Los 5 pilares para el cumplimiento de la DORA en Active Directory

La Ley de Resiliencia Operativa Digital (DORA) es un nuevo marco legislativo de la Unión Europea (UE) destinado a reforzar la resiliencia operativa de los sistemas digitales en el sector financiero. Todas las entidades financieras que operan en la UE o con ella deben cumplir la ley DORA a principios de 2025, al igual que los proveedores de tecnologías de la información y la comunicación (TIC) que prestan apoyo a dichas entidades. Este artículo desglosa los 5 pilares del cumplimiento de DORA desde la perspectiva de la seguridad de Active Directory, de modo que su organización esté bien preparada para satisfacer las exigencias de esta normativa.

Leer "Cumplimiento del DORA e ITDR" (en inglés )

Los 5 pilares del cumplimiento del DORA

El DORA contiene cinco pilares de resiliencia:

• Gestión de riesgos de las TIC
• Gestión, clasificación y notificación de incidentes relacionados con las TIC
• Pruebas de resistencia operativa digital
• Gestión del riesgo de las TIC frente a terceros
• Intercambio de información

Para alcanzar el cumplimiento general del DORA, es necesario considerar y abordar cada pilar. Como expliqué en "Cumplimiento de la DORA e ITDR", una parte esencial del cumplimiento de la DORA es comprender y mapear los servicios esenciales, los sistemas y sus dependencias para garantizar que están bien protegidos frente a las amenazas digitales y que cada servicio cuenta con un plan de respuesta a incidentes completo y comprobable.

La gestión y supervisión de Active Directory es la piedra angular de la seguridad eficaz de su entorno a través de la gestión de identidades y accesos de usuarios (IAM). Por ello, la seguridad de Active Directory es competencia de DORA.

Una imagen clara y precisa de su configuración de AD es crucial para mantener la postura de seguridad de su entorno y demostrar el cumplimiento de DORA. A continuación le explicamos cómo puede cumplir los requisitos de los cinco pilares críticos de resistencia de DORA en el contexto de Active Directory y sus retos específicos.

DORA Cumplimiento Pilar 1: Gestión de riesgos y gobernanza de las TIC

La gestión de riesgos exige que las empresas dispongan de marcos de gestión de riesgos de TIC bien documentados para todos sus activos empresariales clave. Este marco debe incluir las herramientas, la documentación y los procesos adecuados para la ciberdefensa, las perturbaciones operativas y cualquier escenario que pueda detener o interrumpir la continuidad de la actividad de los sistemas críticos.

Active Directory es un servicio fundamental que proporciona autenticación y acceso a la mayoría de los servicios críticos para la empresa, como correo electrónico, documentos, datos y acceso a aplicaciones. Si Active Directory se cae, todo lo demás se cae también.

Para cumplir las exigencias del pilar de gestión de riesgos de DORA en lo que respecta a Active Directory, su organización debe demostrarlo:

• Tendrá una visibilidad completa de la configuración de Active Directory y de los sistemas y servicios que dependen de él.
• Puede controlar lo que ocurre en Active Directory
• Puede recuperar Active Directory si algo va mal

¿Por dónde empezar con la gestión de riesgos?

Las empresas no necesitan empezar de cero con el DORA y la gestión de riesgos. Pueden utilizar como punto de partida los marcos existentes, los cumplimientos y las directrices del sector, como MITRE ATT&CK®(una base de conocimientos global sobre tácticas y técnicas de ciberataque).

Cumplimientos históricos como SANS Top 20 o CIS Controls son también recursos completos sobre los que construir un marco de gestión de riesgos. Estas normativas examinan tanto los activos de hardware y software como su estado de configuración.

Estos marcos y normativas constituyen la base a partir de la cual puede tomar decisiones basadas en el riesgo para su entorno.

