Navegando por DORA: Cumplimiento de normas a través de la resiliencia cibernética

01:20 Raghu Nandakumara

Hola a todos. Bienvenidos a otro episodio de El Segmento. Me da un gran placer dar la bienvenida a Tristen Morgan, director general de ciberseguridad en BT Group, y Mark Hendry, socio de servicios digitales en Evelyn Partners. Tris, Mark, bienvenidos a El Segmento.

01:34 Mark Hendry

Gracias, genial estar aquí.

01:35 Tristan Morgan

Gracias por tenernos.

01:38 Raghu Nandakumara

Bueno, el placer es todo mío, y consigo conversar con dos personas en lugar de la habitual. Entonces es el doble de diversión, el doble de problema. Estamos hablando del cumplimiento de normas, particularmente en lo que se aplica a la industria de servicios financieros, y lo que eso significa para el ciberespacio. Un poco de antecedentes sobre ambos. Entonces Tris, ¿por qué no nos hablas primero de ti?

01:56 Tristan Morgan

Sí, gracias. Es genial estar aquí, y ya sabes, tengo el placer de ayudar a proteger a todos los clientes de BT Group, particularmente en el ámbito empresarial. Entonces miro los productos y servicios que queremos llevar al mercado, cómo los servimos y realmente, en última instancia, en línea con la actualidad, cómo nos aseguramos de que se mantengan seguros. Ya sabe, puede defenderse contra tantas infracciones como sea posible, pero también cumplir con las normas. Así que lo he hecho durante varios años, y antes de eso, una sólida formación trabajando en el sector gubernamental, tanto en el Reino Unido como a nivel internacional.

02:29 Raghu Nandakumara

Impresionante. Gracias, Tris. Marcar.

02:33 Mark Hendry

Lindo, gracias por tenerme. Así que sí. Mark Hendry, soy socio de servicios digitales en Evelyn Partners, que es una firma de asesoría empresarial centrada en el Reino Unido e Irlanda. Pasé gran parte de mi tiempo antes de unirme a esta firma en una variedad de empresas, empresas de tecnología, consultores Big Four y bufetes de abogados. Desde aproximadamente 2014 en adelante, gran parte de mi práctica fue instruida por abogados o trabajando como parte de un equipo legal, como experto técnico y operativo interpretando los requisitos reglamentarios, alineándose o incluso desafiando las regulaciones y la aplicación de regulaciones. Eso incluye cosas como grandes programas de cambio regulatorio digital en los años del GDPR y trabajar con clientes que se habían visto afectados por violaciones de datos de incidentes de ciberseguridad y necesitaban investigar, remediar y lidiar con el escrutinio y la aplicación regulatoria. Entonces, es un momento divertido para estar vivo en el mundo de las regulaciones digitales —y gracias por tenernos en este podcast para hablar de ellas.

03:43 Raghu Nandakumara

Bueno, como dije, bien, el placer es nuestro. Entonces Tris, Mark, muchas gracias. Así que en realidad, Mark, la última parte de tu introducción, creo, chispa realmente hacia donde creo que iremos con el inicio de esta conversación. Y es obtener ambas perspectivas sobre lo que cree que son las mayores amenazas cibernéticas que están impactando no solo en general sino también específicamente al sector de servicios financieros. Entonces Tris tus pensamientos.

04:13 Tristan Morgan

Es decir, las amenazas son numerosas. Y creo que lo que hay que recordar de la seguridad es que no es un tipo de amenaza, son muchas. E incluso esos muchos continúan evolucionando y cambiando en base a una gama tan amplia de factores. Podrían ser retos económicos, retos geopolíticos, podrían ser otras ideologías. Y así, muchos de nuestros clientes se enfrentan a este tipo de ataque en constante cambio de una variedad de ellos. Lo que hemos visto, aunque extensamente, es que solía darse el caso de que muchos de los ataques se centraban en gran medida en organizaciones multinacionales más grandes, organizaciones con infraestructura crítica y datos críticos. Y cada vez más, ese no es el caso. Todavía están absolutamente dirigidos, pero las pequeñas y medianas empresas ahora realmente se están viendo afectadas por esto. Y así, cuando lo miras desde el punto de vista de las amenazas, ahora está en todas partes, afectando a empresas de todos los tamaños, de todas las formas. Y creo que eso representa parte del cambio, ya sabes, que hemos visto.

05:17 Raghu Nandakumara

Sí, absolutamente correcto. Y creo que los datos muestran absolutamente que el ensanchamiento del impacto, desde justo lo que las comas invertidas perciben como los objetivos más valiosos, hasta ahora algo que es que está impactando a organizaciones de todos los tamaños en cada sector. Al igual que Mark, ¿cuáles son tus perspectivas para continuar desde lo que decía Tris?

05:40 Mark Hendry

Sí, creo, tomemos el punto histórico: gran empresa, muchos activos, gran target, rico picking. Las empresas más pequeñas están siendo atacadas. ¿Por qué? Muchas razones. Pero la recuperación de la ciberdelincuencia es muy bien entendida en las comunidades delictivas. Riesgo relativamente bajo. No es ir a un banco con una escopeta, y las recompensas son enormes. Además, tome la cadena de suministro digital. Entonces, en realidad, estas empresas más pequeñas están siendo potencialmente atacadas porque están vinculadas con grandes empresas. Por lo tanto, puede dirigirse a ellos y luego puede moverse lateralmente a través de las redes hacia organizaciones conectadas y tener múltiples impactos. Así que eso se trata de la forma en que el mundo ha cambiado y digitalizado con el tiempo. Interconexión: Hace un par de años hablamos sobre el año del ataque a la cadena de suministro, ahora que eso no se ha detenido. Y el año del ransomware; no se detuvo, solo evolucionó, simplemente cambió. Reduzca las barreras de entrada para las organizaciones delictivas y los actores criminales que pasan sus métodos, herramientas, ransomware como servicio, libros de jugadas disponibles, grupos de servicio al cliente de organizaciones delictivas que aparecen. Es muy interesante y sí, las modalidades de amenaza cambian a menudo. Supongo que las motivaciones de los actores de amenazas se mantienen en gran medida estáticas, y depende de quiénes sean, si son un estado-nación o un grupo del crimen organizado o algún grupo delictivo de menor nivel o un “have a ver”. Todos buscan algo, y las formas en que pueden llegar a ello simplemente cambian y evolucionan con el tiempo. Entonces, la forma en que necesitamos defender a los defensores también cambia con el tiempo.

