1 144 Table of Contents 146 164

Red Seguridad 108

red seguridad primer trimestre 2025 145 financiero eventos Akamai SIA CrowdStrike Accede a los vídeos de las intervenciones en: Accede a los vídeos de las intervenciones en: Accede a los vídeos de las intervenciones en: www.redseguridad.com/canal-redseguridad/hemeroteca/ www.redseguridad.com/canal-redseguridad/hemeroteca/ www.redseguridad.com/canal-redseguridad/hemeroteca/ Microsegmentación para cumplir con DORA Lili López , Senior Security Sales Specialist de Akamai, abordó en primer lugar los cinco pilares sobre los que se apoya esta regulación: gestión de riesgos, reporte de incidentes, pruebas de resi- liencia operativa, gestión de riegos de terceros e intercambio inteligente de información. La exper- ta incidió en que, para proteger los sistemas críticos, es crucial segmentar. Aunque la regulación no obligue a ello, considera la microsegmentación una herramienta muy eficaz en el cumplimiento normativo. Aunque también apostó por la monitorización continua y por una clasificación óptima que posteriormente haya que compartir. Con relación a la gestión de riesgos, “la rapidez en la respuesta a nuestros clientes provoca muchas veces que tengamos que dar acceso rápido”. Por eso considera relevante que se controle “a quienes acceden a las infraestructuras de una compañía”. El papel de los proveedores para ayudar a cumplir DORA Hugo Cedillo , Manager de GRC para el sector financiero en SIA, adelantó que en esta regulación “los proveedores de terceros van a jugar un papel muy importante” y centró su intervención en el riesgo sistémico. Destacó cómo DORA hace hincapié en los proveedores esenciales “que van a formar parte de la gestión de riesgos de la entidad financiera”. Con este reglamento, “los provee- dores juegan un papel esencial dentro del esquema que brinda DORA para poder robustecer esta ciberresilencia en las entidades”. Estas compañías son especialmente relevantes “no solo en el intercambio de información y en el reporte de incidencia, sino también en las pruebas de resilien- cia operativa digital que se demandan, en mayor medida, dentro de esta normativa”, comentó. Criterios para la notificación de incidentes de ciberseguridad Álvaro del Hoyo , Technology Strategist Sur de Europa de Crowdstrike, destacó que, respecto a la normativa, más que de dificultades, “hay que hablar de retos”. Su ponencia se centró en la notificación de incidentes, y explicó que CrowdStrike se centra “en documentos como el Regla- mento delegado UE 2024/1772 y el Borrador Final Estándar Regulatorio y Técnico JC 2024 33, que inciden en la clasificación de incidentes, las condiciones de materialidad para entender si se está ante un incidente grave o una amenaza relevante, así como las pautas y modelos sobre la base de los cuales hacer la notificación”. Del Hoyo aseguró que, fundamentalmente, se enfrentan al reto de qué es lo que hay que notificar. Comentó que, para ello, hay establecida una serie de criterios: servicios, afectados, transacciones, impacto, datos, duración y alcance. Álvaro del Hoyo Technology Strategist Sur de Europa de Crowdstrike Hugo Cedillo Manager de GRC para el sector financiero en SIA Lili López Senior Security Sales Specialist de Akamai

RkJQdWJsaXNoZXIy MTI4MzQz