La tecnología y las herramientas deben hacer el trabajo pesado

El DORA le exige que adopte un enfoque proactivo y continuo de la evaluación de riesgos y las estrategias de mitigación. La legislación exige que los marcos de gestión de riesgos "se documenten y revisen al menos una vez al año... así como cuando se produzcan incidentes graves relacionados con las TIC, y tras... las conclusiones derivadas de las pruebas de resistencia operativa digital o los procesos de auditoría pertinentes. Se mejorará continuamente sobre la base de las lecciones derivadas de la aplicación y el seguimiento"^.1

Las revisiones periódicas y la mejora continua son las mejores prácticas para una gestión eficaz de los riesgos. Sin embargo, estas prácticas también suponen una presión y un trabajo considerables para los equipos encargados de mantener y revisar estos marcos.

La tecnología y las herramientas tienen un valor incalculable para asumir el trabajo pesado mediante la automatización y la supervisión proactiva, garantizando que el cumplimiento continuo requiera el mínimo tiempo y esfuerzo. Por ejemplo, Semperis Directory Services Protector (DSP) ofrece una visión completa de los activos de software de Active Directory y su estado de configuración, lo que permite realizar una evaluación de riesgos y un mapeo del entorno sin problemas, incluso para organizaciones complejas.

Además de proporcionar esta información, DSP también da contexto a cualquier cambio que se realice, incluso en entornos en los que se producen miles de cambios en Active Directory. DSP puede detectar, alertar y revertir automáticamente los cambios basándose en reglas de alerta y respuesta configurables por el cliente. La solución también supervisa continuamente los indicadores de exposición y ataque, para que pueda identificar las vulnerabilidades antes de que puedan ser explotadas; si se detectan rastros de un exploit, DSP los muestra como indicadores de compromiso.

"DSP...nos ayuda a proteger Active Directory. Hemos podido reforzar nuestra infraestructura de Active Directory como nunca antes. Somos capaces de marcar todas esas pequeñas casillas de verificación y asegurarnos de que es absolutamente seguro".

Paul Ladd, Vicepresidente de Sistemas y Tecnología de la Información, AMOCO Federal Credit Union

Para aquellos que necesiten ayuda adicional, nuestros servicios de preparación ante infracciones pueden proporcionar una evaluación completa de la seguridad de AD.

El conocimiento es poder cuando se trata de cumplir la normativa. Tomarse el tiempo necesario para comprender plenamente lo que se tiene antes de pasar a las fases de planificación y pruebas es vital.

Pilar 2: Notificación de incidentes

El DORA exige la normalización de la clasificación de los incidentes relacionados con las TIC. Las organizaciones deben utilizar procesos y plantillas definidos para la notificación de incidentes, y los reguladores exigirán informes en tres fases^:2

• Inicial
• Intermedio
• Fase final de un incidente

Al igual que con el pilar de gestión de riesgos del DORA, las orientaciones y los marcos de información existentes pueden ser útiles para desarrollar su proceso de información.

El enfoque de DORA respecto a la resiliencia no consiste necesariamente en examinar cada componente de forma individual, sino en revisar la cadena global de ataque o defensiva que se tiene en marcha, así como las interdependencias de los componentes. Aquí es donde el marco ATT&CK de MITRE puede ser útil. Trace escenarios teóricos y, a continuación, elabore informes sobre dichos escenarios. La base de conocimientos y las plantillas de MITRE son estándar del sector, gratuitas y de código abierto. Es una buena forma de entender cómo intentan atacarle los atacantes y cómo debería defenderse contra esas amenazas.

El reglamento describe los componentes esenciales de un proceso de notificación de incidentes holístico y eficaz. Analicemos estos requisitos y sus implicaciones para la notificación de incidentes en Active Directory.

Identificación y clasificación de los incidentes

En primer lugar, el DORA exige que las entidades financieras "establezcan procedimientos para identificar, rastrear, registrar, categorizar y clasificar los incidentes relacionados con las TIC en función de su prioridad y de la gravedad y criticidad de los servicios afectados"^.3 En otras palabras, ahora que ha identificado y evaluado sus riesgos, el siguiente paso es acordar y estandarizar cómo se categorizan los diferentes incidentes dentro de la empresa.