07:30 Tristan Morgan

Y si no te importa, solo salta ahí. Piensas en muchas de estas empresas. Piensas en muchas organizaciones que están tratando de perjudicar a los negocios. En realidad se manejan como negocios, porque son negocios. Entonces, cuando nos fijamos en la adopción de tecnología y la transformación digital, están mirando las tecnologías para entender cómo pueden ser explotadas, cómo podemos usarlas para hacer el mal neto. Y así tienes dos modelos de negocio similares pero muy diferentes.

07:56 Raghu Nandakumara

Absolutamente. Entonces, definitivamente existe ese modelo de negocio de rentabilidad similar, y supongo que la economía del ransomware, y el ransomware como negocio, o los ciberataques como negocio. Y ambos tocaron varias cosas sobre, motivación, sobre que no sea solo el año del ransomware, sino yo diría que los años del ransomware, justo en plural. Y realmente, es la modalidad de ataques, y si bien las tácticas en sí mismas, las tácticas de alto nivel, realmente no cambian de ataque a ataque, de atacante a atacante, algunas de sus técnicas y procedimientos sí evolucionan. Pero vamos a desempaquetar esos poco a poco, y veamos la motivación y una de las cosas y mirando los diversos informes similares en el último par de años, una cosa que está saliendo a la luz es parte del cambio hacia más ataques que se enfocan en comprometer la productividad de la disponibilidad, más allá del enfoque de extorsión. El enfoque de rentabilidad. ¿Cómo ves eso? ¿Y ve esto como una preocupación creciente entre las organizaciones? ¿Cómo nos aseguramos de seguir siendo productivos porque sabemos que ese ataque está a la vuelta de la esquina?

09:15 Mark Hendry

Tienes razón. Entonces el término de resiliencia, de lo que estás hablando es, yo diría, presencia siempre frente a la mente porque incluso cuando hay una brecha en marcha, no es una cuestión que piense en que el negocio no pueda operar. Está bien, ¿cómo podemos seguir operando, incluso si hay cosas que están en curso dentro de nuestra empresa? Y así, si nos fijamos en el mundo digital y conectado, la mayoría de las empresas tienen todo establecido desde tamaños interceptados en muy pocos puntos en el nuevo modelo SaaS hiperescalador que tenemos. Por lo tanto, la atención se centra en la resiliencia de TI. En caso de que haya una interrupción no relacionada con el cibernético, y de hecho, una interrupción relacionada con el cibernético ahora es primordial porque haces un punto válido allí, que es que no todo se trata de ransomware y de exigir el pago para que tus datos se te vuelvan a publicar o que estén bien. En realidad, se trata mucho más de, bueno, si puedes derribar un sitio web para no poder vender ningún pedido nuevo, o puedes evitar, ya sabes, que todos tus 50,000 empleados entren y hagan algo que en sí mismo también cuesta una enorme cantidad de dinero para ese negocio.

10:21 Raghu Nandakumara

Y sí, y creo que atado a eso. Estaba viendo uno de los informes de violación de datos más recientes que hablaba de cómo, cuando se observa el costo promedio de una violación de datos, alrededor del 33% de un tercio de ella se atribuye a la pérdida de negocios. Y ese porcentaje como costo total general va en aumento que anteriormente ese, el impacto significativo, era o bien como pagar el rescate o la recuperación. Pero ese impacto en el propio negocio, la productividad, solo va subiendo día a día. Entonces, Mark, como en sus conversaciones con sus clientes, ¿cuál es la naturaleza de esa conversación cuando se trata de resiliencia operativa y resiliencia cibernética?

11:02 Mark Hendry

Depende de con quién estés hablando y lo que les importa, y en qué sector se encuentren, y tan a menudo se trata de contar una historia. Entonces, por ejemplo, uno de los incidentes de ransomware en los que trabajé hace un tiempo, fue hace un tiempo, pero es una historia bastante buena. Sufrieron un ransomware masivo, un prolífico ataque ransomware que básicamente les impidió operar. Y estaban perdiendo millones por día. Eran una organización de bienes de consumo que se movía rápidamente, por lo que no podían mover mercancías dentro y fuera de su almacén, no podían imprimir etiquetas, no podían decir a los trabajadores de gig economy cuándo venir a trabajar y a dónde ir a trabajar, no podían pagar a los proveedores, no podían pagar al personal, muchas cosas de impacto diario. Y estaban perdiendo millones fuera de la línea superior, pero filosóficamente se oponían absolutamente a pagar a un actor criminal para recuperar sus sistemas y sus datos. Y entonces, si estoy hablando con una organización que produce algo que tiene líneas de fábrica y tiene gente entrando y saliendo por trabajo, trabajadores contratados de cero horas, esa es una buena historia para contar y agudizar sus mentes con respecto a cómo podría verse y sentirse el tipo de impacto, y cómo van a tomar decisiones cuando se enfrentan a una crisis como esa. Mientras que una organización de servicios financieros es muy diferente en términos de cómo opera y cómo genera ingresos de primera línea. Y por lo tanto, cómo es probable que necesiten tomar decisiones, cómo incluso se van a coordinar en una interrupción de las comunicaciones, cómo planifican esas cosas y luego cómo toman esas decisiones filosóficas, así como las elecciones prácticas, operativas y técnicas. Y, por supuesto, diferentes industrias tienen diferentes obligaciones de cumplimiento normativo, cargas, supervisión, supervisión. Y entonces, si estás en servicios financieros, si estás hablando del costo general de un ataque de ransomware disruptivo u otra interrupción orientada digitalmente, entonces lo más probable es que una buena parte de ese costo provenga de un aviso de multa monetaria de tu supervisor, tu autoridad supervisora. Mientras que si usted es, ya sabe, por ahora, una organización productora de alimentos, realmente no está esperando una gran multa por fallas para mantener sus sistemas resilientes. También podría obtener uno por violación de datos personales, ese es un asunto ligeramente diferente. Es la naturaleza de la supervisión, y la aplicación puede variar drásticamente según su sector, y eso realmente puede cambiar drásticamente su perspectiva de los costos generales de ese tipo de interrupción.

