¿Es tu Mainframe el punto ciego del SOC? Cumplimiento NIS2 y la realidad del bastionado en z/OS

Seamos sinceros. Cuando entras en el SOC (Centro de Operaciones de Seguridad) de una gran entidad financiera o aseguradora, las pantallas impresionan. Mapas de calor, alertas en tiempo real, analistas que monitorizan cada endpoint… Pero ¿te has parado a pensar si falta algo en esa foto? A menudo, el activo más crítico, donde se almacenan el 80% de los datos corporativos, brilla por su ausencia. Sí, hablamos del mainframe. Durante años, ha existido la falsa creencia de que el z/OS es invulnerable por diseño, una caja negra inexpugnable que no necesita la misma vigilancia que la nube o los servidores distribuidos. "Seguridad por oscuridad", lo llamaban. Pero la realidad es tozuda y, hoy en día, esa mentalidad es un billete directo al desastre regulatorio y reputacional.

El elefante en la habitación del CISO

Para muchos CISO (Chief Information Security Officer), el mainframe sigue siendo un gran desconocido. Saben qué es un Mainframe —el motor de procesamiento masivo de datos de la compañía—, pero a menudo desconocen su estado real de seguridad. Aquí está el problema: si tu SIEM (Security Information and Event Management) no está ingiriendo y correlacionando las trazas de seguridad del Mainframe (como los registros SMF o RACF), tienes un punto ciego gigantesco. ¿Qué es un SIEM? Es el cerebro el que debería centralizar todas las alertas de seguridad. Si dejas fuera al mainframe, tu cerebro está operando con una lobotomía parcial. Un atacante podría estar escalando privilegios en tu entorno z/OS y tu SOC de seguridad no se enteraría hasta que fuera demasiado tarde.

NIS2 y DORA: Se acabó el tiempo de las excusas

El panorama normativo ha cambiado radicalmente. Ya no es solo una cuestión de "buenas prácticas", es la ley. La directiva NIS2 y el Reglamento DORA (Digital Operational Resilience Act) han llegado para subir el listón. La NIS2 exige una notificación rigurosa y rápida de incidentes. Pero, ¿cómo vas a notificar un incidente en el mainframe si ni siquiera lo estás monitorizando en tiempo real? Por otro lado, DORA pone el foco en la resiliencia operativa digital del sector financiero. Si tu estrategia de recuperación y detección no cubre explícitamente el entorno mainframe, no eres resiliente, eres vulnerable. Y no nos olvidemos del Reglamento UE 2016/679, el famoso Reglamento General de Protección de Datos (RGPD). Un fallo de seguridad en el mainframe suele implicar la exposición de millones de registros de clientes. La protección de datos no entiende de plataformas; entiende de responsabilidad. Si no controlas quién accede a qué en tu LPAR, el GDPR será implacable.

De la "foto fija" a la mejora continua: el papel de DATAPASS

Tradicionalmente, la seguridad del mainframe se validaba mediante una auditoría anual. Alguien venía, sacaba una "foto" del sistema y entregaba un informe en PDF de 300 páginas que nadie leía. Al día siguiente, el sistema cambiaba y el informe quedaba obsoleto. Este modelo ya no sirve. La complejidad de las amenazas actuales y la exigencia del Reglamento 2016/679 requieren pasar de la auditoría estática a la auditoría cíclica. Aquí es donde entra en juego la necesidad de servicios como DATAPASS. No se trata de hacer un chequeo puntual, sino de implementar un sistema de mejora continua. DATAPASS permite auditar de forma recurrente y automatizada el estado de seguridad de tu infraestructura, detectando desviaciones en la configuración, vulnerabilidades en el sistema operativo z/OS o debilidades en el bastionado antes de que se conviertan en un problema de cumplimiento normativo.

Cazando lo invisible: FIM y Threat Hunting frente a amenazas reales

La seguridad reactiva ya no es suficiente. Por eso, DATAPASS incorpora funcionalidades proactivas críticas, como el FIM (File Integrity Monitoring), y capacidades avanzadas de Threat Hunting (caza de amenazas). Estas herramientas están diseñadas para detectar esos cambios sutiles y comportamientos anómalos que suelen pasar desapercibidos para los controles tradicionales, pero que son la antesala de un ataque mayor. La historia nos ha enseñado que el mainframe no es invulnerable. Incidentes graves, como los ocurridos en su día por miembros del grupo de hackers de Pirate Bay contra grandes proveedores tecnológicos y bancarios, demostraron que, con las credenciales adecuadas y explotando configuraciones descuidadas, se puede acceder al corazón del sistema financiero. Nuestro servicio no solo busca el cumplimiento del papel ("paper compliance"), sino también identificar esas puertas traseras o alteraciones de la integridad en librerías críticas que un atacante sofisticado utilizaría. Integrar esta inteligencia en tu estrategia de ciberseguridad es la única forma de asegurar que tu z/OS deja de ser el punto ciego y pasa a ser el bastión más seguro de tu organización. Por Ángel Gómez, CEO de Bsecure – The Mainframe & Security Company