El pasado 3 de octubre de 2024, se celebró la mesa redonda titulada “Fortaleciendo la resiliencia digital: NIS2 y DORA en la nueva era de la ciberseguridad”, organizada por CIONET Spain en colaboración con Fujitsu. Este evento reunió a expertos en ciberseguridad para debatir sobre los desafíos y estrategias clave en la implementación de estas normativas europeas de resiliencia operativa y seguridad digital.Este documento explora los aspectos clave de la resiliencia digital a la luz de NIS2 y DORA, proporcionando una visión detallada sobre los desafíos, oportunidades y estrategias prácticas para fortalecer la seguridad en esta nueva era digital.
Panorama actual de compliance en las empresas: ¿Cómo están enfrentando las organizaciones las regulaciones de NIS2 y DORA?
La entrada en vigor de NIS2 y DORA ha hecho que muchas empresas se pregunten hasta qué punto están realmente preparadas para cumplir con las normativas de ciberseguridad y resiliencia operacional. Ambas normativas requieren que las empresas no solo protejan sus datos, sino también que aseguren la continuidad de sus operaciones en caso de incidentes. En este sentido, NIS2 y DORA subrayan la importancia de realizar un análisis detallado del tipo de datos sensibles que maneja la organización, de los riesgos asociados y de cómo estos datos se almacenan y gestionan, especialmente en entornos de nube.
Mientras las organizaciones avanzan en el cumplimiento de estos requerimientos, se encuentran con la necesidad de un conocimiento exhaustivo sobre sus propios datos, algo que muchas aún están desarrollando. No basta con conocer qué tipo de información se maneja; es esencial entender su ubicación, su nivel de sensibilidad y los riesgos de seguridad que pueden surgir de una falta de control sobre estos datos, especialmente cuando los mismos se almacenan o procesan a través de servicios en la nube.
¿Cuentan las empresas con entornos de Disaster Recovery que aseguren una resiliencia mínima viable en 72 horas?
Uno de los pilares de NIS2 y DORA es la capacidad de una organización para recuperarse rápidamente de incidentes que afecten la disponibilidad de sus servicios. Para cumplir con este requisito, muchas empresas están revisando y reforzando sus entornos de recuperación ante desastres (Disaster Recovery). La normativa establece que las organizaciones deben garantizar una resiliencia mínima que les permita restablecer sus operaciones críticas en un plazo de 72 horas tras un incidente. Este plazo, aunque puede parecer generoso, se vuelve un reto considerable para aquellas empresas que no cuentan con sistemas DR altamente optimizados o que operan en sectores donde la inmediatez es crucial.
Desarrollar un plan de recuperación efectivo requiere una comprensión profunda de las operaciones de la organización y de cómo estas pueden ser restablecidas de forma gradual, sin comprometer la seguridad. Las empresas deben preguntarse si sus actuales estrategias DR son lo suficientemente robustas, y si están alineadas con los requerimientos específicos de la normativa. Además, la complejidad de implementar DR se amplía en entornos de nube, donde los niveles de servicio y los plazos de recuperación dependen de los acuerdos con los proveedores, lo que subraya la importancia de contar con un plan de continuidad que pueda ejecutarse independientemente de estos factores externos.
Crecimiento de los datos almacenados con la irrupción de la IA y su impacto en el compliance.
La inteligencia artificial ha transformado rápidamente los volúmenes y la sensibilidad de los datos que las organizaciones gestionan. A medida que se aplican herramientas de IA para mejorar la toma de decisiones y optimizar operaciones, también aumenta la cantidad de información que se genera y almacena. Para muchas organizaciones, esta explosión de datos ha supuesto un desafío de compliance, ya que el cumplimiento de NIS2 y DORA requiere medidas adicionales de control sobre datos sensibles.
