Cyera: Tu guía para simplificar el cumplimiento de DORA

Enero de 2025 marca un momento decisivo en la evolución de la seguridad de la información. A partir del 17 de enero de 2025, entra oficialmente en vigor el Reglamento de Resiliencia Operativa Digital (DORA) de la Unión Europea. Esta normativa histórica está diseñada para fortalecer la seguridad de TI y la resiliencia operativa de las instituciones financieras —incluidos bancos, firmas de inversión, proveedores de servicios de pago y terceros críticos— en toda la UE.

Para muchas organizaciones, DORA representa un cambio significativo, al exigir marcos sólidos para la gestión de riesgos, la respuesta a incidentes, la gobernanza y la resiliencia de TI. Cumplir con estos estrictos requisitos puede ser abrumador, pero con las herramientas adecuadas, la alineación se vuelve mucho más manejable.

En Cyera, estamos comprometidos a ayudar a nuestros clientes en toda EMEA a abordar con facilidad los requisitos fundamentales de cumplimiento y resiliencia de DORA.

Conoce tus datos

DORA comienza con un fundamento clave: entender y proteger tus datos. Las instituciones financieras deben identificar y resguardar sus activos más sensibles.

Con Cyera, nuestros clientes pueden automatizar el descubrimiento y la clasificación de datos sensibles y regulados en sus entornos SaaS, IaaS, DBaaS y locales. Dada la precisión del 95% de las plataformas, los ayudamos a garantizar que sepan qué datos críticos existen, dónde residen, cómo se están utilizando y a qué riesgos están expuestos actualmente

Gestiona proactivamente el riesgo de datos

DORA exige la gestión proactiva de los riesgos de datos, requiriendo que las instituciones realicen evaluaciones de riesgo periódicas y atiendan las vulnerabilidades.

El servicio de Evaluación de Riesgos de Datos de Cyera evalúa las capacidades actuales de seguridad de datos del cliente frente a 31 marcos de la industria conocidos. Luego, el equipo del servicio trabaja con los clientes para determinar su superficie de ataque de datos y desarrollar métodos para reducir los riesgos. Como parte del compromiso, el cliente recibe información procesable y recomendaciones sobre desconfiguraciones actuales de datos, desvíos existentes de datos, problemas de cumplimiento y acceso excesivamente permisivo por parte de empleados, terceros e incluso copilotos de IA como Microsoft Teams.

Dado que Cyera escanea continuamente los datos y monitorea activamente los eventos de datos, el cliente obtiene soporte para la supervisión de riesgos en tiempo real para garantizar que cumpla de forma continua con el estándar DORA, en lugar de solo en un momento puntual.

Detección de incidentes de datos y aceleración del tiempo de respuesta

No es de sorprender que la detección, gestión y reporte de incidentes sean componentes esenciales del cumplimiento con DORA.

Cyera está diseñada para proporcionar información crítica de inteligencia de datos que resulta útil en caso de un incidente de datos activo. Por ejemplo, la plataforma ofrece detección temprana de eventos al monitorear cómo se usan los datos, las identidades con acceso y conocimientos sobre el contexto en el que el usuario accede a los datos (p. ej., comportamiento anómalo, usuario fantasma accediendo a datos, MFA desactivado, etc.) para identificar de raíz comportamientos sospechosos. La plataforma actúa como un cerebro de inteligencia de datos y envía señales a soluciones de seguridad adicionales como SIEM (p. ej., Splunk) para proporcionar alertas con rico contexto de datos y acelerar las respuestas necesarias. La plataforma mantiene un registro de auditoría de eventos de datos relevantes para respaldar la elaboración de reportes, lo que facilita el cumplimiento de los requisitos de respuesta a incidentes de DORA.

La necesidad de la gobernanza de datos y la preparación para auditorías DORA

La gobernanza eficaz está en el centro de DORA. Las instituciones deben demostrar su cumplimiento mediante marcos de gobernanza, revisiones periódicas y, por supuesto, informes regulatorios.

Con Cyera, los clientes pueden ver paneles y conocimientos detallados adaptados a los estándares regulatorios. Estos datos son fundamentales para facilitar auditorías continuas sobre el uso de datos relevante, su postura de seguridad y las acciones de remediación que deben tomarse. Cyera gestiona esto automáticamente, en lugar de que el cliente tenga que documentarlo manualmente, lo que simplifica la carga del cumplimiento.

