ellas funcionando de forma conjunta.
El sector de los servicios financieros es uno de los más conscientes de ello, ya que a día de hoy, muchos de nosotros interactuamos principalmente con nuestros bancos, aseguradoras y plataformas de comercio de forma digital. Aunque en muchos países se han cerrado sucursales, sería difícil argumentar que los servicios digitales que las han sustituido no nos han facilitado la vida. A pocos de nosotros nos gustaría volver a un mundo en el que tuviéramos que acudir a una sucursal para transferir dinero entre cuentas.
Ahora que estos servicios digitales se han convertido en la nueva sucursal bancaria de los clientes, es más importante que nunca garantizar la calidad de su prestación: es aquí donde puede ganarse o perderse la reputación de las instituciones financieras ante clientes y reguladores.
En ThousandEyes, hemos tenido la suerte de forjar relaciones duraderas con muchas de las principales empresas de servicios financieros en todo el mundo. Estas compañías han venido utilizando la plataforma para garantizar las experiencias digitales que ofrecen en varios casos de uso. Y ahora , entra en vigor en la Unión Europea una nueva legislación que establece lo que se espera del sector en términos de operaciones digitales y resiliencia.
Esperando al 17 de enero de 2025
En septiembre de 2020, la Comisión Europea publicó su proyecto de Ley de Resiliencia Operativa Digital (DORA, por sus siglas en inglés) como parte del Paquete de Financiación Digital (DFP). Por aquel entonces, Cisco acababa de completar la adquisición de ThousandEyes para reforzar su oferta de monitorización de la experiencia digital (DEM). La DORA, aplicable a más de 22.000 empresas de servicios financieros, ya sea dentro de la Unión Europea o que realicen negocios en ella, buscaba definir un enfoque coherente para las prácticas de seguridad y resiliencia.
En lugar de centrarse exclusivamente en la resiliencia financiera, la DORA se propuso ampliar ese marco a los servicios digitales, estableciendo un nuevo estándar de requisitos esperados en caso de graves perturbaciones operativas, es decir, problemas de seguridad o informáticos que afecten a la prestación de esos servicios. En otras palabras, la expectativa de que las empresas de servicios financieros se hagan cargo de esa experiencia de principio a fin, con visibilidad y conocimiento de los problemas que afectan al servicio, dondequiera que se produzcan.
La Unión Europea fijó un plazo de aplicación de dos años para las recomendaciones establecidas en la ley, a partir del 16 de enero de 2023, con la previsión de que esos requisitos sean de obligado cumplimiento a partir del 17 de enero de 2025. Esto significa que todas las empresas de servicios financieros que estén ubicadas en la Unión Europea o desarrollen su actividad dentro de ella, deberán cumplir con la DORA para esa fecha. El regulador australiano (APRA) y la Reserva Federal de EE. UU. también han introducido normativas básicas similares sobre resiliencia operativa para las empresas de servicios financieros.
Proveedores externos de servicios TIC
La DORA amplía el ámbito de aplicación de la normativa a otros nuevos actores del sector, como los proveedores de crowdfunding y los de servicios de cripto activos, y establece las expectativas de las empresas en términos de gestión, comprobación y notificación de cuestiones relacionadas con las TIC (Tecnologías de la Información y la Comunicación); sin embargo, lo interesante de la DORA es que se centra en los proveedores externos de servicios TIC.
Los proveedores de servicios en la nube y otros proveedores de servicios TIC están incluidos en la ley, junto con la expectativa de que los equipos de TI y seguridad, dentro de las instituciones financieras en las que se aplica la DORA, garanticen la resiliencia de un tercero; esto requerirá una estrecha interacción y esfuerzos conjuntos con sus proveedores de servicios TIC externos fundamentales, especialmente cuando apoyan la prestación de un servicio esencial para la empresa (IBS). La DORA obliga a las empresas a realizar un ejercicio de asignación para identificar sus IBS y sus dependencias, tanto internas como externas. Este conjunto cada vez más amplio de proveedores deberá formar parte del proceso de planificación, pruebas, gestión y notificación, lo que significa que se necesitan nuevos enfoques en materia de garantía y visibilidad digitales.
En ThousandEyes, hemos defendido la idea de que las organizaciones tomen el control de la experiencia digital de extremo a extremo proporcionándoles información y visibilidad de sus servicios digitales distribuidos. El hecho de que la compañía no sea la “propietaria” de todos los componentes no significa que no sea responsable de la experiencia que se ofrece al usuario a través de ellos. De hecho, no poseer todos los componentes se ha convertido en una necesidad, así que la pregunta que surge es, ¿cómo deberían las empresas adaptar sus sistemas y procesos a esta nueva realidad?
Un acto en cinco partes
Para entender el impacto de la DORA y el papel que ThousandEyes puede desempeñar, necesitamos analizar esta legislación con un poco más de detalle; la Ley de Resiliencia Operativa Digital se divide en cinco temas principales:
-
Gestión de riesgos en las TIC: esencialmente, que las organizaciones mantengan un marco de TIC resiliente, que incluya monitorización, identificación y documentación para establecer un aislamiento rápido de las anomalías, junto con planes completos de continuidad de la actividad y recuperación ante desastres.
