test the episodes
La ciberseguridad es un asunto de todos, especialmente en los mercados financieros. La Comisión Europea ha introducido un marco de seguridad integral para estos mercados con el Reglamento DORA (Ley de Resiliencia Operativa Digital). Este artículo muestra qué significa DORA y cómo pueden prepararse las empresas.
Contexto
La regulación DORA supone un trabajo adicional para las empresas del sector financiero, pero también supone una oportunidad importante: una oportunidad para aumentar su ciber-resiliencia, responder de forma eficaz a los incidentes y lograr un nivel de seguridad elevado y constante.
Cada vez hay más incidentes y ataques sofisticados que hacen necesario establecer una protección eficaz y contrarrestar las ciber-amenazas de forma más efectiva.
¿Qué es DORA?
La Ley de Resiliencia Operativa Digital (DORA, por sus siglas en inglés) es un reglamento de la UE diseñado para fortalecer la resiliencia digital en las empresas financieras y sus infraestructuras. DORA establece reglas uniformes para garantizar que las organizaciones estén preparadas contra los ciberataques y otros riesgos relacionados con las TI.
El reglamento reúne y armoniza normas de otros reglamentos y directivas de la UE y establece la obligación de adoptar sistemas de gestión de riesgos y TI de forma integral. Entró en vigor el 17 de enero de 2025.
¿Qué requiere DORA?
La Ley de Resiliencia Operativa Digital tiene como objetivo fortalecer la resiliencia digital de todo el sector financiero europeo.
Sus principales contenidos son los siguientes:
- Gestión de riesgos: para identificar, gestionar y monitorear los riesgos de TI, las empresas financieras necesitan implementar sistemas y procesos sólidos.
- Obligación de reportar: las empresas deben documentar y reportar las interrupciones de TI y los ataques cibernéticos.
- Gestión de proveedores externos: se aplican reglas estrictas para tratar con proveedores externos críticos de servicios de TI, como un tercero crítico de TIC (tecnologías de la información y las comunicaciones). En este caso, las empresas deben establecer acuerdos de intercambio de información y deben evaluarse los riesgos de terceros de TIC.
- Pruebas de TI periódicas: para identificar posibles vulnerabilidades, las empresas deben probar periódicamente sus sistemas digitales para detectar debilidades.
- Marco uniforme: existe una armonización de requisitos dentro de la UE para evitar la fragmentación.
¿A quién afecta DORA?
Como normativa europea, la DORA afecta principalmente a las empresas financieras. También incluye:
- Bancos
- Compañías de seguros
- Sociedades de inversión
- Autoridad Europea de Valores y Mercados
- Autoridades supervisoras europeas
- Proveedores de servicios de pago
- Proveedores de servicios críticos de TIC
Además, incluye a las autoridades supervisoras y a los organismos reguladores, como la Autoridad Europea de Seguros y Pensiones de Jubilación. Incluso los actores financieros más pequeños que pueden verse indirectamente afectados por los riesgos cibernéticos y sus proveedores de servicios deben cumplir con las normas DORA.
El reglamento afecta a un amplio grupo objetivo y se centra en las interdependencias globales dentro del sector financiero. Las interrupciones de TI que afecten a un actor en particular podrían tener un impacto en todo el sector. Por este motivo, todas las partes implicadas deben ser resilientes a los riesgos cibernéticos.
¿Cuál es el impacto de DORA?
En términos generales, hay dos posibilidades: las empresas y organizaciones ven a DORA como un desafío o como una oportunidad.
DORA como desafío
El reglamento plantea desafíos, ya que, en general, su cumplimiento requiere mucho tiempo. Con dos años entre su entrada en vigor el 17 de enero de 2023 y su aplicación el 17 de enero de 2025, ya debería haberse completado. No obstante, pueden surgir problemas. Las empresas financieras deben garantizar constantemente un alto nivel de madurez en materia de ciberseguridad y resiliencia operativa.
DORA conlleva nuevos requisitos como pruebas de penetración (simulación de ataques de piratas informáticos) y otras medidas de seguridad más estrictas. Además, las empresas y sus proveedores de servicios deben aclarar y controlar con precisión las dependencias mutuas: por ejemplo, las empresas son responsables de garantizar que los proveedores externos y los proveedores externos de servicios de TIC sean resistentes, especialmente en el caso de procesos de negocio críticos. Esto sólo funciona si trabajan en estrecha colaboración con los proveedores de servicios de TI.
En resumen, para hacer justicia a DORA a largo plazo, las empresas tienen que invertir un gran esfuerzo y vigilar de cerca la seguridad de los sistemas que utilizan.
