Ciberseguridad 
Puede proteger su huella digital eliminando las cuentas que ya no utilice, ajustando sus ajustes de privacidad, evitando compartir en exceso en las redes sociales y
Publicado el octubre 16, 2024
El Reglamento sobre la Resiliencia Operativa Digital (DORA) es una normativa que refuerza la seguridad digital entre las instituciones financieras de la Unión Europea (UE). Aunque el Reglamento DORA entró en vigor en 2023, todas las entidades financieras de la UE, así como proveedores externos de servicios TIC, tendrán que adoptarlo íntegramente a principios de enero de 2025 para mejorar sus defensas contra posibles amenazas cibernéticas.
Siga leyendo para conocer los objetivos del Reglamento DORA, los principales puntos básicos en torno a la conformidad con sus requisitos y cómo puede prepararse su organización para su cumplimiento.
El propósito del Reglamento DORA
Los dos objetivos principales del Reglamento DORA son mejorar la gestión de los riesgos relacionados con las TIC por parte de los servicios financieros y unificar las normativas existentes en materia de gestión de riesgos relacionados con las TIC en los distintos Estados miembros de la UE.
Gestión de riesgos de las TIC en el sector financiero
En las instituciones financieras de la UE, las normativas de gestión de riesgos se centran en garantizar que las organizaciones dispongan de suficiente dinero para gestionar los riesgos que entrañan sus operaciones. El problema, sin embargo, es que algunas organizaciones tienen directrices en torno a las TIC, pero otras no. Sin un conjunto unificado de normas o regulaciones de seguridad para la gestión de riesgos de las TIC, cada Estado miembro de la UE se ha visto obligado a instaurar sus propios requisitos. El Reglamento DORA hará que el sector financiero sea más seguro y esté en mejores condiciones de gestionar los riesgos relacionados con sus sistemas en línea y las vulnerabilidades tecnológicas, pues todos estos requisitos van a estandarizarse.
Armonización de las normativas de gestión de riesgos en un solo marco
Con el Reglamento DORA, la UE puede aplicar un marco de seguridad coherente para gestionar los riesgos de las TIC, principalmente en el sector de los servicios financieros. De esta forma, se eliminará toda incoherencia entre los diferentes países de la UE en lo que respecta a sus normas y se facilitará el proceso de conformidad a todas las instituciones financieras. El Reglamento DORA ayudará a las organizaciones a entender mejor qué hacer en caso de que se produzca algún riesgo de seguridad.
Los 5 puntos básicos de la conformidad con el Reglamento DORA
Las organizaciones de la UE afectadas por el Reglamento DORA deberán cumplir sus cinco puntos básicos de conformidad antes del 17 de enero de 2025.
1. Gestión de riesgos de las TIC
La gestión de riesgos de las TIC es la piedra angular del Reglamento DORA, porque se encarga de detectar y analizar los riesgos asociados con el uso de la tecnología por parte de una organización. Las instituciones financieras deben seguir un marco de gestión de riesgos de las TIC con la ayuda de las partes interesadas y los directivos más relevantes a fin de establecer una comunicación sólida sobre los posibles riesgos de seguridad. La gestión de riesgos de las TIC debe detallar las herramientas, documentos y procesos adecuados para defender a una organización ante los riesgos operativos y las amenazas cibernéticas. Sin una gestión adecuada de los riesgos, las organizaciones tendrán más posibilidades de sufrir violaciones de datos y otros problemas de seguridad que podrían dañar a sus empresas y a su propia reputación.
2. Notificación de incidentes relacionados con las TIC
Una vez instaurado un marco de gestión de riesgos de las TIC, las organizaciones deben saber cómo informar de los incidentes si llegan a producirse. Con el Reglamento DORA, la notificación de incidentes relacionados con las TIC será un proceso más sencillo, pues las denuncias se consolidarán en un canal más optimizado. Las organizaciones financieras deben notificar la causa raíz a un centro único de la UE en el plazo de un mes a partir de que se produzca un incidente grave relacionado con las TIC, según las nuevas normas de presentación de informes de la UE. Cuando la organización haya presentado el informe de la causa raíz, el centro de la UE revisará todos los informes más importantes relacionados con las TIC y recopilará los datos necesarios para determinar si existen vulnerabilidades de seguridad comunes entre las distintas instituciones financieras.
3. Pruebas de resiliencia operativa digital
En la actualidad, algunos organismos financieros piden a otras entidades independientes que realicen periódicamente pruebas de resiliencia operativa digital, que ponen a prueba sus metodologías, procedimientos, herramientas y sistemas de recuperación para poder afrontar cualquier riesgo relacionado con las TIC. Aunque ya existen algunos marcos que cubren las pruebas de resiliencia operativa digital para ciertas organizaciones financieras, el Reglamento DORA hará que los requisitos en torno a estas pruebas se generalicen en todo el sector de los servicios financieros. Como consecuencia, el número de organizaciones que deben realizar pruebas de resiliencia operativa digital aumentará, lo que minimizará el coste de contratar a partes independientes y reducirá las posibilidades de que estas mismas organizaciones sufran ataques cibernéticos.