Abordar la gestión de riesgos de datos de terceros

DORA ha dejado claro que la gestión del riesgo de terceros debe ser una prioridad más sólida para las instituciones financieras que operan desde la UE. Estas organizaciones deben evaluar y monitorear los riesgos que plantean los proveedores de servicios externos, garantizar que dichos proveedores tengan acceso a los datos estrictamente según la necesidad de conocer, asegurar que estas partes cuenten con capacidades de respuesta a incidentes integradas en los propios planes de respuesta a incidentes de la institución, y que estas partes cumplan con los principios de minimización de datos a lo largo de todo el ciclo de vida de los datos.

Cyera primero mapea todos los activos de datos manejados por proveedores externos al identificar y clasificar los datos regulados que son almacenados o procesados por terceros para garantizar el cumplimiento. El módulo de Identidad de la plataforma analiza qué terceros tienen acceso excesivo a datos sensibles y notifica al cliente sobre posibles brechas que involucren identidades de terceros. Esta correlación de datos e identidad puede habilitar una remediación rápida y proactiva de los problemas de datos. La solución de prevención de pérdida de datos de Cyera puede consumir información de Clasificación, dar seguimiento a la precisión de las políticas de DLP existentes asociadas con esos datos y utiliza IA para recomendar políticas de DLP aún más precisas. Si ocurriera un incidente de datos, Cera proporciona visibilidad sobre la participación de terceros, ayudando a dimensionar correctamente el alcance del problema y agilizar cualquier colaboración necesaria entre el cliente y ese tercero. Un factor importante a mencionar es también el papel de Cyera en la identificación de datos redundantes, obsoletos o triviales (ROT) que son utilizados por terceros, ayudando a garantizar que los terceros cumplan con las políticas de retención y eliminación de datos.

Minimización de datos (datos ROT) y gestión del ciclo de vida

Como parte de DORA, las instituciones están obligadas a proteger la integridad y la confidencialidad de los datos durante todo su ciclo de vida. Y como ya habrás adivinado, Cyera puede ayudar.

Como se mencionó anteriormente, Cyera identifica datos ROT. Esto no solo ayuda a garantizar la adhesión a los principios de minimización de datos, sino que también ayuda a nuestros clientes a reducir los costos de almacenamiento de datos y a disminuir su exposición al riesgo al reducir su posible superficie de ataque. Al fin y al cabo, menos datos significa una menor superficie de ataque

Algunas consideraciones clave al evaluar plataformas de seguridad de datos para ayudar con tu cumplimiento de DORA

A medida que la adopción de DORA avance dentro de las instituciones financieras de la UE y estas busquen cómo navegar esta nueva regulación, sin duda habrá varios proveedores que ofrecerán su apoyo. Por ello, quería dejarles algunos principios guía que pueden considerar en sus evaluaciones

‍Prioriza la cobertura integral: Tus datos existen en entornos multinube e híbridos. Asegúrate de que los proveedores que evalúes admitan todos tus entornos de datos clave y ofrezcan tanto alta fidelidad como alta precisión en las perspectivas de datos que proporcionan.

Pregunte sobre la Gestión Proactiva de Riesgos: Los insights de datos en tiempo real adecuados le permitirán remediar problemas antes de que provoquen incidentes.

Cumplimiento simplificado: Asegúrate de que la plataforma cuente con una forma de ayudarte a automatizar los flujos de trabajo clave de cumplimiento. Esto reducirá el esfuerzo manual de tu parte y disminuirá la carga del cumplimiento para tu equipo.

No escatimes en escala: La arquitectura importa cuando se trata de las plataformas que estás considerando. La plataforma no solo debe escalar para respaldar tus requisitos de datos, sino que esa escala también garantizará que la plataforma pueda adaptarse a medida que creces y tus responsabilidades regulatorias evolucionan.

DORA está aquí para proteger los datos. Así que, al final, aunque generará trabajo adicional para las instituciones financieras en la UE, es un paso monumental para nuestra industria. DORA servirá como un faro de resiliencia financiera global: inspirará a otros países en todo el mundo y dará lugar a más regulaciones destinadas a proteger el recurso más valioso del mundo: los datos.

En Cyera, estamos aquí para ayudar. Si necesitas orientación o soporte, no dudes en comunicarte.