DORA como una oportunidad
En el lado positivo, DORA mantendrá a las empresas más seguras. Después de todo, la resiliencia no sólo es importante, sino que es una ventaja competitiva clave.
En otras palabras, nunca está de más protegerse de forma integral, sobre todo cuando el nivel de amenazas aumenta constantemente. Los ataques críticos que no sólo amenazan los datos confidenciales, sino que también pueden causar daños económicos importantes, ocurren con demasiada rapidez.
Las empresas que ya cumplen otros requisitos reglamentarios generalmente están mejor posicionadas para implementar DORA fácilmente que aquellas que no lo hacen.
Existen las siguientes oportunidades:
1. Mejorar la resiliencia y la seguridad: al implementar la normativa DORA, las empresas aumentan de manera efectiva su ciberseguridad y resiliencia frente a los ataques. Experimentan un menor riesgo de interrupciones de TI, ataques cibernéticos y otros incidentes. También se mantienen a salvo en caso de incidentes relacionados con las TIC.
2. Armonización y economías de escala: El marco uniforme para toda la UE permite a las empresas que operan a través de las fronteras optimizar y estandarizar sus procesos. Se benefician de menos obstáculos administrativos y economías de escala.
3. Ventajas competitivas: Un alto nivel de resiliencia digital actúa como una característica de calidad y un factor de confianza para los clientes, socios o inversores. Aquellos que pueden hacer frente a posibles ataques y cortes de servicio se destacan de la competencia.
4. Control holístico: la gestión de proveedores externos permite a las empresas comprender mejor sus dependencias y tomar medidas adecuadas en una etapa temprana para minimizar cualquier riesgo que surja de proveedores de servicios externos.
5. Incentivos a la innovación: Como las empresas afectadas a veces tienen que invertir en nuevas tecnologías y procesos, se les brinda la oportunidad de construir una infraestructura de TI eficiente y preparada para el futuro.
Mejores prácticas para mejorar la ciberseguridad
La Ley de Resiliencia Operativa Digital obliga a las empresas afectadas a aumentar su propia seguridad informática. Sin embargo, también tiene mucho sentido invertir en ciberseguridad independientemente de una regulación. Hacerlo te protege contra ataques e incidentes. También proporciona estabilidad, una posición competitiva más fuerte y una mayor confianza.
Por lo tanto, vale la pena, incluso para las empresas fuera del sector financiero, revisar exhaustivamente su seguridad informática, adoptar pruebas de resiliencia operativa digital y realizar las inversiones asociadas.
Las siguientes prácticas recomendadas pueden ayudar.
Mejor práctica #1: implementar una ciberdefensa estructurada
En caso de emergencia, los equipos de TI, seguridad y administración deben comunicarse entre sí de manera segura y estructurada. Los procesos predefinidos y probados ahorran tiempo y evitan errores. La solución de ciberdefensa no sólo proporciona a todos los involucrados una descripción general rápida y automatiza los flujos de trabajo, sino que también promete un cifrado absolutamente seguro y funciones de cumplimiento ampliadas.
Mejor práctica #2: confiar en servicios de TI adecuados
Comisionar los servicios de TI a un externo aumenta el alcance de las empresas y, por lo tanto, también su capacidad de reaccionar de forma flexible ante incidentes de seguridad. Una buena escalabilidad, un fácil acceso a conocimientos especializados, una menor carga de trabajo y una gestión profesional de TI son sólo algunas de las ventajas. Esto es especialmente importante cuando se trabaja con un tercero en materia de TIC crítico.
Mejor práctica #3: Proporcionar gestión de activos de TI
La gestión de activos de TI describe la gestión sistemática de activos de TI, como computadoras, software, redes e información importante. Al gestionarlos de manera centralizada, se pueden evitar los silos de información y los riesgos.
Práctica recomendada #4: crear un plan de respuesta a incidentes
Con un plan de emergencia sofisticado, es posible responder de forma rápida y adecuada a los incidentes de seguridad. Prepararse para posibles amenazas es crucial para un alto nivel de ciberseguridad. El Plan de Respuesta a Incidentes (IPR) generalmente incluye roles, responsabilidades, rutas de escalamiento, protocolos de comunicación y pasos técnicos para lidiar con incidentes de seguridad.
Mejor práctica #5: analizar y monitorear amenazas
La mejor defensa es evitar que surja una amenaza. Por lo tanto, es recomendable monitorear las redes para detectar actividades no autorizadas e implementar sistemas adecuados. Quienes utilizan inteligencia sobre amenazas para recopilar, analizar y difundir datos sobre amenazas pueden reaccionar rápidamente y neutralizarlas antes de que se agraven.
