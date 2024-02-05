La Ley de Resiliencia Operativa Digital (DORA) marca un hito importante en los esfuerzos de la Unión Europea (UE) para reforzar la resiliencia operativa del sector financiero en la era digital. Concebida para abordar de manera integral la gestión de riesgos de las tecnologías de la información y las comunicaciones (TIC) en los servicios financieros, la ley DORA tiene como objetivo armonizar las regulaciones existentes en todos los estados miembros de la UE. Exige que todas las instituciones financieras dentro de su alcance desarrollen la resiliencia operativa digital necesaria, enfatizando un enfoque personalizado para cada organización.
Para abordar la ley DORA de manera efectiva, se recomienda a las instituciones financieras que se concentren en dominar las capacidades fundamentales en cuatro dominios clave: datos, operaciones, gestión de riesgos, y automatización e IA. Al combinar estratégicamente la tecnología en estas áreas, las organizaciones pueden mejorar su capacidad para integrar la seguridad, impulsar la mitigación de riesgos, permitir el monitoreo continuo, garantizar la continuidad del negocio adaptable, fomentar la interoperabilidad y optimizar la gobernanza.
Si bien el escenario económico para las instituciones financieras es desafiante, el cumplimiento de la ley DORA no es solo otra obligación costosa. En cambio, presenta una oportunidad para transformar los gastos de cumplimiento en inversiones estratégicas destinadas a ofrecer un mayor rendimiento empresarial. Adoptar esta mentalidad permite a las instituciones buscar tanto el cumplimiento como el valor del negocio digital a largo plazo a partir de sus inversiones en resiliencia operativa digital.
La computación confidencial y el cifrado de datos tienen un papel importante en lograr la garantía total de privacidad de datos, protegiendo los datos cuando están en uso y en la memoria, extendiendo dicha protección también a los sistemas y a los administradores de la nube, quienes siguen gestionando la infraestructura, sin tener acceso a los datos.
Podemos ver esto enfatizado también dentro de la ley DORA, en las RTS (Normas Técnicas Regulatorias), descritas para la consulta pública (1, enlace externo a ibm.com), en el Artículo 6, que se centra en el cifrado y los controles criptográficos, y el Artículo 7, que aborda la gestión de claves.
Según el Artículo 6 de las RTS, el cifrado de datos se considera esencial durante todo el ciclo de vida de los datos, cubriendo los datos en reposo, en tránsito y en uso. Esto concuerda perfectamente con la idea de que, para lograr la privacidad de datos, tal como exige la ley DORA, es necesario adoptar un enfoque integral del cifrado que garantice la protección de la información confidencial en todas las etapas de su existencia.
Además, el Artículo 6 de las RTS destaca la necesidad de que todo el tráfico de red, tanto interno como externo, esté encriptado. Este requisito refuerza la idea de que un canal de comunicación seguro y encriptado es primordial, resonando con la necesidad de una cadena de confianza sólida e interrelacionada desde el hardware hasta la solución, como se menciona en el texto original.
El Artículo 7 de las RTS profundiza en la gestión de claves criptográficas, subrayando la importancia de la gestión del ciclo de vida de estas. Esto se alinea con el concepto de que los componentes que permiten la computación confidencial deben formar una cadena de confianza interconectada. Al garantizar la inmutabilidad y autenticación del entorno de ejecución confiable, las instituciones financieras pueden responder a las expectativas regulatorias de la ley DORA descritas en el Artículo 7.
En conclusión, los principios de la computación confidencial y la criptografía, tal como se expresan en el texto original, encuentran resonancia en los requisitos específicos que se establecen en las RTS. Cumplir con estos estándares regulatorios no solo garantiza el cumplimiento de la ley DORA, sino que también establece un marco sólido para salvaguardar los datos financieros confidenciales a través del cifrado y prácticas efectivas de gestión de claves.
Para lograr la garantía total de privacidad de datos, un componente clave es la computación confidencial y la criptografía. Los componentes tecnológicos que permiten la computación confidencial deben formar una cadena de confianza interconectada desde el hardware hasta la solución, ofreciendo una computación confidencial como solución con un entorno de ejecución confiable inmutable y autenticado.
La seguridad total de los datos que conduce a la privacidad, la soberanía y la resiliencia digital de los datos requiere una protección integral durante todo el ciclo de vida y la pila de datos. La computación confidencial garantiza que los proveedores de la nube no accedan a los datos basados en la confianza, la visibilidad y el control, sino más bien en la prueba técnica, el cifrado de datos y el aislamiento del tiempo de ejecución.
La garantía técnica es crucial para evitar el acceso no autorizado a los datos, lo que implica que los administradores de la nube, los distribuidores, los proveedores de software y los ingenieros de confiabilidad del sitio no pueden acceder a los datos mientras están en uso. La garantía técnica asegura que el proveedor de servicios en la nube (CSP) no pueda divulgar ningún dato en caso de solicitudes legales, evitando violaciones en la protección de datos independientemente de la legislación y las fuerzas del orden.
La protección de datos con garantía técnica fomenta la soberanía de los datos y la resiliencia digital. Esto significa que el control total sobre los datos reales recae en el usuario de la nube, no en el proveedor de la nube. Al aprovechar la computación confidencial y la criptografía, las instituciones financieras pueden responder a los estrictos requisitos de la ley DORA, asegurando el más alto nivel de garantía técnica y salvaguardando sus operaciones en un ámbito en evolución.
En conclusión, la ley DORA no es simplemente una tarea de cumplimiento, sino una oportunidad para que las instituciones financieras inviertan estratégicamente en resiliencia operativa digital. Al incorporar la computación confidencial y la criptografía en su estrategia, las organizaciones pueden navegar por la ola digital con confianza, garantizando la privacidad, la seguridad y el control de los datos en un escenario digital en constante evolución.
Dé el primer paso para mejorar la seguridad de los datos y lograr el cumplimiento y aprenda más sobre las soluciones de computación confidencial de IBM, por ejemplo, cómo Hyper Protect Virtual Server puede ayudar a proteger las transacciones financieras y cómo IBM está abordando la seguridad a nivel de aplicación.
Obtenga insights para prepararse y responder a los ciberataques con mayor rapidez y eficacia con IBM X-Force Threat Intelligence Index.
Conozca las amenazas más recientes y fortalezca sus defensas en la nube con el informe de X-Force sobre el escenario de amenazas en la nube.
Acceda a este informe de Gartner para aprender a gestionar el inventario completo de IA, proteger las cargas de trabajo de IA con medidas de seguridad, reducir el riesgo y gestionar el proceso de gobernanza para lograr la confianza en la IA para todos los casos de uso de IA en su organización.
Descubra nuevos insights para seleccionar el proveedor de detección y respuesta gestionadas que mejor se alinee con los objetivos de su organización
Eleve su seguridad con nuestra suite principal de soluciones de detección y respuesta ante amenazas.
Proteja las inversiones existentes y mejórelas con IA, mejore las operaciones de seguridad y proteja la nube híbrida.
Cree un tejido de identidades sólido e independiente del proveedor con una solución de IAM confiable.
Utilice las soluciones de detección y respuesta a amenazas de IBM para fortalecer su seguridad y acelerar la detección de amenazas.