-
Gestión, clasificación y notificación de incidentes relacionados con las TIC: procesos para identificar y registrar los problemas relacionados con las TIC; determinar los principales problemas; y elaborar informes iniciales, intermedios y finales sobre dichos problemas mediante plantillas estándar.
-
Pruebas de resiliencia operativa digital: realización de pruebas anuales de sus herramientas y sistemas de TIC, lo que lleva a la identificación, mitigación y pronta eliminación de cualquier debilidad, deficiencia o laguna.
-
Gestión de riesgos de terceros en las TIC: registro de todas las actividades subcontratadas, con especial atención a los proveedores de servicios TIC externos fundamentales, a través de un Marco de Supervisión de la Unión; garantía de que los contratos con estos proveedores reflejen estos nuevos requisitos; y puesta en marcha de un enfoque de monitorización “completo” que cubra a estos proveedores.
-
Acuerdos de intercambio de información: permitir que las organizaciones financieras intercambien información entre ellas, especialmente en materia de ciberseguridad; por ejemplo, información sobre amenazas e inteligencia.
Como puede verse, gran parte de lo anterior está relacionado con la monitorización, comprobación, identificación, documentación y notificación de los problemas de las TIC, con vistas a su mitigación, continuidad, recuperación y mejora. Sin embargo, en un entorno tan distribuido, en el que las aplicaciones modernas dependen de redes y servicios que escapan a nuestro control, ¿cómo podemos empezar a entenderlo todo? Aquí es donde el Assurance de ThousandEyes puede desempeñar un papel en las estrategias de la compañías para preparar y hacer operativos los procesos para la DORA. La plataforma ThousandEyes proporciona visibilidad de los componentes de prestación de servicios de los que una compañía depende, pero que no controla. ThousandEyes realiza un seguimiento continuo de la red y de la de algunos de los proveedores de TIC más importantes. Nuestro enfoque se basa en los datos, es intuitivo y permite compartir la información fácilmente.
ThousandEyes y DORA
He aquí algunas áreas en las que ThousandEyes podría ser útil dentro de los cinco temas en los que se centra DORA, como parte de una estrategia más amplia:
Gestión de riesgos en las TIC
ThousandEyes es una plataforma SaaS que monitoriza las arquitecturas de prestación de servicios distribuidas, y proporciona información estratégica sobre toda la cadena de suministro digital. Los agentes prueban constantemente las aplicaciones relevantes desde la perspectiva de los usuarios, lo que permite a las entidades financieras identificar y mitigar los riesgos de las TIC de forma proactiva. Nuestros agentes abarcan las redes internas, las dependencias de Internet y los servicios en la nube, de modo que ofrecen una visión completa de los problemas que pueden comprometer el servicio.
En caso de anomalías, la plataforma alerta a los equipos, directamente o a través de estándares de integración abiertos a otros sistemas de flujo de trabajo; da indicaciones sobre el origen del incidente, dónde se produjo el posible problema, y proporciona los datos necesarios para documentar los problemas que afecten al servicio. Estas pruebas también pueden aplicarse a otras áreas de riesgo, como el tráfico en tránsito (es decir, cuando se ha producido un secuestro de ruta BGP en Internet), que conduce el tráfico a destinos inesperados o subóptimos, y a la soberanía de los datos, que obliga a las empresas a saber en todo momento dónde se encuentran sus datos.
Gestión, clasificación y notificación de incidentes relacionados con las TIC
Con sus amplias capacidades de monitorización y alerta, ThousandEyes puede ayudar a detectar incidentes relacionados con las TIC en una fase temprana, lo que permite informar eficazmente a las autoridades reguladoras. Sus detallados análisis y visualizaciones facilitan la comprensión del alcance y el impacto de los incidentes, contribuyendo a la precisión y puntualidad de la notificación.
La plataforma proporciona datos sobre las métricas clave que afectan al servicio, lo que permite conocer el grado de disponibilidad de las aplicaciones, junto con métricas que miden el tiempo de respuesta, el rendimiento, la fluctuación, la latencia y la pérdida de paquetes, entre otras; de esta manera, se pueden crear paneles basados en umbrales definidos por la empresa, que ayudan a elaborar informes de los principales KPI. Asimismo, como ThousandEyes es compatible con OpenTelemetry, todos los datos de las pruebas se pueden exportar a otras plataformas de visualización, como Splunk, donde se pueden combinar con otros conjuntos de datos para construir una visión contextual del estado de la aplicación y el rendimiento.
Además, como plataforma basada en la nube, ThousandEyes procesa miles de millones de datos al día, de todo el mundo, para construir una imagen del estado de Internet global a nivel mundial y los principales proveedores de nubes, proveedores de SaaS y de otros componentes clave en la prestación de servicios digitales. Este conjunto de datos se pone a disposición de los clientes a través de Internet Insights, para ayudarles a responder a la pregunta «¿Somos solo nosotros?» y permitirles comprender el radio de acción de los problemas que afectan al servicio.
