El sector financiero se enfrenta a una creciente presión para mejorar su resiliencia digital, y la Ley de Resiliencia Operativa Digital (DORA) de la UE está marcando el estándar. Esta regulación exige a las instituciones financieras contar con planes sólidos de continuidad del negocio para afrontar interrupciones y mantener sus operaciones críticas. Sin embargo, con los costos de inactividad alcanzando cifras astronómicas (Gartner estima $5,600 por minuto), surge la pregunta de cómo las organizaciones pueden garantizar la continuidad.
Este artículo analiza cómo Google Workspace puede ser una pieza clave en tu estrategia de continuidad del negocio, ayudándote a cumplir con los requisitos de DORA (o NIS2 u otras normativas similares) y a mitigar los riesgos de interrupciones operativas.
Conceptos clave
La Ley de Resiliencia Operativa Digital (DORA, por sus siglas en inglés) es una regulación de la UE que busca fortalecer la resiliencia digital en los servicios financieros. Su objetivo es garantizar que las instituciones financieras puedan resistir y gestionar ciberataques y otras interrupciones relacionadas con TI.
DORA forma parte de la iniciativa de Finanzas Digitales de la UE, presentada en 2020, y fue adoptada en 2022.
Esta normativa exige que las instituciones financieras dispongan de sistemas y procedimientos sólidos para protegerse contra amenazas y riesgos tecnológicos que puedan afectar sus operaciones y estabilidad. Su alcance abarca a bancos, aseguradoras, empresas de inversión, proveedores de pago, y sus proveedores de TI y terceros.
Elementos clave de DORA:
- Monitoreo y gestión de riesgos: Las instituciones deben implementar sistemas para identificar, gestionar y mitigar los riesgos tecnológicos en toda la organización.
- Gestión de incidentes: Es obligatorio manejar los incidentes y reportarlos a las autoridades pertinentes en un plazo breve.
- Pruebas de ciberseguridad: Las instituciones financieras deben realizar pruebas periódicas de sus sistemas para garantizar que puedan resistir ciberataques y amenazas digitales.
- Proveedores externos de TI: DORA subraya la importancia de gestionar los riesgos relacionados con los proveedores externos de TI, exigiendo que cumplan con los mismos estándares de seguridad.
- Compartición de información: Las organizaciones deben informar sobre incidentes cibernéticos significativos a las autoridades competentes en un tiempo determinado.
DORA busca armonizar el enfoque de ciberseguridad en el sector financiero de los países de la UE, creando mayor seguridad y estabilidad en el ecosistema financiero digital.
¿Qué es la continuidad del negocio?
La continuidad del negocio se refiere a la capacidad de una organización para mantener funciones esenciales durante y después de un evento disruptivo. Implica un enfoque proactivo de gestión de riesgos, que abarca estrategias para prevenir, mitigar y recuperarse de interrupciones. Sus componentes principales incluyen:
- Pruebas y mantenimiento: Revisar y actualizar regularmente los planes para garantizar su efectividad.
- Evaluación de riesgos: Identificar posibles amenazas y vulnerabilidades.
- Análisis de impacto en el negocio: Evaluar cómo las interrupciones pueden afectar los procesos críticos.
- Estrategias de recuperación: Desarrollar planes y procedimientos para restaurar operaciones.
La continuidad del negocio es esencial para mantener la estabilidad y resiliencia operativa en cualquier organización.
DORA es muchas cosas, y una de las más importantes es la gestión de la continuidad. En particular, el primer pilar, “Monitoreo y gestión de riesgos,” se centra en supervisar y mitigar los componentes críticos del negocio.
El objetivo es garantizar que las instituciones financieras estén preparadas y adopten un enfoque estructurado para gestionar riesgos tecnológicos tanto previstos como imprevistos. Esto aumenta la confianza en los sistemas y reduce la probabilidad de interrupciones graves. Además, protege a los clientes y a la economía de las consecuencias de fallos tecnológicos o ciberataques.
La regulación de la Ley de Resiliencia Operativa Digital (DORA) de la UE, junto con el monitoreo y la gestión de riesgos, asegura que las instituciones financieras y sus proveedores de TI cuenten con estructuras y procesos para identificar, evaluar, gestionar y mitigar riesgos digitales. Esto es fundamental para la normativa, ya que las instituciones financieras dependen enormemente de los sistemas de TI y la infraestructura digital, lo que las hace vulnerables a amenazas cibernéticas y fallos técnicos.
Las instituciones deben implementar sistemas para monitorear y evaluar continuamente los riesgos tecnológicos a los que se enfrentan. Esto incluye comprender sus dependencias de la tecnología y los sistemas digitales, así como identificar posibles debilidades, amenazas y vulnerabilidades.
Este enfoque abarca tanto los sistemas internos como los de terceros.
Se deben desarrollar procedimientos para minimizar el riesgo de incidentes tecnológicos y garantizar que cualquier incidente sea gestionado de manera efectiva.
Las instituciones financieras deben asegurarse de que las funciones críticas del negocio puedan continuar durante o después de un incidente tecnológico. Esto incluye diseñar sus sistemas de TI para que sean sólidos y resilientes frente a fallos técnicos, ciberataques u otras interrupciones.
DORA exige que las instituciones financieras cuenten con planes de continuidad del negocio y recuperación ante desastres. Estos planes deben garantizar que la organización pueda restablecer rápidamente sus servicios y operaciones digitales en caso de una interrupción importante. Los planes de continuidad deben ser probados y actualizados regularmente.