Gestionar estos datos en un sistema de IA plantea interrogantes complejas: ¿Se puede o debe permitir que la IA tenga acceso a datos sensibles? ¿Qué protocolos de seguridad son necesarios para prevenir que estos datos se utilicen de forma indebida o sean vulnerables a ataques? La mayoría de las empresas han optado por restringir el uso de datos altamente sensibles en los sistemas de IA o han implementado mecanismos de anonimización y cifrado para reducir los riesgos de exposición. Sin embargo, estos enfoques pueden limitar el potencial de la IA y requieren un equilibrio cuidadoso entre protección y funcionalidad.
Además, el aumento en el volumen de datos también repercute en los costos de almacenamiento y en la disponibilidad de los datos en caso de recuperación, factores que están directamente relacionados con la sostenibilidad económica de la estrategia de IA de una organización. Aquí es donde se vuelve crucial tener un conocimiento profundo sobre los acuerdos de niveles de servicio (SLAs) ofrecidos por los proveedores de nube, los cuales definen aspectos esenciales como el tiempo de retención de datos y los plazos de restauración, que en algunos casos pueden extenderse hasta 14 días.
La dependencia de la nube para almacenar y procesar datos es una realidad para la mayoría de las empresas hoy en día. Sin embargo, esta dependencia también trae consigo un aumento en los riesgos de seguridad, especialmente cuando se trata de datos altamente sensibles. Según la normativa, las organizaciones deben contar con un conocimiento profundo de sus datos y de las políticas de seguridad de sus proveedores de nube. Esta exigencia de conocimiento detallado plantea un desafío significativo, pues muchos proveedores de servicios en la nube solo ofrecen un acceso limitado a la infraestructura subyacente.
El cumplimiento de NIS2 y DORA requiere que las organizaciones tengan un control total sobre la ubicación, el tipo y el tratamiento de sus datos, así como una comprensión clara de los acuerdos de servicio, incluyendo la duración de los backups y las políticas de recuperación. En este contexto, las empresas enfrentan el dilema de gestionar sus datos internamente o confiar en proveedores externos que puedan o no cumplir con las expectativas de compliance, especialmente en términos de tiempo de respuesta y accesibilidad de los datos.
Aunque la nube ha facilitado enormemente el acceso y la gestión de datos, también ha creado dependencias que pueden ser problemáticas en situaciones de crisis. Por ello, muchas organizaciones están explorando arquitecturas de compliance que no dependan exclusivamente de la nube y que permitan un mayor control sobre los datos sensibles. Las soluciones híbridas o incluso on-premises están ganando terreno como alternativas viables para aquellas empresas que buscan asegurar la resiliencia sin comprometer la autonomía en la gestión de sus datos.
Fujitsu, por ejemplo, ofrece una arquitectura de cumplimiento que funciona fuera de la nube, brindando una alternativa para aquellas empresas que prefieren mantener una infraestructura controlada internamente. Estas soluciones híbridas ofrecen flexibilidad en la ubicación de los datos y un control total sobre el acceso a los mismos, permitiendo a las empresas cumplir con NIS2 y DORA sin depender exclusivamente de terceros.
La ciberseguridad y la resiliencia digital no son solo cuestiones técnicas; son factores estratégicos que impactan directamente en la viabilidad de una organización en el contexto actual. NIS2 y DORA imponen requerimientos que van más allá de la tecnología y exigen una visión integral de la seguridad y la resiliencia. Las empresas que se esfuerzan en cumplir con estas normativas deben adoptar un enfoque proactivo y multifacético, integrando conocimientos profundos de sus propios datos, sistemas de recuperación robustos, y estrategias de arquitectura adaptadas a las necesidades específicas de su negocio.
En última instancia, la resiliencia digital requiere que las organizaciones vean el compliance no solo como una obligación, sino como una oportunidad para construir una infraestructura que las prepare para los desafíos del futuro. Desde la correcta gestión de datos sensibles hasta la implementación de arquitecturas flexibles, el camino hacia una mayor resiliencia digital es una inversión estratégica que permitirá a las organizaciones no solo cumplir con las regulaciones, sino también reforzar su posición en un entorno de amenazas en constante evolución.
These Stories on CIONET Spain
No Comments Yet
Let us know what you think