Pruebas de resiliencia operativa digital
ThousandEyes se ha diseñado, desde el primer día, como una plataforma moderna y global a escala web, con una única base de código que permite actualizaciones periódicas y la publicación de nuevas funciones; esto significa que todas las nuevas funciones se ponen a disposición de los clientes inmediatamente y no existen las versiones heredadas ni gastos de gestión del control de versiones. La plataforma permite a las entidades simular y probar la resiliencia de redes y aplicaciones frente a diversas perturbaciones de las TIC. Este proceso puede integrarse en auditorías periódicas de resiliencia para identificar posibles vulnerabilidades y cuellos de botella.
ThousandEyes ya cuenta con el respaldo y la confianza de muchas de las mayores instituciones financieras del mundo; la plataforma ofrece asistencia, en forma de ingenieros de tercera línea, disponibles 24 horas al día, 7 días a la semana, a través de chat para ayudar a identificar, solucionar y asesorar sobre problemas que afecten al servicio. Además, ThousandEyes opera en una región separada de la UE y ha obtenido la certificación de Nivel 3 del Código de Conducta de la Nube de la UE, así como las certificaciones ISO 27018 y 27701.
Gestión de riesgos de terceros en las TIC
Una de las principales propuestas de valor de ThousandEyes es la capacidad de gestionar el rendimiento de la prestación de servicios en redes que no son propiedad de la compañía. Como tal, la visibilidad de los proveedores de TIC externos, como proveedores de servicios de Internet, proveedores de nube, CDN, DNS, servicios de mitigación de DDoS, proveedores de SaaS, gateways de API, proveedores de pago, etc., se recopila automáticamente cuando dichos proveedores aparecen en la ruta entre nuestros agentes y las aplicaciones relevantes.
Esta visibilidad del rendimiento y la disponibilidad de los servicios TIC de terceros permite a los clientes gestionar y mitigar los riesgos asociados a estas dependencias externas, en consonancia con el énfasis que pone la DORA en monitorizar los riesgos de terceros y garantizar que no comprometan la resiliencia operativa. Los equipos de operaciones reciben los datos necesarios para aislar el origen del problema en las redes de las que depende la prestación de servicios clave, y pueden supervisar el rendimiento de los proveedores a lo largo del tiempo; esta información resulta muy útil en reuniones de auditoría, evaluaciones de proveedores y gestión de acuerdos de nivel de servicio.
Además, las empresas de servicios financieros pueden probar proveedores clave, como proveedores de servicios de Internet en regiones clave, nuevos proveedores de nube, regiones de nube y pares regionales, antes de la implantación de nuevos servicios o migraciones de cargas de trabajo a la nube. Esto les permite adoptar un enfoque basado en datos para monitorizar e informar sobre las principales migraciones y cambios antes, durante y después de la implementación.
Por último, como plataforma abierta, diseñada para ser extensible a través de nuestra API basada en REST, webhooks o a través de OpenTelemetry, los clientes tienen la capacidad de combinar los datos de las pruebas con otras fuentes de datos, incluidas las plataformas de gestión del rendimiento de aplicaciones, como Splunk o AppDynamics, como parte de una estrategia de observabilidad más amplia.
Acuerdos de intercambio de información
ThousandEyes permite a distintas empresas colaborar en la resolución de problemas compartidos que afectan a los servicios. Como tal, cualquier incidente capturado por ThousandEyes se puede compartir a través de un sharelink o enlace compartido: una vista interactiva de un periodo en el tiempo, de hasta 48 horas, asociado a un evento o incidente. Estos enlaces compartidos se almacenan permanentemente y permiten el análisis retrospectivo y la visualización de los problemas que se producen a nivel de aplicación, red y capa de enrutamiento de Internet. Desde la plataforma se puede compartir interna o externamente la misma visión de estos incidentes, de modo que todo el mundo trabaje a partir de los mismos datos.
Conclusión
La legislación DORA es un catalizador para que las empresas de servicios financieros se adapten a la nueva realidad de la prestación de servicios digitales a través de una arquitectura distribuida a usuarios distribuidos; por su parte, ThousandEyes se ha diseñado como la plataforma de Assurance para esa misma nueva realidad. Los clientes se sirven hoy de nuestra plataforma para tener una perspectiva de extremo a extremo de la experiencia digital de sus usuarios en las aplicaciones que resultan imprescindibles para que su negocio funcione. ThousandEyes puede ayudar a las entidades financieras a navegar por las complejidades del cumplimiento de la DORA, a través de sus capacidades avanzadas de monitorización, pruebas y gestión de riesgos. Estas herramientas no solo facilitan el cumplimiento de los requisitos regulatorios, sino que también mejoran la resiliencia operativa general de las organizaciones financieras frente al cambiante panorama de amenazas y retos que plantean las TIC.