13:47 Raghu Nandakumara

Sí, absolutamente. Va hacia un área que queremos explorar sobre cómo el cumplimiento de normas y las industrias reguladas, o cómo las industrias que cumplen con las normas y altamente reguladas impulsan mejores estándares y, en este caso, una mejor seguridad y una mejor resiliencia. Entonces con eso en mente, ¿qué ve como el cambio? Porque como que he visto experiencia personal en carreras anteriores. La lista de verificación desde una perspectiva de cumplimiento, estuvo muy cerca, bien, revise esta lista, verifique que haga todas estas cosas y luego proporcione, esencialmente, proporcione su evidencia. Pero a menudo carecía de contexto como el impacto de esos controles, por lo que son estáticos en lugar de mostrar una mejora significativa en la postura de seguridad. ¿Cuál es su perspectiva al respecto? Al llegar a DORA en un segundo, hay algunos cambios interesantes que DORA está impulsando con ese respeto. Pero, por ejemplo, ¿cuál es su perspectiva sobre una mirada histórica al cumplimiento de normas y la efectividad de esos requerimientos?

14:48 Tristan Morgan

Creo que en muchas organizaciones, el cumplimiento de normas a menudo se veía como algo que era un desafío, pero también como signos de interrogación en torno al por qué. Y haces un punto válido donde muchas veces se conocía como ejercicio de casilla de verificación. Y si miras, si luego miras con interés algunos de los desarrollos recientes, como tenemos el marco de evaluación cibernética desarrollado por el NCSC del Reino Unido, ya sabes, no es una casilla de verificación. Realmente se trata de una calificación en una escala. Y entonces lo que puedes hacer de manera organizativa es decir, algunos negocios, estas cosas importan más que otras cosas. De esta manera, puede marcar hacia arriba y hacia abajo las áreas que necesita para cumplir con las normas, y también entender hasta qué punto necesita cumplir con la escala. Creo que eso es realmente importante porque un buen ejemplo serían los libros de jugadas operativas en caso de una violación. Bueno, ¿qué tipo de escenarios estás tratando de simular? ¿Hasta dónde buscaría que una brecha se extendiera en todo un negocio? Es todo este tipo de cosas las que necesita para juzgar el grado en que realmente necesita tenerla en su lugar en función del riesgo para los clientes y una cadena de suministro más amplia.

15:55 Raghu Nandakumara

Sí, absolutamente correcto. Creo que eso vuelve a la cuestión de la proporcionalidad. Lo que es relevante para usted en función de lo que es importante para su negocio. Entonces, creo Mark, ¿cuál es tu perspectiva al respecto en términos de lo que has estado haciendo dados tus antecedentes, lo que has hecho con los clientes históricamente y cómo ha cambiado eso con el tiempo?

16:15 Marcos Hendry

Supongo, bueno, mira, el entorno regulatorio en el espacio digital —llamémoslo ese espacio digital y de datos— ha cambiado y está cambiando masivamente. Entonces, en mis años de práctica, solía asesorar a los clientes sobre la Ley de Protección de Datos de 1998 tal como estaba, y luego tuvimos el GDPR y el GDPR del Reino Unido y la Ley de Protección de Datos del Reino Unido. Además, la forma en que hemos practicado eso, o la forma en que los clientes y las empresas han necesitado ayuda con eso, ha cambiado con el tiempo. Creo que tal vez eso se trata un poco de mi propia posición como practicante, y tal vez eso sea un poco sobre la sofisticación del ecosistema digital, del mundo, y supongo del cumplimiento del entorno regulatorio o de estándares en el que todos vivimos ahora. Entonces, por ejemplo, en el día, solía ir por los centros de llamadas y los almacenes de datos y me aseguraba de que los controles estuvieran presentes o ausentes y funcionaran hasta cierto punto, y hacer una especie de procedimientos acordados, auditorías, y lo que tenga usted. Estoy seguro de que algunas de esas cosas todavía continúan. Pero si nos fijamos en el texto de estándares, ya sabes, marco de ciberseguridad NIST, o marco de evaluación cibernética para MCSC, como acaba de decir Tris, o en realidad en NIS2 y DORA. Entonces NIS2 es un buen ejemplo. Dice algo como tomar en cuenta el estado del arte que no es nada estático. Cambia todo el tiempo. Y entonces hay una gran cantidad de interpretación. ¿Y por qué dice eso? Porque el estado del arte para proteger, detectar y responder tiene que cambiar a medida que cambia también el estado del arte para la causalidad de ataque y daño. Y estas regulaciones deben resistir la prueba de 20 a 30 años, y deben evolucionar a través de la orientación de apoyo. Pero señala, ya sabes, NIS2, que tiene una relación con DORA. NIS2 en sus definiciones, tiene una definición para estándar. A lo que nos referimos por estándar es si esta regulación se refiere a norma, se refiere a normas internacionales, se refiere a normas europeas, se refiere a normas técnicas. Y así te señalan de inmediato a los otros lugares que se mueven más rápido de lo que lo hacen las propias regulaciones. Y por lo tanto, la forma en que asesoramos a los clientes, la forma que tienen los clientes de considerar estas cosas y actuar, todo cambia muy, muy frecuentemente.

18:58 Raghu Nandakumara

Sí, creo que lo expresaste maravillosamente. Y es algo así, Tris, porque teniendo eso en mente, se siente como lo que estamos viendo ahora es, y mencionaste NIS2, pero déjame presentarte DORA aquí, que habla de cómo se aprovecha ISO 27001 como una inspiración sobre la que construir. Porque hay tanto ahí que ya es un poco relevante, en lugar de tratar de reinventar la rueda. Entonces, creo que atando lo que Mark estaba diciendo es que una alineación más estrecha entre las regulaciones y los marcos y estándares seguros que las organizaciones están adoptando de todos modos para evitar la duplicación de esfuerzos. ¿Eso es consistente con lo que estás observando?

