El factor humano en la seguridad z/OS: Ética, bastionado y por qué DORA nos pide resiliencia real
Seamos sinceros: todavía existe la vieja leyenda urbana de que el mainframe es, por defecto, una caja fuerte impenetrable. "Nadie sabe hackear COBOL", dicen algunos, o "el sistema es tan cerrado que es seguro". Nada más lejos de la realidad. Si trabajas en el sector, sabes que la seguridad por oscuridad dejó de ser una estrategia válida hace décadas.
Hoy vamos a hablar de lo que realmente importa en la seguridad z/OS: las personas, las normativas que nos obligan a ponernos las pilas (como
DORA y
NIS2) y por qué las auditorías anuales ya no sirven para nada.
¿De qué hablamos cuando hablamos de "El Hierro"?
Para empezar, pongamos contexto.
A menudo nos preguntan qué es un mainframe o, de forma más coloquial, qué es el mainframe. No es simplemente un ordenador grande en un sótano; es el servidor de datos más potente y seguro del mundo, capaz de procesar miles de millones de transacciones. Es el corazón bancario y asegurador.
Pero ojo, aunque entendamos
qué es un mainframe, a veces olvidamos su complejidad. Un entorno
z/OS moderno no es un monolito; está dividido en particiones lógicas (
LPAR) y conectado a la nube, a dispositivos móviles y a APIs abiertas. Y es justo ahí, en esa apertura, donde entra el riesgo y la normativa se pone seria.
El tsunami regulatorio: DORA, NIS2 y GDPR
Ya no basta con tener un firewall.
Europa ha subido el listón y las siglas se acumulan en la mesa del CISO (Chief Information Security Officer).
Primero, tenemos el
RGPD (
Reglamento General de Protección de Datos). Todos sabemos
qué es el GDPR a estas alturas, pero no está de más recordar su nombre completo: el
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.
Esta normativa GDPR (o RGPD en España) cambió las reglas del juego en materia de privacidad. El
Reglamento 2016/679 nos obliga a proteger el dato personal con uñas y dientes, y en un mainframe, donde residen los datos más críticos, esto es sagrado.
Pero ahora se suman dos gigantes más:
- NIS2: la directiva que amplía el alcance de la ciberseguridad a sectores críticos.
- Reglamento DORA (*Digital Operational Resilience Act*): Aquí está la clave. DORA no te pide solo seguridad; te pide resiliencia. Te pide que demuestres que puedes aguantar un golpe y seguir operando.
El
Reglamento (UE) 2016/679 sentó las bases de la privacidad, pero DORA y NIS2 exigen la robustez operativa de las infraestructuras, incluido nuestro querido *Big Iron*.
La tríada defensiva: SOC, SIEM y el factor humano
Para cumplir con todo este Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo sobre la protección de los datos personales y las nuevas directivas, necesitamos herramientas y, sobre todo, ojos que miren esas herramientas.
Aquí entra el SOC (Security Operations Center). Si te preguntas
qué es SOC o, más específicamente,
qué es un SOC en ciberseguridad, imagínalo como la torre de control. Es el equipo humano encargado de monitorizar y responder a las amenazas. Un
SOC de seguridad sin visibilidad sobre el mainframe es un SOC ciego en el punto más crítico.
Y para que el SOC vea, necesita un
SIEM. Pero ¿
qué es un SIEM? El *Security Information and Event Management* es el cerebro que correlaciona eventos.
A la pregunta de qué es el SIEM, o siem, la respuesta sencilla es: la herramienta que busca una aguja en un pajar de logs.
El problema histórico es que muchas empresas desconectaban el mainframe de su
SIEM de ciberseguridad. "Genera demasiados logs", decían. Eso hoy es un suicidio digital. Necesitamos integrar la auditoría de z/OS en el SIEM corporativo para detectar movimientos laterales.
Si un atacante accede por un servidor Windows y luego accede al mainframe, tu SIEM IT debe disparar una alerta.
De la "foto fija" a la película: DATAPASS y la mejora continua
Aquí llegamos al punto crítico. Tradicionalmente, las auditorías de seguridad en mainframe eran anuales. Hacías una revisión, corregías cuatro cosas y hasta el año que viene. Pero los cibercriminales no descansan 364 días al año.
El
Reglamento DORA y la directiva
NIS2 dejan claro que la resiliencia no es un estado; es un proceso. Por eso es vital aumentar tanto la
frecuencia como la
profundidad de los análisis. Ya no vale con un escaneo superficial.
Necesitamos sistemas de mejora continua como
DATAPASS. Este tipo de servicios de auditoría cíclica cambia el paradigma: en lugar de una foto fija y borrosa una vez al año, obtienes una película en alta definición de tu seguridad.
DATAPASS permite auditar de forma recurrente y profunda el bastionado del sistema, detectando desviaciones de seguridad en el momento en que ocurren, no meses después. Es la única forma de garantizar que las configuraciones de seguridad de z/OS evolucionen a la misma velocidad que las amenazas.
Ética y certificaciones
Por último, la tecnología no se configura por sí sola. El rol del
CISO (
qué es un CISO si no el guardián de esta mejora continua) es vital para impulsar esta cultura.
Necesitamos profesionales cualificados.
Certificaciones como el CISM (*Certified Information Security Manager*) demuestran que los expertos entienden no solo de bits, sino también de gestión de riesgos y de negocio. Obtener una
certificación CISM brinda garantías de que quien está al mando entiende el lenguaje del
Reglamento 679/2016 y sabe por qué herramientas como
DATAPASS son esenciales para el cumplimiento.
Conclusión
El
Reglamento General de Protección de Datos (para nuestros lectores en catalán) y sus hermanos europeos no son enemigos; son guías. Proteger un mainframe en 2026 requiere romper los silos.
Requiere entender qué es ciso, integrar el PC Mainframe en la estrategia global del SOC informático y apoyarse en servicios de auditoría recurrente, como DATAPASS, para cumplir con la ley y, más importante aún, para dormir tranquilos.
La seguridad en z/OS ya no es cosa de magia negra; es cosa de procesos cíclicos, personas formadas y resiliencia real.