4. Intercambio de información e inteligencia
Una vez que el Reglamento DORA entre completamente en vigor, las organizaciones tendrán que compartir información sobre las amenazas cibernéticas dentro de las comunidades financieras de confianza. El objetivo principal es ayudar a otras organizaciones a tomar conciencia de las posibles amenazas cibernéticas para que puedan desarrollar sus propias soluciones a fin de proteger la información privada. Las organizaciones describirán y compartirán las estrategias que utilizan para combatir las amenazas cibernéticas para poder reforzar la seguridad general de la comunidad de los servicios financieros.
5. Gestión de riesgos relacionados con las TIC por parte de terceros
Las entidades financieras deben tener contratos vigentes con los proveedores de servicios de TIC «críticos». En ellos, se tendrán que abordar debidamente temas como la protección de datos y la gestión de incidentes. Lo que distingue a ciertos proveedores de servicios TIC como «críticos» son aquellos servicios que resultan cruciales para las operaciones diarias de una organización. Los contratos con proveedores externos críticos garantizan que estos proveedores respalden a las organizaciones financieras afiliadas en caso de que se produzca una violación de datos u otro ataque cibernético. Por ejemplo, cuando se firma un contrato, el proveedor externo deberá compartir la información adecuada y respetar el nivel más alto de los estándares de seguridad para los servicios prestados a una organización financiera que cumpla con el Reglamento DORA por su condición de proveedor «crítico».
Cómo prepararse para cumplir el Reglamento DORA
Su organización puede prepararse para cumplir los requisitos del Reglamento DORA de varias maneras, como analizando las lagunas existentes en sus propias normativas respecto del propio reglamento, identificando a los proveedores externos críticos y evaluando el plan en vigor de respuesta a incidentes.
Analice las lagunas de cumplimiento respecto del Reglamento DORA
Para determinar si se está cumpliendo la normativa para con todos los sistemas TIC, la organización debe realizar un análisis de las lagunas existentes en sus propias normativas en el marco del Reglamento DORA. Puede evaluar sus prácticas actuales comparándolas con las que requerirá el Reglamento DORA. Así, podrá identificar mejor las áreas que su organización necesita mejorar para cumplir los nuevos requisitos. En función de los resultados del análisis de las lagunas, es posible que tenga que elaborar una hoja de ruta para remediar las discrepancias que existan en su organización. Por ejemplo, si el análisis de las lagunas dice que su organización no participa en el intercambio de información, deberá identificar las medidas que debe tomar y definir un programa con el que podrá garantizar la conformidad con el Reglamento DORA.
Identifique a los principales proveedores TIC externos
Su organización debe determinar si trabaja con algún proveedor de TIC externo «crítico» identificando todas las características que definen esta categoría. Si trabaja con proveedores de servicios en la nube (CSP) externos, su equipo de seguridad debe asegurarse de que estos también cumplan el Reglamento DORA y tengan contratos vigentes. Es importante identificar cuáles de los proveedores de servicios externos pertenecen a la categoría de «críticos», porque es posible que tenga que definir equipos y modificar el software para garantizar la conformidad con el Reglamento DORA.
Evalúe su plan de respuesta a incidentes en vigor
Un plan de respuesta a incidentes asigna responsabilidades y contiene los procedimientos que deben seguir los empleados de una organización en caso de que se produzca una violación de datos o un ataque cibernético. Si su organización cuenta con un plan de respuesta a incidentes, no cundirá el pánico si algo sale mal. El personal estará preparado para identificar, evaluar y remediar el ataque, y para evitar que se repita. Si su organización ya cuenta con un plan de respuesta a incidentes, deberá comprobar si de verdad cumple el Reglamento DORA. Compare el plan actual con los requisitos del Reglamento DORA a fin de comprobar si la organización cumple con ciertas obligaciones específicas. Si prueba su plan de respuesta a incidentes simulando una violación de datos y descubre vulnerabilidades, también deberá modificar los informes internos para cumplir con los estándares del Reglamento DORA.
¿Qué ocurre si las empresas no cumplen el Reglamento DORA?
Si una entidad financiera no cumple el Reglamento DORA, las autoridades pueden imponerle multas de hasta el 2 % de los ingresos globales anuales de la organización. Si bien la organización en su conjunto sufrirá consecuencias por no cumplir el Reglamento DORA, a los gestores particulares también se les puede sancionar económicamente con hasta un millón de euros. Para los proveedores TIC externos «críticos» que no cumplan el Reglamento DORA, la multa podría ascender a cinco millones de euros.
Cómo puede ayudarle KeeperPAM® a cumplir el Reglamento DORA
Su organización puede reforzar la seguridad y cumplir ciertos requisitos de conformidad con el Reglamento DORA invirtiendo en una solución de gestión del acceso privilegiado (PAM) como KeeperPAM. Si utiliza KeeperPAM, podrá supervisar y gestionar de cerca a los empleados y los sistemas que tratan con datos sensibles y cuentas críticas, lo que reducirá significativamente los errores o las vulnerabilidades que podrían causar violaciones de datos o ataques cibernéticos. KeeperPAM puede ayudar a las organizaciones del sector financiero a cumplir el Reglamento DORA reduciendo la superficie de ataque, garantizando un acceso seguro a los usuarios autorizados y generando informes integrales para cada cuenta privilegiada.
Solicite un demo de KeeperPAM hoy mismo para garantizar que su organización esté preparada para cumplir los requisitos de conformidad con el Reglamento DORA y protegida con los niveles más altos de seguridad para sus datos confidenciales.