19:46 Tristan Morgan

Oh, 100%, y en realidad, esto es, ya sabes, esto realmente está ayudando a los negocios. Piensa en algunos de estos grandes estándares globales como ISO, que muchas empresas adoptan en varios dominios. Si construyeras algo completamente separado y pidieras a todas las empresas que cumplan con algo que fuera diferente, no solo habría un costo significativo, creo que en realidad obtienes una resistencia mucho mayor, mientras que estas regulaciones, como DORA, que en realidad se basan en las mejores prácticas reconocidas por la industria que muchas empresas ya están adoptando hasta cierto punto, y de hecho es sensata, pero también hace que la barrera al cumplimiento sea menor. Es decir, todavía hay muchas cosas que hacer para llegar ahí, pero en realidad, lo hace menos. Pero también significa que hay mayores comunidades disponibles para que las empresas hablen, para ayudar a entender lo que necesitan hacer, y las áreas también de las que no preocuparse. Veo para una serie de sectores, si bien hay desafíos al hacer esto, también hay facilidad de satisfacción de que esto es algo que se ha usado universalmente, y las empresas no tienen que cumplir con diferentes legislaciones locales y diferentes países porque muchos negocios a los que servimos y ustedes servirán trabajan a través de las fronteras de los países.

20:57 Raghu Nandakumara

Sí, absolutamente. Y en realidad, ese es un punto interesante del que hablar un poco más porque NIS2, en su naturaleza, con la UE definiendo NIS2 como una directiva y luego esencialmente pidiendo a los países miembros que lo adopten en las regulaciones locales pertinentes. Pero en comparación con eso con el caso de DORA, la UE ha dicho: “En realidad, vamos a asumir la responsabilidad de que esto se aplique en todos los ámbitos”. ¿Por qué existe tal diferencia de enfoque entre el NIS2, que es más amplio y cubre más industrias, y DORA, que se está convirtiendo en una especie de regulación a escala de la UE? ¿Por qué hay una diferencia de enfoque?

21:46 Tristan Morgan

Yo diría que reconoce y lo lleva un nivel arriba, y de hecho mira esto como la economía europea. Y así reconocer el impacto que puede ocurrir, no solo a nivel de país individual, sino a un nivel geográfico más amplio y más amplio, a menos que mires algunos de estos temas fundamentales en torno a la resiliencia, la ciberseguridad, porque sin eso, si tienes diferentes interpretaciones de ella, entonces no tienes armonización, y no te estás moviendo todos en la misma dirección. También hay otra cosa, claro, en seguridad, mucho mirándolo como un deporte de equipo, hay que compartir información entre organizaciones para estar mejor juntos. Y vuelvo a pensar, cuando se mira a estas regulaciones continentales y europeas, son importantes porque esa es una de las piedras angulares de ellas.

22:32 Raghu Nandakumara

Y, sí, creo que ese es un punto importante. Y creo que también la industria de servicios financieros, tanto en la UE como a nivel mundial, está mucho más interconectada a través de las fronteras que cualquiera de las otras industrias críticas que cubre NIS2. Entonces Mark, ¿qué piensas?

22:50 Mark Hendry

Sí, estoy completamente de acuerdo con lo que has dicho. Creo que hay un poco sobre el patrimonio. NIS2 es el segundo. Viene de NIS. Teníamos y tenemos NIS del Reino Unido, que para aquellos que no conocen la red NIS original y los sistemas de información, sea lo que sea, la regulación 2018 estaba realmente enfocada a los operadores de servicios esenciales. Entonces eso es infraestructura nacional crítica, servicios públicos, transporte, cosas por el estilo, así como lo que llamaron RDSP, proveedores de servicios digitales relevantes. Y eso fue todo derecho internacional transpuesto. Fue más o menos al mismo tiempo que el GDPR. GDPR recibió toda la atención y, en realidad, posteriormente, prácticamente toda la aplicación y supervisión. Y NIS2 es el segundo bocado de la cereza porque reconoce que un ámbito más amplio de industrias debe considerarse crítico o importante sobre una base nacional e internacional, económica y social, social. Pero en realidad no están coordinados, no hay coordinación entre, no sé, el Servicio Postal francés y la economía de infraestructura de hidrógeno del Reino Unido, no lo sé. Por lo tanto, sería muy difícil crear algo que sea adecuado para todas esas industrias dentro del alcance de NIS2. Y armonioso mientras que, como usted ha dicho, los servicios financieros europeos, la economía y la sociedad y el régimen de supervisión se coordinan desde hace bastante tiempo, y por eso DORA, un acto armonizado y general, tiene muchas más posibilidades. Ya sabes, el tiempo será la prueba, pero tiene muchas más posibilidades de lograr lo que necesita lograr o los principios que se han establecido para lograrse utilizando ese instrumento armonizado.

24:45 Raghu Nandakumara

Entonces, con todo eso dicho, y creo que estamos familiarizados con la naturaleza de las regulaciones de gestión de riesgos de TIC en la industria de servicios financieros históricamente, ¿cuál diría que fue el detonante o el punto de inflexión para que la UE replanteara mucho de esto en la forma de y realmente hacer de la resiliencia operativa el principal objetivo? ¿Cuál fue el punto de inflexión, Mark?

25:14 Mark Hendry

Hablo de esto como probablemente la mayor intervención de resiliencia en servicios financieros desde después del crash de 2008. Después del desplome de 2008, se trató de resiliencia financiera, efectivo en el sistema. Mucho ha cambiado desde 2008, y hablamos de ello antes, sobre lo interconectada que está la economía y todos sus actores y cuánto depende la sociedad de la infraestructura digital hasta un punto que creo que se ha visto venir, pero que potencialmente ha sido un poco sorprendente en lo dominó que pueden ser los efectos cuando ocurre algún tipo de apagón. Creo que hay una enorme cantidad de aprensión y nerviosismo en toda Europa sobre lo que sucede si ese jugador de enésima licenciatura que nadie percibe realmente porque son capas enterradas en lo profundo de la cadena de suministro digital, nadie realmente ha hecho la debida diligencia con ellos, pero todos confiamos en ellos. Simplemente no lo sabemos todavía. Y así, lo ves en cosas como los objetivos de identificación en DORA, donde necesitas realmente mapear tu cadena de suministro de una manera exhaustiva y profunda, ver quién está conectado con quién, y quién está conectado con ellos, y en quién confían todos. Y hubo un ejemplo realmente bueno recientemente mediante el cual, en medio de todos estos procesos y programas DORA para identificar la cadena de suministro y determinar como entidad de servicios financieros, sujeta a DORA, a quien consideramos un proveedor crítico o importante de TIC. Como proveedor de TIC que estará con muchas de estas instituciones de servicios financieros que no sufrieron un ciberataque, pero que tenían sus widgets y sus dongles enchufados e implementados en muchos servidores y montones de computadoras portátiles. Y algo que hicieron provocó una interrupción operativa grande y disruptiva. Y eso no tenía que ver con un ciberataque, y por eso esto tiene elementos de gestión de riesgos TIC, que tú y yo veríamos como objetivos cibernéticos, mandatos cibernéticos, requerimientos cibernéticos. Pero es más grande que eso, es resiliencia operativa digital porque eso no fue un ciberataque, y sí, tuvo un impacto similar a un ataque de ransomware disruptivo durante un corto período de tiempo. Y por eso ha ocurrido esto. Se trata de intervenir sobre la base de cómo funciona el mundo ahora.

