NIS2 y DORA cuando el corazón de la empresa es un IBM i (o "AS400")
Las normativas nunca citan la plataforma, pero los requisitos valen también — sobre todo — para el sistema que sostiene ERP, producción y facturación. La buena noticia: IBM i ya trae casi todo lo necesario. La mala: hay que configurarlo, documentarlo y probarlo. Aquí está la checklist.
Por qué el ERP está en el perímetro
NIS2 afecta a los sujetos esenciales e importantes (manufactura, logística, alimentación, química están dentro), DORA al sector financiero. Ambas piden la misma sustancia: gestión del riesgo, autenticación fuerte, continuidad demostrable, gestión de vulnerabilidades e incidentes.
El sistema IBM i es casi siempre el punto más crítico de la empresa — y paradójicamente el menos cubierto por las iniciativas de seguridad, centradas en Windows y la nube. Una auditoría seria empieza justo ahí.
La checklist operativa
- MFA en los accesos privilegiados — con IBM i 7.6 es nativa en el OS, QSECOFR incluido. En releases anteriores hacen falta soluciones externas: otra razón para actualizar.
- Backup inmutable y aislado — la 3-2-1-1-0: una copia que ninguna credencial comprometida puede cifrar o borrar (Safeguarded Copy sobre IBM Storage, o vault externo).
- Tests de restauración documentados — NIS2 y DORA no piden tener backup: piden demostrar que la restauración funciona, con tiempos medidos. Al menos 2-4 tests al año, con informes.
- PTF y vulnerabilidades bajo control — alineación planificada de las PTF de seguridad (nosotros la hacemos trimestral) e inventario CVE del parque, HMC y firmware incluidos.
- Segregación y audit journal — perfiles de privilegio mínimo, exit points vigilados, audit journal activo y conservado: las evidencias que pide el inspector.
- Plan de continuidad con RTO/RPO escritos — alta disponibilidad local (PowerHA o Db2 Mirror), DR geográfico y la prueba de que los números prometidos son reales.
- Monitorización y alarmas — ¿quién se entera de un problema a las 3 de la madrugada? Hace falta vigilancia (interna o NOC externo) con umbrales y escalado definidos.
El error más común
Tratar la compliance como un proyecto documental. Los expedientes no detienen el ransomware: la secuencia correcta es arreglar la sustancia técnica (MFA, copias inmutables, tests) y generar las evidencias como subproducto de la operación. Es el enfoque que usamos con Yocto Vision: informes mensuales que ya son documentación de conformidad.
Por dónde empezar
Por el cuadro honesto: nuestro Free Assessment fotografía versiones, PTF, exposición, backup y continuidad de tu entorno IBM i/Power y lo compara con los requisitos NIS2/DORA. Media jornada, cero compromiso, y sabes exactamente dónde estás.