DORA: Ciberseguridad más fuerte para las empresas financieras

18. noviembre 2024
| No hay comentarios
DORA: Ciberseguridad más fuerte para las empresas financieras
Anzeige

Compartir publicación

La Ley de Resiliencia Operacional Digital (DORA) tiene como objetivo fortalecer la seguridad de TI y la gestión de riesgos en la industria financiera mediante la imposición de requisitos estrictos para la notificación de incidentes, pruebas de resiliencia y supervisión de terceros.

HYCU, experto en servicios de respaldo en torno a herramientas SaaS, explica la importancia de las capacidades de respuesta y recuperación en ciberataques relacionados con DORA. En concreto, el reglamento de la UE DORA tiene como objetivo reforzar la seguridad informática de bancos, compañías de seguros, empresas de inversión y otras organizaciones del sector financiero. Para las empresas financieras de la UE, la atención se centra en los directores y ejecutivos de TI que deben comprender y prepararse para DORA no sólo como un requisito legal, sino como un imperativo estratégico. Esta urgencia se ve subrayada por las graves consecuencias del incumplimiento:

Anzeige
  • Sanciones económicas: Multas de hasta diez millones de euros; por infracciones graves o reiteradas, estas multas pueden duplicarse.
  • Impacto en la confianza del consumidor: El incumplimiento de las regulaciones puede resultar en una mayor vulnerabilidad a incidentes cibernéticos, lo que podría provocar violaciones de datos o interrupciones del servicio. Estos eventos pueden dañar la reputación de una empresa, reducir la confianza de los consumidores y provocar una pérdida de clientes y una disminución de la participación de mercado.
  • Responsabilidad penal personal: En casos de negligencia grave o mala conducta intencional, los funcionarios y miembros de la junta directiva pueden ser considerados personalmente responsables penalmente. Esto podría incluir multas individuales, prohibiciones profesionales y, en casos extremos, incluso penas de prisión. Este riesgo personal subraya la necesidad de abogar por el cumplimiento de DORA al más alto nivel.

Dados estos altos riesgos, los líderes de TI y los ejecutivos de alto nivel tienen el desafío de comprender y prepararse para DORA no solo como un requisito legal, sino como un imperativo estratégico.

Por qué DORA es importante

DORA representa un paso importante hacia la creación de un enfoque coherente para la gestión de riesgos de las TIC en todo el sector financiero de la UE. Aborda las crecientes preocupaciones sobre las ciberamenazas y las vulnerabilidades tecnológicas que podrían perturbar el sector financiero.

Anzeige

Los aspectos más importantes incluyen:

  • Alcance integral: DORA se aplica a una amplia gama de empresas financieras, incluidos bancos, compañías de seguros, empresas de inversión y proveedores de servicios financieros.
  • Armonización: Establece requisitos uniformes de gestión de riesgos de TIC en toda la UE, reemplazando el actual mosaico de regulaciones nacionales.
  • Supervisión de terceros: DORA introduce un marco para la supervisión de proveedores externos de servicios TIC críticos, incluidos los servicios en la nube.
    Notificación de incidentes: Prescribe procedimientos estandarizados de notificación de incidentes importantes relacionados con las TIC.
  • Pruebas de resiliencia: DORA requiere pruebas periódicas de estabilidad operativa digital.

Áreas clave de DORA

1. Gestión de riesgos TIC

DORA exige un marco integral de gestión de riesgos de TIC. Esto incluye identificar y documentar funciones, recursos y dependencias comerciales relacionadas con las TIC, evaluación continua de riesgos y estrategias de mitigación de riesgos, implementar medidas de protección y prevención, desarrollar capacidades de detección y establecer procedimientos de respuesta y recuperación.

2. Notificación de incidentes

Se trata de la implementación de procesos de seguimiento y registro de incidentes TIC. Las empresas están obligadas a clasificar estos incidentes según los criterios establecidos por DORA. Además, deben informar de los incidentes importantes a las autoridades pertinentes en plazos estrictos.

3. Respuesta y recuperación

Las capacidades de respuesta y recuperación son de gran importancia.