27:40 Raghu Nandakumara

Sí, absolutamente. Volveré a algunas cosas que dijiste. Tris, ¿algo que agregar?

27:44 Tristan Morgan

Creo que ellos podrían verlo venir también. Y si solo miras la, y Mark relacionada con ella, la economía altamente, no solo interconectada, sino la justa en el tiempo que tenemos en sectores críticos, empiezas a darte cuenta de cómo en cualquier momento, en cualquier momento dado en eso, cómo no es solo un impacto pequeño, localizado puede tener ramificaciones mucho mayores. Y entonces, creo que hay una mayor previsión que se ha metido en la planeación para esto, pero también, y para las empresas con las que trabajo, también pedir a las organizaciones una mayor orientación y estandarización en algunas de estas cosas, para que ciertos negocios o sectores no tengan que asumir todo el costo de la misma.

28:28 Raghu Nandakumara

Hay algunas cosas ahí dentro. Pensemos en el impacto porque ambos lo han mencionado. Y puedo pensar en un ejemplo reciente, que fue un ciberataque relacionado con el ataque de ransomware ICBC al final de la cola de finales de 2023, que luego impactó su componente clave de los valores estadounidenses, el mercado de valores estadounidense. Y luego hubo un efecto de arrabación para poder despejar operaciones, etc., entre todas sus contrapartes. Y ese es un gran ejemplo de lo que, como DORA, y los controles que está trayendo, literalmente busca reducir el impacto de pero lo de terceros, creo, es realmente interesante. Y la primera pregunta que les plantearé a ambos es, ¿cómo identifican a un proveedor de servicios de terceros crítico frente a un producto de servicio de terceros no crítico? Porque eso, ese tipo de, esa cadena, esas tortugas hasta abajo, porque podrías seguir cavando y decir: “Bueno, eso es crítico para mi proceso, y esa es, y esa es”. Es decir, todo es crítico. Entonces, ¿cómo diferencias?

29:35 Mark Hendry

Es decir, hay un punto en que eso no está ahí, que es una cuestión de interpretación, y una cuestión, por lo tanto, de profundidad y minuciosidad, y hay un equilibrio de riesgo ahí que se debe tener entre, es el principio de proporcionalidad. Todas estas regulaciones contienen un principio de proporcionalidad, que es, digamos, algo que ver con tener en cuenta el riesgo para X, Y y Z, por lo que en GDPR se trata del riesgo de daño a las personas físicas, a usted y a mí si nuestros datos son hackeados o robados. Y eso es sobre si se trata de datos médicos y alguien a quien no queremos que se haga con ellos, o son datos financieros, ¿cuál es el riesgo de daño? Y así, usted pone en marcha salvaguardias proporcionadas para hacer frente a eso. Y luego, cuando se trata de mapeo de la cadena de suministro, si lo desea, ¿qué es crítico e importante? Bueno, solo señale, no soy abogado, pero mira cuáles son las definiciones e interpreta esas para tu organización. Y realmente hay dos. Yo estaba dando algunos consejos sobre esto el otro día. Realmente hay dos formas de considerar esto, al menos en el escenario cliente con el que estaba lidiando, que es que son críticos e importantes si sufren un apagón o desaparecen, y eso impide que puedas completar las cosas que son importantes en el sector de servicios financieros y economía. Y son cosas como completar transacciones o realizar operaciones o cualquier otra cosa que pueda ser, ya sabes, gente sacando dinero de las máquinas. La segunda parte de ella que trata de lo que es importante para ti. Entonces eso es lo que es importante para la economía y la gente en ella y los demás jugadores que actúan. Y luego, en realidad, ¿es crítico o importante para ti? Y eso es más sobre si puedes operar, y puedes cumplir con las obligaciones que te tienes a ti mismo, a tu gente y a otras personas que confían en ti y esperan que hagas algo. Entonces, por ejemplo, en esta conversación con el cliente, fue: “Ah, ¿qué pasa con nuestra gestión de riesgos?” “Usamos X, Y y Z, portal o plataforma en la nube para cumplir con eso, y es aplicado por X, Y y Z”. Entonces, ¿son de importancia crítica? Bueno, en realidad, si bajan por más de una semana en un momento determinado, no cumples con tu obligación regulatoria. Entonces sí, son uno de los dos. Son de importancia crítica. Tú decides quién puede trabajar a través de eso, pero así es como me ocupo de esto.

31:58 Raghu Nandakumara

Entonces Tris solo para contrarrestar esto, creo que la proporcionalidad parte de la propiedad de estas regulaciones, y en DORA en particular, creo que las hace altamente dinámicas, altamente flexibles, muy personalizables para cada organización. Pero eso no demuestra también un desafío a la hora de identificar, determinar: “Bien, esto es lo que vamos a hacer”, sino también para poder demostrar que has tomado las decisiones correctas. ¿Esto no representa un desafío, lo que significa que las organizaciones suelen dejar de hacer tanto como sea posible? ¿Cómo decide y cómo demuestra que ha tomado las decisiones correctas?