La clasificación es un paso fundamental. Al agrupar los tipos de incidentes y sus correspondientes planes de respuesta, se posibilita una resolución de incidentes oportuna y precisa.

Como parte del pilar de gestión de riesgos de DORA, deberías haber mapeado todos los escenarios probables de incidentes de Active Directory y considerado los impactos, preparando dichos incidentes para su clasificación. Como he explicado anteriormente, Active Directory es fundamental para la continuidad del negocio, por lo que su clasificación debe reflejar esta criticidad.

En el Informe de Defensa Digital Microsoft 2023, Microsoft destacó que durante los compromisos de incidentes, el 43% de sus clientes que experimentaron incidentes tenían configuraciones inseguras de Active Directory:

Las lagunas más frecuentes que encontramos durante los compromisos de respuesta reactiva a incidentes fueron:

• Falta de protección adecuada para las cuentas administrativas locales.
• Una barrera de seguridad rota entre la administración en las instalaciones y en la nube.
• Falta de adhesión al modelo del menor privilegio.
• Protocolos de autenticación heredados.
• Configuraciones inseguras de Active Directory.

Para casi todas las entidades financieras, Active Directory debe clasificarse como de alta prioridad y gravedad debido al impacto potencial de un compromiso, infiltración o interrupción.

libre de Semperis Purple Knight y Forest Druid de Semperis permiten a las organizaciones hacerse una idea del estado de la configuración de su Directorio Activo. Purple Knight detecta indicadores de exposición y compromiso, y le ofrece un plan claro y viable para abordar estas áreas y solucionar cualquier problema. Forest Druid asigna rutas de ataque a Active Directory y Entra ID. Al ejecutar Purple Knight y Forest Druid como parte de su ciclo de revisión regular, usted da un paso más hacia el cumplimiento de las normas.

Descargar Purple Knight y Forest Druid ahora

Asignación de funciones de respuesta a incidentes

A continuación, el DORA dicta que las organizaciones "asignen funciones y responsabilidades que deban activarse para diferentes tipos de incidentes y escenarios relacionados con las TIC"^.4

La detección y el tiempo de respuesta son dos de los factores más importantes para resolver con éxito un incidente y minimizar su impacto. Esta ventana de oportunidad se cierra rápidamente. Microsoft y otras fuentes han señalado que suelen pasar menos de dos horas entre el momento en que un atacante compromete un dispositivo y el movimiento lateral del atacante a través de la red, lo que da a los equipos poco tiempo para contener un ataque. Por lo tanto, asegurarse de que cada persona y equipo conoce su papel en la respuesta a incidentes y dispone de un libro de jugadas y un conjunto de herramientas bien ensayados para desempeñar esas funciones coloca a su organización en la mejor posición posible para abordar rápidamente cualquier escenario de incidente.

Comunicación y notificación

La DORA también exige que las organizaciones "establezcan planes de comunicación con el personal, las partes interesadas externas y los medios de comunicación [...] y de notificación a los clientes, así como procedimientos internos de escalada" y "garanticen que al menos los incidentes importantes relacionados con las TIC se comunican a la alta dirección pertinente e informen al órgano de dirección de al menos los incidentes importantes relacionados con las TIC, explicando el impacto, la respuesta y los controles adicionales que deben establecerse como resultado"^.5

La comunicación eficaz y la notificación de incidentes requieren visibilidad de las acciones de los atacantes. Esta información no solo facilita una resolución rápida, sino que también puede ayudarle a crear un proceso de notificación definido y sencillo que le permita comunicar rápidamente los incidentes, su impacto y su respuesta.