Práctica recomendada #6: proteger los dispositivos IoT
El Internet de las cosas (IoT) ha adquirido una gran importancia y sigue creciendo. Sin embargo, también conlleva una serie de riesgos de seguridad. Para protegerse lo máximo posible, no se deben utilizar contraseñas estándar para los dispositivos en cuestión y el software debe actualizarse periódicamente. También es recomendable desactivar las funciones y servicios innecesarios.
Práctica recomendada #7: trabajar con hackers éticos
Nadie puede frustrar un ataque de hackers tan bien como los propios hackers. Contratar hackers éticos en sus propios sistemas es la mejor manera de garantizar el mejor nivel de seguridad posible.
Básicamente, hay dos resultados posibles:
- Los hackers éticos no encuentran vulnerabilidades relevantes, lo que constituye una garantía óptima de que un sistema es seguro.
- Las vulnerabilidades relevantes salen a la luz para que las organizaciones involucradas puedan eliminarlas antes de que ocurra una emergencia.
Además, hay muchas otras medidas que las empresas pueden tomar para mantener seguros a su personal, sus procesos y sus herramientas, entre ellas:
- Autenticación multifactor
- Actualizaciones periódicas de software
- Revisión periódica de los privilegios de acceso
- Copias de seguridad periódicas de datos críticos
- Manejo seguro de correos electrónicos
El software adecuado puede ayudar
Cuando se trata de ciberseguridad, lo importante es contar con el software adecuado, de dos maneras:
- El software utilizado debe ser seguro y cumplir con la legislación.
- Se necesitan soluciones de seguridad especiales, especialmente en el sector DORA y para Infraestructura crítica (KRITIS) – para proporcionar una protección integral y poder reaccionar de forma rápida y adecuada ante posibles incidentes.
Cómo las soluciones de software aumentan la protección
La seguridad y el cumplimiento normativo son requisitos básicos para las soluciones de software. Sin embargo, no se puede garantizar una protección adecuada. El cumplimiento del Reglamento General de Protección de Datos (RGPD), el uso de servidores seguros en Europa, la posibilidad de una autenticación integral y la aplicación de métodos de seguridad avanzados constituyen un buen estándar.
Los sistemas también deben estar preparados para auditorías y contar con documentación no editable sobre las actividades de mitigación. Esto puede servir como medio para que todas las medidas y comunicaciones se publiquen en la bitácora oficial. Los sistemas también deben estar equipados con copias de seguridad automáticas.
En general, una solución en la nube con una protección sólida y sin riesgos de cumplimiento normativo, por ejemplo, puede poner rápidamente a las organizaciones en el camino correcto. Quienes confían en soluciones gestionadas por profesionales y supervisadas exhaustivamente suelen aumentar la protección de forma mucho más eficiente que con medidas de seguridad internas. Esto crea una buena base para cumplir con normativas como DORA y minimiza significativamente el riesgo de ataques e incidentes.
Por qué son tan importantes las soluciones especiales de ciberdefensa
No faltan los riesgos cibernéticos ni las vulnerabilidades de seguridad. Las organizaciones deben estar preparadas para lo peor, independientemente de lo seguras que sean sus medidas de seguridad y sus sistemas informáticos. El nivel de amenaza está aumentando y la normativa DORA demuestra claramente que es muy recomendable contar con una solución de ciberdefensa sólida.
No se trata sólo de gestionar los incidentes de seguridad de la forma más eficaz posible y de poder comunicarse de forma estructurada entre los equipos implicados, sino también de llevar la seguridad al nivel más alto posible, hasta cumplir los estándares militares.
El soporte de software adecuado brinda tranquilidad a las organizaciones, las ayuda a cumplir eficazmente con todas las regulaciones y resulta invaluable cuando ocurren incidentes reales.
Conclusión: Ver DORA como una oportunidad
Normas como DORA cuestan mucho tiempo, dinero y nervios a las organizaciones. No siempre es fácil cumplirlas en todos los aspectos. Las normas a menudo no tienen una connotación positiva y mucha gente duda de su utilidad.
Ahora, sin embargo, DORA unifica las regulaciones existentes y reduce así la “locura regulatoria” a la que están expuestas muchas organizaciones. Además, el sector financiero, incluidas las áreas que interactúan con él, ya tiene altos estándares de seguridad. DORA es simplemente un buen impulso para cumplirlos. En otras palabras, la regulación es un desafío, pero más aún una oportunidad para implementar medidas que pueden ser invaluables por razones prácticas, dado el alto nivel de amenaza.
En el mundo empresarial actual, la seguridad y el cumplimiento normativo dependen en gran medida de las soluciones de software utilizadas. Por lo tanto, tomar las decisiones correctas en esta área, implementar funciones de protección integrales y mantener todo actualizado proporciona una excelente base para cumplir constantemente con regulaciones como DORA.