32:45 Tristan Morgan

Entonces creo que ahí haces un punto válido, que es, realmente necesitas evidenciar tu toma de decisiones y llegar a una posición alrededor de tu punto, alrededor de la proporcionalidad es clave. Entonces, ¿cómo ha llegado a una decisión y evidencia? Y para el punto de Mark, en realidad buscando consejo también, yo sugeriría, en términos cómo has llegado ahí, porque obviamente lo que no quieres hacer es hacer suposiciones y luego que se demuestre que no es válido en el momento. También vale la pena señalar que cualquier decisión que tome hoy necesita una revisión regular para entender, ¿son demasiado estrictas? ¿No son lo suficientemente estrictos en cuanto a lo que hemos implementado? Pero solo me gustaría volver hace un segundo y decir que esta no es una pregunta en torno a tu binario, ya sabes, uno o cero. En realidad, esto es alrededor de una escala clave. Y cuando observa las partes críticas que necesita, también es importante pensar en la clasificación de pila de los diferentes sistemas y funciones de plataforma. Y algo de lo que he hablado a menudo con los clientes es que a menudo piensan, bueno, ya sabes, si no pudiéramos escribir una orden de compra, ¿eso realmente importaría? Dijimos, bueno, en realidad, si necesitabas eso para ingresar a algunos especialistas en respuesta a incidentes, sería un problema. Y entonces, hay una serie de cosas en las que tienes que trabajar de una manera bastante detallada como parte de tu simulación y pensamiento al determinar a qué nivel y en qué grado quieres cumplir.

34:03 Raghu Nandakumara

Ese es un gran punto. Es como, ¿cuál es ese conjunto más pequeño de procesos clave del negocio que necesita asegurarse de que se mantengan en funcionamiento para mantenerse en el negocio, en funcionamiento? Siento que eso sustenta todo lo demás. Entonces, ¿es ahí donde suele comenzar la conversación? ¿Eso es lo que es ese mínimo establecido para ti como empresa?

34:28 Tristan Morgan

Sí, siempre defiendo que empieces con un cliente y digas, en realidad, si soy cliente, ¿qué es lo que ya sabes, cuáles son los servicios que necesitaría para poder seguir siendo atendido? Y ahí habrá decisiones difíciles en torno a las cosas mínimas que serían. Mark mencionó sobre obtener efectivo o poder transferir dinero. Estas son algunas de las cosas que son fundamentalmente importantes para, ya sabes, en los servicios financieros, y luego trabajando que de vuelta a través de una organización, el riesgo de hacer al revés es que realmente miras qué sistemas de plataforma, etc, necesitas mantener, pero luego perder de vista esa única, cosa importante, lo que en realidad significa que puedes llegar a un cliente. Y entonces voy a abogar por mirarlo de adelante hacia atrás.

35:08 Raghu Nandakumara

Absolutamente correcto. Porque cuando empiezas ahí, una vez que tengas esa lista, entonces puedes hablar de: “Bien, bien, ¿cuáles son las amenazas que enfrentan estas cosas? ¿De qué están en riesgo?” Luego, continúe desde allí sobre cómo identifica dónde están sus brechas de control, para luego determinar qué controles adicionales necesita establecer para aliviar eso y continuar probando eso y mejorando eso.

35:32 Tristan Morgan

Y a medida que avanzas, identificarás un montón de brechas en los controles. Y es importante decir: “Bueno, ¿cuáles vamos a priorizar? ¿Cuáles son los más importantes?” En lugar de simplemente construir una lista de 700 cosas que tienes que hacer. Se trata de saber cuáles están teniendo el mayor impacto para asegurarse de que la empresa pueda mantenerse en funcionamiento y servir a sus clientes.

35:51 Raghu Nandakumara

Sí, y entonces Mark, creo que siguiendo a partir de eso, ese es ese enfoque basado en el negocio que se relaciona con la proporcionalidad que luego se mapea, esencialmente, a cuáles son las amenazas a las que se enfrentan usted y sus procesos que luego impulsa la forma en que prueba. Creo que esa es una parte clave de DORA, que siento que la diferencia de otras regulaciones que hemos tenido en el espacio de administración de riesgos para servicios financieros en el pasado. Como, ¿es así como lo ves?

36:18 Mark Hendry

Sí, creo que sí. Estoy completamente de acuerdo, Tris, con lo que dices. Diciendo, cuáles son las cosas que si son golpeados la gente va a notar, ya sea porque es inconveniente o doloroso y si la gente dice que eres una organización de servicios financieros de empresa a consumidor o de empresa a empresa, pero sabes que va a atraer el escrutinio regulatorio más rápidamente. ¿Cuáles son esas cosas y funcionan al revés a partir de ahí, a qué se interconectaron? ¿En qué confían? Y la pista está en el nombre: análisis de impacto empresarial. Hemos estado haciendo esto con burros chicos, y solo porque tenemos un palo afilado detrás de nosotros, obligándonos, en forma de DORA, a hacerlo ahora. Siempre hemos tenido eso en los servicios financieros. En fin, otras industrias se enfrentan por primera vez al palo afilado. Pero realmente estamos hablando principalmente de DORA aquí. Hay otro punto aquí, que es que, sí, estamos en el camino hacia la aplicación de DORA, y aún no sabemos cómo se ve eso, pero sí sabemos que los servicios financieros, las autoridades supervisoras, suelen estar mejor equipados, ya sabes, gente bien capacitada, bien recursos, ya sabes. Probablemente no estén de acuerdo si tenías un regulador o alguien que trabaja para un supervisor en la línea. Ahora bien, podrían estar en desacuerdo, pero, en comparación con otros, entonces, están por delante de la manada y más activos, porque importa mucho. Pero estamos, ¿qué, a cuatro meses de DORA ahora? Entonces, ¿y si no vas por buen camino? ¿Qué vas a priorizar? ¿En qué vas a ir más profundo o a tocar más ligero? Y al punto sobre la rendición de cuentas antes. Si algo sale mal, ¿cómo vas a contar la historia de por qué ese fue un conjunto apropiado de decisiones y acciones a tomar en base a la información que tenías disponible para ti en el momento en que las tomaste? Todo eso juega un factor cuando ocurren las investigaciones, y la ejecución se está calculando y decidiendo. Y no significa que la aplicación de la ley no vaya a suceder, pero esas circunstancias atenuantes, si pudieras contar una buena historia sobre ellas y demostrar que fueron decisiones buenas y sabias de tomar, o al menos no negligentes, sabes que estás en una buena posición. Y entonces si estás atrasado en tu programa DORA ahora mismo, piensa en lo que hemos dicho: qué es lo que más te va a doler, lo que vas a priorizar, lo que vas a pasar de la línea y lo que vas a patear el próximo año, ¿un poco sobre una base de riesgo equilibrado?