Respuesta a los ataques a Active Directory

Por último, el DORA ordena a las organizaciones "establecer procedimientos de respuesta a incidentes relacionados con las TIC para mitigar los impactos y garantizar que los servicios vuelvan a ser operativos y seguros en el momento oportuno"^.6

La automatización puede acelerar la respuesta a incidentes. Por ejemplo, Semperis DSP puede automatizar el proceso de corrección y tomar medidas contra acciones maliciosas deshaciendo automáticamente los cambios no deseados en Active Directory y Entra ID hasta que sus equipos de TI o de seguridad puedan revisarlos y aprobarlos. También puede crear alertas personalizadas para notificar automáticamente al personal sobre actividades sospechosas o peligrosas en AD y Entra ID.

Por supuesto, no basta con documentar el plan de presentación de informes para cumplir los requisitos de la DORA. También debe revisar, probar y formar al personal en sus procedimientos y herramientas de información y comunicación. De este modo se garantiza el cumplimiento del plan.

Pilar 3: Pruebas de resistencia operativa digital

Hasta ahora, hemos cubierto los componentes de planificación, cartografía e información de los pilares del DORA. Ahora es el momento de las pruebas de resistencia. El DORA establece que las organizaciones deben "mantener y revisar un programa sólido y completo de pruebas de resistencia operativa digital" que incluya "una serie de evaluaciones, pruebas, metodologías, prácticas y herramientas" y establecer "procedimientos y políticas para priorizar, clasificar y solucionar todos los problemas detectados durante la realización de las pruebas"^.7

Las pruebas de resistencia son un componente crucial de la normativa, ya que el cumplimiento del DORA exige pruebas de que se han realizado con éxito.

El problema de probar escenarios de Active Directory

Las pruebas de resistencia en el marco del DORA deben abarcar una variedad de posibles perturbaciones, desde sofisticados ciberataques que pretenden violar o interrumpir los sistemas hasta errores operativos como el borrado accidental de datos. El problema es que las pruebas de Active Directory no son sencillas. Además, la criticidad del almacén de directorios puede hacer que los equipos desconfíen de realizar pruebas en vivo:

• Si desactivas Active Directory, no funciona nada más.
• Las pruebas de Active Directory requieren mucho tiempo y trabajo.
• Cualquier error conlleva un alto riesgo de pérdida de datos e interrupción de la actividad empresarial.

Por estas razones, muchas organizaciones prefieren realizar ejercicios de comprobación en papel cuando se trata de AD. Sin embargo, este enfoque no es suficiente para cumplir la normativa DORA.

¿Qué escenarios clave necesita probar?

Cada escenario potencial de ataque a Active Directory requiere un manual de pruebas diferente, debido a los distintos niveles de acceso a la plataforma por parte de los equipos de respuesta. Considere las siguientes posibilidades:

• Active Directory ha desaparecido. La plataforma está comprometida y no se puede confiar en ella.
• AD está operativo pero bajo ataque activo. Active Directory no ha sido cifrado, pero algún tipo de ciberamenaza o malware ha penetrado en el sistema.
• Se ha producido un error catastrófico. Por ejemplo, se ha corrompido una base de datos, se ha eliminado un grupo de usuarios crítico o algunos usuarios ya no tienen acceso.

Para cada uno de estos escenarios, los simulacros en tiempo real y la aplicación de procesos manuales desempeñan un papel fundamental en las pruebas de resistencia.

Por ejemplo, hace poco realizamos un simulacro en vivo con un cliente. Durante el ejercicio, descubrimos que la organización necesitaría 48 horas para devolver Active Directory a la normalidad, utilizando procesos manuales y copias de seguridad históricas. Este plazo está muy por encima de la tolerancia al riesgo de la mayoría de las empresas.

Estrategias de simulación y respuesta

Una buena opción para reducir el riesgo y la ansiedad de las pruebas de recuperación de AD es crear un entorno de pruebas alternativo en el que se puedan simular con seguridad posibles escenarios sin poner en riesgo la infraestructura operativa principal. Este enfoque permite una evaluación realista de las estrategias de preparación y respuesta de la entidad sin exponer los sistemas primarios al riesgo.