  • Planes de respuesta a incidentes: DORA requiere el desarrollo, documentación e implementación de planes integrales de recuperación y respuesta a incidentes relacionados con las TIC. Estos planes deben incluir procedimientos para la detección, análisis, contención y limitación inmediata de incidentes.
  • Continuidad del negocio: Las empresas deben establecer y seguir políticas de continuidad del negocio y planes de recuperación ante desastres. Es obligatorio realizar pruebas periódicas de estos planes para garantizar su eficacia.
  • Procedimiento de copia de seguridad: DORA requiere copias de seguridad periódicas de los sistemas y datos críticos. Los requisitos específicos incluyen una frecuencia determinada de copias de seguridad, almacenamiento externo seguro y pruebas periódicas de los procesos de recuperación de copias de seguridad.
  • Objetivos de tiempo de recuperación (RTO): También es necesario establecer y probar periódicamente la capacidad de recuperar sistemas dentro de plazos específicos, minimizando las interrupciones del negocio y garantizando una rápida recuperación de los incidentes.
  • Protocolos de comunicación: Se deben establecer procedimientos claros de comunicación interna y externa en caso de incidencias. Las empresas tienen la obligación de garantizar una respuesta oportuna y eficaz, incluida la notificación a las autoridades y partes interesadas pertinentes.
  • Análisis posterior al incidente: Después de incidentes graves, las empresas deben realizar análisis exhaustivos de la causa raíz. Las lecciones aprendidas deben incorporarse a la mejora del sistema de gestión de riesgos.

4. Probar la resiliencia operativa digital

DORA introduce un marco armonizado para las pruebas de resiliencia operativa digital: esto incluye pruebas básicas, como evaluaciones de vulnerabilidad y escaneos de seguridad de red para todas las entidades, así como pruebas avanzadas que incluyen pruebas de penetración basadas en amenazas (TLPT) para instalaciones clave.

5. Gestión de riesgos TIC para terceros

Dada la creciente dependencia de proveedores de servicios de TIC externos, DORA crea principios que se incluirán en los acuerdos con proveedores de servicios de TIC externos y un nuevo marco de supervisión para proveedores de servicios de TIC externos críticos.

"Para gestionar eficazmente el riesgo de terceros, las instituciones financieras deben hacer esfuerzos significativos en dos frentes: garantizar una supervisión integral de todos los proveedores de servicios de TIC y los riesgos asociados, y gestionar de manera proactiva el riesgo digital asociado con los proveedores de TIC externos críticos".

6. Intercambio de información

DORA pide que se comparta información e inteligencia sobre amenazas cibernéticas entre organizaciones financieras para aumentar la resiliencia colectiva.

Alcance y aplicación

DORA se aplica a una amplia gama de entidades financieras que operan en la UE, incluidas: entidades de crédito, entidades de pago, entidades de dinero electrónico, empresas de inversión, centros de negociación, compañías de seguros y reaseguros, agencias de calificación, auditores y firmas de auditoría, administradores de índices de referencia críticos, proveedores de servicios de información de cuentas, proveedores de servicios de criptoactivos, depositarios centrales de valores, proveedores de servicios de transferencia de datos y proveedores de servicios externos.

Medidas de cumplimiento

Para cumplir con los requisitos de DORA, los CIO, CTO, directores de TI y otros líderes de TI deben centrarse en las siguientes acciones:

  • Evaluación de las condiciones marco actuales: Revisar los procesos existentes de gestión de riesgos de TIC comparándolos con los requisitos para identificar brechas.
  • Mejorar la gestión de riesgos de las TIC: Implementar procesos para identificar, proteger, detectar, responder y recuperarse de las disrupciones relacionadas con las TIC.
  • Desarrollar mecanismos de notificación de incidentes: Establecer sistemas y procedimientos para detectar y reportar incidentes importantes relacionados con las TIC dentro de los plazos requeridos.
  • Realización de pruebas de resiliencia: Implementar un programa de pruebas periódicas de resiliencia, incluidas evaluaciones de vulnerabilidad y pruebas de penetración.
  • Revisión de contratos con terceros: Revisar y actualizar acuerdos con proveedores de servicios TIC para asegurar su cumplimiento.
  • Preparación para auditorías: Prepárese para posibles auditorías regulatorias manteniendo una documentación completa de las prácticas de gestión de riesgos de TIC.
  • Implantación de medidas de continuidad del negocio y protección de datos: Desarrollar y probar periódicamente planes de continuidad del negocio y recuperación ante desastres, establecer procedimientos de respaldo seguros, mejorar la protección de datos, establecer protocolos de comunicación de crisis y llevar a cabo capacitación de empleados de acuerdo con los requisitos de los Artículos 10 y 11.