38:50 Tristan Morgan

Tienes toda la razón cuando piensas que las empresas de servicios financieros suelen estar muy acostumbradas a la regulación. Pero ya sabes, piensas en los alcances de DORA, como mencionaste anteriormente, incluidas las empresas TIC y muchas de esas, es la primera vez que en realidad se ha sometido a este tipo de regulación. Y por lo tanto, no solo existe la sobrecarga de tratar de cumplir con las normas, también está el costo. Y algunos de estos pueden ser negocios relativamente pequeños, por lo que es bastante oneroso para ellos no solo embarcarse en el viaje, sino también el costo de cumplir con las normas.

39:20 Mark Hendry

Tienes toda la razón. Es la extensión del alcance de estas cosas a las empresas no reguladas. Por lo que los negocios no regulados caen en el ámbito de Dora porque son un proveedor crítico o importante de TIC para la economía europea de servicios financieros. Y en realidad, hay algo bastante interesante en DORA. Hay un mecanismo en DORA, y me interesa bastante ver cómo se desarrolla, por lo que se llama el registro de activos. Donde las entidades de servicios financieros tengan que rellenar estas hojas de cálculo que dicen que estos son nuestro sistema de información de importancia crítica, TIC y activos de terceros, y que deben ser revelados a las Autoridades de Supervisión previa solicitud y con cierta frecuencia hasta cierto punto. Y luego después de eso, los proveedores de TIC serán designados como críticos e importantes por las autoridades supervisoras. Ahora puedo prever una situación en la que hay un mecanismo de coordinación, un mecanismo de cooperación, por el cual todos esos registros de activos entran en una gran fuga de datos, y de repente, por primera vez en la historia a nivel de la Comisión Europea, tienen capas brillantes y capas y capas profundas de cómo están operando todas estas interconexiones e intersecciones. Eso para mí, si pueden lograr eso desde DORA, es enormemente poderoso en cuanto a cómo mantenemos la resiliencia y casi olvidamos por un segundo lo que va a tomar para llegar allí. Solo obtener esa idea es el trabajo de décadas, y podríamos estar en la cúspide de ello, lo cual es un poco genial de una manera geek.

40:55 Raghu Nandakumara

Sí, absolutamente. Creo que solo, tengo dos reacciones a eso. La primera reacción es tu reacción sobre, eso es increíble entender completamente todo el conjunto de interdependencias entre la industria de servicios financieros bancarios, los proveedores de servicios tecnológicos y cómo están todos interrelacionados, y todas las profundidades a las que va eso. Pero luego también trabajando para un proveedor de tecnología. Mi miedo es eso, ¿cómo sé si estoy en esa lista, y si, si no estoy en esa lista, soy crítico? ¿No soy crítico? Y cómo diferenciar entre uno de nuestros clientes diciendo: “Oh, son un proveedor de tecnología crítico y otro cliente, no nosotros, no tenernos en esa lista”. Entonces, cómo juega eso en mis obligaciones, porque esa es la parte que siento que aún no está clara.

41:48 Mark Hendry

Entonces, mi firma acaba de ganar Asesor FinTech del Año. Entonces puedes imaginarte, trabajamos con muchos de los negocios que o bien caen en el extremo aleta de ese espectro, y están regulados porque básicamente son un banco digital o algo así. Y si están operando en los mercados de la UE o supervisados por reguladores europeos, adivina en qué están dentro del alcance. Pero si están en el extremo tecnológico de eso porque son una tecnología, básicamente son un proveedor de tecnología, y sus clientes son entidades de servicios financieros. Solo hay que mirar dónde están operando esos clientes de servicios financieros y qué hacen por ellos. Y si crees que eres lo suficientemente importante para ellos como para que si bajaras, dejarían de ser capaces de hacer algunas cosas, entonces es un ejercicio de lógica en el que estás. Si eres una empresa de tecnología más amplia que tiene clientes en retail, manufactura farmacéutica y servicios financieros. Simplemente haz el mismo ejercicio. ¿Quiénes son sus clientes de servicios financieros? Sabes quiénes son porque los estás facturando, y piensa en ti sabes lo que significas para ellos, y qué pasa si te caes un día y planeas para eso y de nuevo, ejercicio de lógica. Pero al punto de Tris, si no estás seguro, busca consejo.

43:00 Tristan Morgan

Creo que escogiendo el último punto sobre buscar Consejo. Entonces, ya sabes, nadie puede hacer esto solo. Y hay muchos terceros con los que pueden ayudar, más o menos, se habla de proporcionalidad en cuanto a dónde y a dónde ir primero, y ya sabes lo que han hecho otros sectores. Y ayudar a tomar esa posición de juicio para que las personas puedan llegar a ser conformes al nivel correcto sin el grado adecuado de carga, y particularmente a las empresas que naturalmente no provienen de esta esfera más regulada. Y Mark habló sobre las empresas de tecnología que se han ramificado hacia los servicios financieros. Creo que algunos de estos son en los que creo que es más importante trabajar con otras personas.

43:42 Raghu Nandakumara

Entonces nos estamos acercándose al tiempo, y este es un podcast de confianza cero, y no hemos mencionado el término confianza cero una vez, así que siento que estoy obligado a hacerlo ahora. Entonces Tris empezando contigo primero. Entonces DORA habla mucho sobre lo que apunta hacer, y apunta a mejorar la resiliencia de la industria de servicios financieros en la UE para que sea capaz, incluso en medio de un ciberataque, de continuar y ser productiva. Y hay muchos requisitos técnicos en torno a la reducción, el alcance del acceso, etc. Pero no menciona el término confianza cero una vez y de manera muy intencionada. ¿Cuál es su perspectiva sobre la relevancia de la confianza cero para DORA y también por qué se dejó fuera intencionalmente?