Pilar 4: Gestión del riesgo de las TIC frente a terceros

El penúltimo pilar arroja luz sobre el riesgo de terceros de los proveedores de TIC. El DORA estipula que este riesgo debe ser gestionado por la organización de servicios financieros, pero que los proveedores terceros están obligados contractualmente a apoyar a la empresa en caso de incidente de ciberseguridad. En tales casos, los proveedores de TIC deben aportar la información adecuada y los más altos estándares de seguridad posibles para los servicios que prestan^.8

¿Cómo afecta la gestión de riesgos TIC a Active Directory?

Muchos usuarios externos, ya sean socios subcontratados o proveedores, obtienen acceso a los sistemas de una organización a través de Active Directory. Aunque son externos, estos usuarios aparecen y funcionan dentro del sistema como usuarios internos legítimos, utilizando cuentas proporcionadas por la organización.

Esta práctica, aunque esencial, introduce complejidades en la gestión y la seguridad del acceso. Aumenta la exposición potencial al riesgo, ya que las cuentas de terceros pueden ser vulnerables a usos indebidos o ciberataques.

Las organizaciones deben estar preparadas para combatir este riesgo. Por ejemplo, mediante la supervisión continua de los cambios en el entorno y la detección de ataques basada en ML, Semperis puede identificar y mitigar los ataques basados en la identidad, minimizando así los riesgos de terceros en Active Directory.

Pilar 5: Intercambio de información

El último pilar de resiliencia se refiere al intercambio de información, solicitando que las entidades financieras esbocen estrategias para compartir inteligencia sobre amenazas e intercambiar información de forma segura dentro de comunidades de confianza^.9

Esta práctica ya está en marcha en muchos casos. Por ejemplo, el Centro Nacional de Ciberseguridad (NCSC) y el Banco de Inglaterra facilitan estos debates dentro de la comunidad de servicios financieros. Pero con el DORA, las entidades financieras están obligadas a contribuir con vistas a mejorar la postura global de seguridad del sector.

Intercambio de información sobre incidentes y amenazas AD

Semperis forma parte de estas discusiones, compartiendo ideas e investigaciones para educar a la industria sobre cómo protegerse mejor de las amenazas en evolución y emergentes. Nuestro equipo de investigación designado expone regularmente nuevas e interesantes formas en que los atacantes abusan de Active Directory y Entra ID. Toda esta investigación se recoge en nuestras herramientas gratuitas para la comunidad como Purple Knight y Forest Druidlo que significa que cualquier organización puede beneficiarse del poder de estos conocimientos.

Obtenga ahora una imagen completa de su configuración de AD híbrido

Uno de los principales retos que plantea el cumplimiento de la DORA es que la normativa establece las expectativas de cumplimiento, pero no proporciona marcos específicos sobre cómo pueden las empresas poner en práctica estas medidas y, en última instancia, por dónde deben empezar.

Trabajar con estos cinco pilares y sus requisitos dentro de Active Directory es un gran primer paso, si tiene una buena visibilidad de su configuración. Pero, como hemos visto, es imposible proteger algo sin tener suficiente información.

¿Por dónde empezar? Descargue Purple Knight y Forest Druid para hacerse una idea del estado de la configuración de Active Directory y de los posibles riesgos. Obtendrá un plan claro, procesable y gratuito para abordar estas áreas y solucionar cualquier problema, poniéndole en la mejor posición para comenzar su viaje de cumplimiento de DORA para Active Directory.

Descargue ahora las herramientas gratuitas

Otros artículos de nuestra serie Cumplimiento de la DORA

• Cumplimiento del DORA e ITDR

Recursos

¹ https://www.digital-operational-resilience-act.com/Article_6.html

² https://www.digital-operational-resilience-act.com/Article_19.html

^3,4,5,6 https://www.digital-operational-resilience-act.com/Article_17.html

⁷ https://www.digital-operational-resilience-act.com/Article_24.html

⁸ https://www.digital-operational-resilience-act.com/Article_28.html

⁹ https://www.digital-operational-resilience-act.com/Article_45.html