El papel de la alta dirección en el cumplimiento de DORA
La Ley DORA exige que la alta dirección de las instituciones financieras asuma la responsabilidad general de la gestión de los riesgos de TI. Esto implica que el consejo de administración y la alta dirección deben participar activamente en la definición de estrategias de gestión de riesgos y en garantizar que la organización cumpla con las normas y políticas necesarias.
Razones principales:
- El Artículo 5 de DORA responsabiliza a la alta dirección de una estrategia holística de múltiples proveedores. Además, el Artículo 29 exige la gestión del riesgo de concentración, promoviendo estrategias de múltiples nubes en lugar de depender de un solo proveedor.
- El Artículo 6 de DORA exige a la alta dirección garantizar el uso y mantenimiento de sistemas fiables, escalables y resilientes, adecuados a la naturaleza, variedad, complejidad y magnitud de las operaciones (por ejemplo, migración de centros de datos, modernización de aplicaciones y gestión de datos).
- El Artículo 7 de DORA responsabiliza a la alta dirección de identificar activos de información que merecen ser protegidos, lo que incluye una gestión efectiva del riesgo de TI oculta (Shadow IT), como el uso de herramientas como AppSheet o Apigee para evitar la proliferación de APIs.
- Los Artículos 8, 9 y 10 de DORA exigen a la alta dirección proteger, prevenir, detectar, responder y recuperar sistemas, lo que requiere operaciones de seguridad completas (End-to-End Security), con herramientas como Security Foundations o Mandiant.
- El Artículo 11 de DORA obliga a la alta dirección a implementar una política de continuidad del negocio de TIC, con planes, procedimientos y mecanismos adecuados y documentados para garantizar la continuidad de las funciones críticas o importantes de la entidad financiera (Google Workspace, por ejemplo).
- El Artículo 28 de DORA exige que la alta dirección identifique soluciones alternativas y desarrolle planes de transición para migrar servicios TIC contratados y datos relevantes a otros proveedores o integrarlos nuevamente en la empresa (Soluciones de soberanía).
El papel crítico del correo electrónico y la mensajería
El correo electrónico y las plataformas de mensajería son sistemas esenciales que sustentan la colaboración y comunicación digital. Empresas grandes dependen en gran medida de herramientas como MS Teams, Slack y otras para reuniones virtuales, intercambio de archivos, comunicación interna y gestión de proyectos. Una interrupción de estos sistemas podría paralizar proyectos, dejar las comunicaciones internas inoperativas y reducir drásticamente la productividad.
Aunque esta dependencia varía según el sector, la vulnerabilidad subyacente es evidente. Incluso en países como Dinamarca, donde existen alternativas seguras como Netbank o “My Site,” muchas organizaciones siguen confiando principalmente en el correo electrónico, lo que a menudo conduce a incumplimientos de la normativa GDPR al compartir datos sensibles.
Plataformas como Office 365 y Google Workspace se han convertido en infraestructuras críticas para la mayoría de las empresas. La interrupción de estos servicios podría paralizar la capacidad de comunicación interna y externa de las organizaciones, exponiéndolas a problemas técnicos, ciberataques y eventos imprevistos.
Esto subraya la importancia de incluir soluciones de respaldo sólidas en cualquier plan integral de continuidad del negocio. Depender únicamente de un proveedor, incluso uno tan grande como Microsoft o Google, expone a las organizaciones a riesgos significativos. Diversificar con un proveedor secundario en la nube o implementar un sistema de respaldo local proporciona una red de seguridad esencial para garantizar la continuidad de las operaciones en caso de interrupciones inesperadas.
Google Workspace como solución de continuidad en un mundo dominado por O365
Asegurar una continuidad del negocio robusta requiere una comprensión profunda de las vulnerabilidades potenciales en la infraestructura de TI. Los puntos únicos de fallo, como servidores de correo específicos, proveedores de identidad y servicios integrados de terceros, pueden interrumpir operaciones críticas.
Para mitigar estos riesgos y establecer una continuidad sólida, Google Workspace ofrece opciones escalables que van desde soluciones básicas hasta extensas, con complementos como Chromebooks de emergencia y Chrome OS Flex. Los costos se determinan principalmente por la frecuencia de respaldo/sincronización de datos y el tamaño de la colección de datos.
Migrar a Google Workspace como solución de continuidad requiere una planificación y ejecución cuidadosas. Las organizaciones deben centrarse en tres segmentos principales:
- Establecer la base del entorno de Google Workspace: Esto incluye definir la estructura de dominios, planificar la estrategia de implementación (despliegue gradual, migración incremental o cambio completo), integrar de forma fluida con la infraestructura existente (servicios de directorio, sistemas de autenticación) y configurar medidas de seguridad sólidas (autenticación en dos pasos, cifrado de datos, controles de acceso).
- Migrar datos de correo, calendarios y contactos: Esto requiere diseñar un plan integral de migración de correo electrónico con herramientas adecuadas, configurar una sincronización eficiente (como GCDS) y garantizar la coexistencia para una transición fluida.
- Planificar la migración de archivos: Utilizar herramientas como G Suite Migrate para desarrollar una estrategia detallada, organizar la estructura de Google Drive, configurar ajustes de colaboración, establecer alojamiento de infraestructura y garantizar medidas de seguridad y procedimientos de respaldo adecuados para los datos.
Google ofrece oportunidades de financiación para apoyar a las organizaciones en la implementación de Google Workspace como solución de continuidad, ayudando a reducir los costos asociados con la configuración, migración y mantenimiento continuo.
Devoteam cuenta con un historial probado de implementaciones exitosas de Google Workspace como solución de continuidad en EMEA. Sin embargo, por razones de confidencialidad y seguridad, no se pueden revelar los nombres de los clientes específicos.e to confidentiality and security reasons.