Plazos y cumplimiento

DORA entró en vigor el 16 de enero de 2023. Sin embargo, las empresas financieras tienen hasta el 17 de enero de 2025 para garantizar el pleno cumplimiento. Esta ventana de dos años es fundamental para que las empresas evalúen sus sistemas actuales, implementen los cambios necesarios y se preparen para el nuevo entorno regulatorio.

Aunque el año 2025 todavía parece muy lejano, el alcance y la profundidad de los cambios requeridos por DORA requieren una acción temprana. Iniciar los preparativos ahora lo pondrá en una mejor posición para distribuir el costo del cumplimiento a lo largo del tiempo y obtener una ventaja competitiva al demostrar una fuerte resiliencia digital. Es importante evitar prisas de última hora y posibles sanciones por incumplimiento de la normativa. De esta manera, las empresas financieras pueden contribuir a la estabilidad y fiabilidad generales del sistema financiero de la UE.

Más en HYCU.com

 

Acerca de HYCU

HYCU es el líder de más rápido crecimiento en protección de datos como servicio basado en múltiples nubes y SaaS. Al brindar verdadera protección y recuperación de datos basada en SaaS para entornos locales, nativos de la nube y SaaS, la compañía brinda protección de datos, migración, recuperación ante desastres y protección contra ransomware incomparables a miles de organizaciones en todo el mundo.

Artículos relacionados con el tema

Los CIO modernos tienen diversas tareas

El papel de los CIO modernos ha cambiado significativamente: en el pasado, los CIO eran los principales responsables de mantener las operaciones de TI de las empresas. ➡ Leer más

Más de 130.000 filtraciones de datos en Europa en 2024

En 15 países europeos, en 2024 se produjeron más de 365 violaciones de protección de datos cada día, según los resultados de un análisis reciente. En Alemania ➡ Leer más

Ataques DDoS: el medio más importante de guerra cibernética

En la segunda mitad de 2024, hubo al menos 8.911.312 ataques DDoS en todo el mundo, según los resultados de un reciente Informe de inteligencia de amenazas DDoS. ➡ Leer más

Ciberdelincuencia: el movimiento clandestino rusoparlante lidera

Un nuevo informe de investigación ofrece una visión exhaustiva del mundo cibernético clandestino de habla rusa. Este ecosistema ha tenido un impacto significativo en el cibercrimen global en los últimos tiempos. ➡ Leer más

Resiliencia TI: ciberseguridad a nivel de almacenamiento

Más funciones de seguridad de datos para una mayor resiliencia de TI a nivel de almacenamiento: los administradores de seguridad cibernética pueden adoptar un enfoque de seguridad de datos proactivo a nivel de almacenamiento con almacenamiento NetApp altamente seguro y, por lo tanto, ➡ Leer más

Ley de Ciberresiliencia: Las empresas deben actuar ahora

La Ley de Resiliencia Cibernética (CRA) está avanzando a grandes pasos. Para los fabricantes, esto significa que los dispositivos con vulnerabilidades de seguridad explotables pronto ya no estarán disponibles. ➡ Leer más

El uso de herramientas de IA/ML aumentó en un 3000 por ciento

Las herramientas de IA/ML son populares, según los resultados de un informe reciente sobre amenazas. Sin embargo, un uso creciente también conlleva riesgos de seguridad. Ciberdelincuentes ➡ Leer más

Vishing: los delincuentes recurren a ataques de phishing de voz

Utilizando deepfakes creados por IA, los ciberdelincuentes imitan voces confiables. El vishing se ha disparado en la segunda mitad de 2024, según los resultados de un ➡ Leer más

 

Stories
, , , , , , ,