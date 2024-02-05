La Ley de Resiliencia Operativa Digital (DORA) marca un hito importante en los esfuerzos de la Unión Europea (UE) para reforzar la resiliencia operativa del sector financiero en la era digital. Concebida para abordar de forma global la gestión de riesgos de las tecnologías de la información y la comunicación (TIC) en los servicios financieros, la DORA pretende armonizar las normativas existentes en todos los Estados miembros de la UE. Exige que todas las instituciones financieras dentro de su ámbito desarrollen la resiliencia operativa digital necesaria, haciendo hincapié en un enfoque personalizado para cada organización.
Para abordar la DORA de manera efectiva, se recomienda a las instituciones financieras que se concentren en dominar las capacidades fundamentales en cuatro dominios clave: datos, operaciones, gestión de riesgos, y automatización e IA. Al combinar estratégicamente la tecnología en estas áreas, las organizaciones pueden mejorar su capacidad para integrar la seguridad, impulsar la mitigación de riesgos, permitir la monitorización continua, garantizar la continuidad del negocio, fomentar la interoperabilidad y agilizar la gobernanza.
Si bien el panorama económico para las instituciones financieras es difícil, el cumplimiento de la DORA no es solo otra obligación costosa. En cambio, presenta una oportunidad para transformar los gastos de cumplimiento en inversiones estratégicas destinadas a lograr un mejor rendimiento empresarial. Adoptar esta mentalidad permite a las instituciones buscar tanto el cumplimiento como el valor empresarial digital a largo plazo de sus inversiones en resiliencia operativa digital.
La computación confidencial y el cifrado de datos tienen un papel importante en lograr la protección de datos, protegiéndolos cuando están en uso, en memoria, extendiendo dicha protección también a los sistemas y a los administradores de la nube, que continuarán gestionando la infraestructura, sin tener acceso a los datos.
Podemos ver esto enfatizado también dentro de DORA, en las RTS (Normas Técnicas Regulatorias), descritas para la consulta pública (1, enlace externo a ibm.com), en el Artículo 6, centrado en el cifrado y los controles criptográficos, y el Artículo 7, que aborda la gestión de claves criptográficas.
Según el Artículo 6 de las RTS, el cifrado de datos se considera esencial durante todo el ciclo de vida de los datos, cubriendo los datos en reposo, en tránsito y en uso. Esto se alinea de manera fluida con la noción de que lograr la protección de datos, según lo exigido por la DORA, requiere un enfoque integral del cifrado, que garantice que la información confidencial esté protegida en cada etapa de su existencia.
Además, el Artículo 6 de las RTS destaca la necesidad de cifrar todo el tráfico de red, tanto interno como externo. Este requisito refuerza la idea de que un canal de comunicación seguro y encriptado es primordial, resonando con la necesidad de una cadena de confianza robusta e interconectada desde el hardware hasta la solución, como se menciona en el texto original.
El Artículo 7 del RTS profundiza en la gestión de claves criptográficas, subrayando la importancia de la gestión del ciclo de vida de las claves criptográficas. Esto se alinea con el concepto de que los componentes que permiten la computación confidencial deben formar una cadena de confianza interconectada. Al garantizar la inmutabilidad y autenticación del entorno de ejecución de confianza, las instituciones financieras pueden responder a las expectativas normativas de DORA descritas en el Artículo 7.
En conclusión, los principios de la computación confidencial y la criptografía, tal y como se articulan en el texto original, encuentran resonancia en los requisitos específicos que se establecen en el RTS. La adhesión a estas normas reglamentarias no sólo garantiza el cumplimiento de la DORA, sino que también establece un marco sólido para salvaguardar los datos financieros confidenciales mediante el cifrado y las prácticas eficaces de gestión de claves.
Para lograr una garantía total de protección de datos, un componente clave es la computación confidencial y la criptografía. Los componentes tecnológicos que permiten la computación confidencial deben formar una cadena de confianza interconectada desde el hardware hasta la solución, ofreciendo una computación confidencial como solución con un entorno de ejecución de confianza inmutable y autenticado.
La seguridad total de los datos que conduzca a la privacidad, soberanía y resiliencia digital requiere protección de extremo a extremo durante todo el ciclo de vida y la pila de datos. La computación confidencial garantiza que los proveedores de la nube no accedan a los datos basándose en la confianza, la visibilidad y el control, sino en pruebas técnicas, cifrado de datos y aislamiento en tiempo de ejecución.
La garantía técnica es crucial para evitar el acceso no autorizado a los datos, esto implica que los administradores de la nube, los vendedores, los proveedores de software y los ingenieros de fiabilidad de los sitios no pueden acceder a los datos mientras están en uso. La garantía técnica garantiza que el proveedor de servicios en la nube (CSP) no pueda divulgar ningún dato en caso de solicitudes legales, evitando brechas de protección de datos independientemente de la legislación y las fuerzas del orden.
La protección de datos con garantía técnica fomenta la soberanía de los datos y la resiliencia digital. Esto significa que el control total sobre los datos reales recae en el usuario de la nube, no en el proveedor de la misma. Al aprovechar la computación confidencial y la criptografía, las instituciones financieras pueden responder a los estrictos requisitos de la DORA, garantizando el más alto nivel de garantía técnica y salvaguardando sus operaciones digitales en un panorama en evolución.
En conclusión, la DORA no es solo una tarea de cumplimiento, sino una oportunidad para que las instituciones financieras inviertan estratégicamente en la resiliencia operativa digital. Al incorporar la computación confidencial y la criptografía en su estrategia, las organizaciones pueden navegar la ola digital con confianza, asegurando la protección de datos, la seguridad y el control en un panorama digital en constante evolución.
Dé el primer paso para mejorar la seguridad de los datos y lograr la conformidad y obtenga más información sobre las soluciones informáticas confidenciales de IBM, por ejemplo, cómo Hyper Protect Virtual Server puede ayudar a proteger las transacciones financieras y cómo IBM está abordando la seguridad a nivel de aplicación.
Obtenga información para prepararse y responder a los ciberataques con mayor rapidez y eficacia con IBM X-Force Threat Intelligence Index.
Conozca las amenazas más recientes y refuerce sus defensas en la nube con el informe X-Force Cloud Threat Landscape Report.
Acceda a este informe de Gartner para aprender a gestionar el inventario completo de IA, proteger las cargas de trabajo de IA con barreras de seguridad, reducir el riesgo y gestionar el proceso de gobierno para lograr la confianza en la IA para todos los casos de uso de IA en su organización.
Descubra nuevos conocimientos para seleccionar el proveedor de detección y respuesta gestionada que mejor se adapte a los objetivos de su organización
Refuerce su seguridad con nuestro conjunto estrella de soluciones de detección y respuesta ante amenazas.
Proteja las inversiones existentes y mejórelas con IA, mejore las operaciones de seguridad y proteja la nube híbrida.
Cree una estructura de identidad sólida e independiente del proveedor con una solución IAM de confianza.
Utilice las soluciones de detección y respuesta a amenazas de IBM para reforzar su seguridad y acelerar la detección de amenazas.