44:28 Tristan Morgan

Si cubro tu segundo punto, primero sobre por qué queda fuera. Por lo tanto, la confianza cero es obviamente un término de seguridad más amplio que reúne una agrupación de capacidades para impulsar fundamentalmente la posición de seguridad de todas las empresas. Y entonces tenemos que ser conscientes, de hecho, que la confianza cero podría cambiar como terminología en el futuro, pero los principios que la sustentan, y creo que es una de las razones por las que no se nombró, en realidad siguen siendo fundamentalmente importantes. Y los miro realmente de cuatro maneras. Se trata de identificar amenazas, ya sabe, mapear cuáles son esas críticas o no críticas y ese tipo de dependencias de terceros. Cómo puedes entonces, con cero confianza, ayudar a proteger y prevenir ataques y dónde necesitas poner el monitoreo correcto, el control correcto ahí, pero también reconociendo que hay cosas más avanzadas que debes hacer para las cosas que no estás seguro que son ataques. Y aquí es donde la seguridad más avanzada, al igual que las tecnologías de seem, son realmente primordiales para ayudar a hacer eso, la caza de amenazas más avanzada, particularmente hablando de actividades tipo Estado-nación. Y entonces ya sabes, la otra parte clave de la confianza cero es mirar cómo respondes y te recuperas a esos ataques. Ten en cuenta que la mayoría de los negocios quieren poder seguir vendiendo capacidad. Entonces, la confianza cero es un bonito agrupar un número de estos, pero fundamentalmente, por eso es importante. Y claro, para algunos negocios, podría ser que quieras amplificar hacia arriba o hacia abajo una de las cuatro cosas de las que acabo de hablar, porque son más relevantes para lo que haces, ya sabes, pero de manera general, cuando miras el principio de confianza cero, se trata del concepto de mínimo privilegio. Por lo tanto, desea dar a su fuerza laboral, a sus clientes, los menores privilegios posibles para hacer lo que necesitan hacer, y luego tomar esa manera cuando no lo necesitan, en lugar de los días de dar a las personas acceso administrativo para siempre como empleado. Ya sabes, eso no es lo que queremos hacer. Lo que la confianza cero tiene que hacer es fundamentalmente dificultar que la gente entre. Pero si la gente sí entra en una organización, para poder detectar, responder y recuperarse de eso de una manera realmente oportuna.

46:32 Raghu Nandakumara

Sí, absolutamente. Y limitar lo lejos que pueden llegar dentro de la organización. ¿Deberían entrar, hasta dónde pueden moverse? Sí, absolutamente fantásticamente puesto. ¿Verdad? Es un conjunto de principios que se aplican no solo a DORA, sino también mucho más allá de eso. Y DORA, supongo, se beneficia de algunos de esos principios marcados hacia arriba o hacia abajo según sea necesario. Mark, ¿alguna idea?

46:56 Mark Hendry

Sí, está ahí dentro. Cero confianza está ahí. Es un estándar al que aspiramos y trabajamos hoy en día. La terminología podría evolucionar con el tiempo, y es por eso que el término probablemente no esté ahí al punto de Tris, pero elementos de confianza cero están ahí. Si hiciste una búsqueda en DORA y buscaste la palabra segmentada, como en microsegmentación, cortando instantáneamente elementos de la red con el fin de contener y lo que tienes, está ahí dentro. Está absolutamente ahí dentro. Entonces, solo necesitas saber lo que estás buscando, y lo encontrarás. Y la confianza cero evolucionará. Podría evolucionar hacia un nombre diferente o un conjunto diferente de características que buscamos lograr. Pero DORA debería durar. Y podríamos encontrar términos como confianza cero que empiecen a aparecer en estándares técnicos regulatorios o implementar estándares técnicos que lo acompañan. Pero está absolutamente ahí, porque es una buena manera de proteger a nuestras organizaciones del daño, los tipos de daño de los que hemos hablado.

47:53 Raghu Nandakumara

Y créeme, como proveedor de segmentación, he buscado mucho en Google esos documentos por cada término y todos sus sinónimos, y los he encontrado todos. Entonces, creo que estamos cerca del tiempo. Tris, voy a ir con, ven a ti primero. Entonces, al concluir, ¿cómo, cómo les gustaría, oyentes, pensar realmente no solo en DORA, sino en el cumplimiento de riesgos de seguridad hoy y cómo va a evolucionar en el futuro?

48:17 Tristan Morgan

Entonces, lo que sacamos de esto es que sabemos que así como estamos como sector, vamos a estar aumentando el uso de la tecnología digital, también sabemos que los adversarios van a estar usando eso para tratar de apuntar cada vez más y tratar de obtener ganancias de todo ello. Y por lo tanto, cuando se observa la seguridad, se convierte en que todos son lo fundamental y lo más importante dentro de esas organizaciones para asegurarse de que puedan ser mejores para detectar y defenderse de eso y, en última instancia, servir mejor a sus clientes. Y quiero decir, aquí es donde también entran la regulación y DORA para ayudar a brindar esa orientación, la estandarización, y en última instancia la colaboración que se necesita para hacer eso, no solo este año, no el próximo, sino ya sabes, para los próximos 5-10 años por venir.

49:02 Raghu Nandakumara

Así que mejor colaboración y mejores estándares. Para que mejoremos la seguridad de manera colectiva.

49:09 Tristan Morgan

Sí, mejor colaboración, mejores estándares. Creo que esa es la clave del éxito.

49:16 Raghu Nandakumara

¿Impresionante, Mark?

49:18 Mark Hendry

Sí, de acuerdo con Tris. Esto es de siempre verde. Ya viene. Todavía no está aquí, pero lo será pronto, y es de siempre verde. Entonces lleguemos a un buen lugar, y sigamos construyendo a partir de eso, y tratemos de no dejarnos arrastrar pateando y gritando al lugar que está tratando de llevarte. Trate de pensar en los beneficios. Se trata de la protección del valor. Se trata de estabilidad, resiliencia. Piensa en la resiliencia. Sí, ese es el mensaje. Piensa en la resiliencia. Trate de no pensar demasiado en el cumplimiento de normas, pero hágalo de una manera que tenga sentido para su negocio. Interpretar correctamente. Ten una buena historia que contar y haz lo que sea proporcionado y adecuado para ti, y estarás bastante bien de pie.

49:55 Raghu Nandakumara

Bueno, creo que son palabras muy sabias e informativas de ambos para concluir eso. Entonces Tris, Mark, muchas gracias por tu tiempo de hoy. Ha sido genial hablarles a ambos y agradezco toda la sabiduría. Salud chicos, gracias.

‍