¿Qué es el cumplimiento de DORA?
DORA alienta a las organizaciones a crear capacidades flexibles de resiliencia operativa dentro de un marco regulatorio proporcionado por la legislación, que incluye:
Desarrollo de prácticas estables de gestión de riesgos
Realización de auditorías internas y autoevaluaciones
Implementación de controles para minimizar los riesgos de las TIC
DORA se destaca en que tiene como objetivo promover una gobernanza estable al tiempo que permite que cada compañía se adapte a su propio contexto individual. A la luz de DORA, las compañías del sector financiero deben estar preparadas para responder eficazmente a diversas formas de disrupciones digitales, desde fallos del sistema hasta ciberataques, al tiempo que mantienen sus operaciones comerciales.
¿Por qué es necesario DORA?
El sector financiero opera en un entorno digital altamente interconectado.
Esta dependencia acelerada de las TIC y de los proveedores de servicios de terceros para los sistemas e infraestructuras de misión crítica aumentó la superficie de ataque digital y, por lo tanto, las organizaciones financieras tienen una exposición mucho mayor a las amenazas de ciberseguridad . Los ciberataques que comprometen o interrumpen los sistemas, alteran o exfiltran datos sensibles y destruyen la reputación institucional amenazan la estabilidad de todo el sistema financiero.
Teniendo en cuenta los requisitos de cumplimiento de DORA, es importante que las organizaciones que operan en el ámbito financiero fortalezcan las capacidades de gestión de riesgos de TI y resiliencia operativa. Un enfoque eficaz incluye todos los aspectos de los riesgos relacionados con las TIC, entre ellos:
Al implementar los requisitos de DORA, las instituciones financieras avanzan hacia la protección contra las amenazas cibernéticas, manteniendo la continuidad del negocio y fortaleciendo la confianza con sus clientes.
¿Qué cubre el DORA?
Su enfoque principal es la resiliencia operativa para garantizar la continuidad de las operaciones en un entorno digital potencialmente hostil. Para responder rápidamente a las amenazas de las TIC, las compañías que operan en el sector de los servicios financieros deben priorizar sus planes de resiliencia en función de estos seis principios básicos:
Gestión de riesgos: Establecimiento de un marco de gestión de riesgos de las TIC, que incluya una gobernanza interna integral, autoevaluaciones y controles para identificar y minimizar el riesgo.
Intercambio de información e inteligencia: Se alienta a las entidades financieras a contar con procesos para informar y compartir información sobre amenazas cibernéticas dentro de la comunidad de seguridad.
Gestión de riesgos de terceros: DORA requiere que las organizaciones implementen medidas de seguridad que cubran la cadena de suministro.
Planeación de la continuidad del negocio: Los servicios financieros deben contar con un plan de continuidad exhaustivo y bien probado para mantener las operaciones a través de incidentes de seguridad.
Respuesta a incidentes y gestión de crisis: Un componente clave de la resiliencia digital, DORA exige la presencia de un plan de respuesta a incidentes bien desarrollado para categorizar, gestionar e informar sobre incidentes de TIC.
Pruebas y monitoreo continuos: DORA requiere que las organizaciones realicen pruebas y monitoreos regulares de los sistemas en busca de actividades anómalas para garantizar que sean resistentes contra las amenazas cibernéticas.
Los requisitos principales de DORA
Los siguientes elementos representan los requisitos básicos que las instituciones financieras y los proveedores de servicios deben cumplir a medida que trabajan para lograr el cumplimiento total de DORA:
Las organizaciones deben implementar controles para minimizar el riesgo de las TIC, y deben ser capaces de demostrar resiliencia a través de pruebas periódicas, demostrando que pueden resistir incidentes de seguridad sin interrupciones significativas de los servicios.
El DORA exige el establecimiento de procesos estables de gestión de riesgos en materia de TIC, que impliquen autoevaluaciones exhaustivas para identificar la postura de seguridad existente de la organización y su posible vulnerabilidad.
Las organizaciones deben asignar recursos para mejorar la resiliencia frente a las amenazas cibernéticas. Esto incluye fomentar la presencia de personal cualificado con experiencia en la gestión de los sistemas de TIC.
Además, las organizaciones deben preparar documentación detallada que explique las medidas adoptadas para garantizar la resiliencia de las operaciones digitales. Esto incluye planes de continuidad, planes de respuesta a incidentes relacionados con las TIC, estructuras de gobernanza de datos y actividades de prueba y presentación de reportes.
Los controles que DORA introduce con respecto a los sistemas TIC de terceros (p. ej. Proveedores de servicios en la nube) alientan a las organizaciones a categorizar y evaluar los contratos, exigir garantías de cumplimiento adicionales a los proveedores de servicios y actualizar la cobertura de seguro para cumplir con los nuevos requisitos.
¿Cómo pueden las organizaciones empezar a preparar para DORA?
Las instituciones financieras deben comenzar los preparativos completando una evaluación de brechas para identificar las áreas en las que se requiere mejora. La evaluación de brechas debe determinar el cumplimiento de DORA con las directrices de la ESA, NIS y CROE junto con los estándares de gestión de riesgos de TI como NIST CSF, ISO, ITIL y COBIT.
Dependiendo de las características específicas de su organización, el cumplimiento de la HIPAA también puede ser un factor.
En última instancia, este análisis ayudará a identificar las áreas clave que no cumplen con DORA e informará la creación de una estrategia de resiliencia digital.
Al completar la evaluación de brechas, las organizaciones deben crear una hoja de ruta que defina los plazos de implementación y ayude a priorizar los planes para asignar recursos e implementar sistemas de seguridad para cumplir con los requisitos de cumplimiento.
¿Afectará DORA a mi organización?
Un aspecto clave de DORA es el aumento de la supervisión de las entidades financieras por parte de las Autoridades Europeas de Supervisión (AES). Esto conducirá a controles más estrictos para garantizar la resiliencia digital.
Las organizaciones del sector financiero requerirán inversiones significativas en gestión de riesgos de TI y capacidades de detección y seguridad de amenazas cibernéticas. Además, la Directiva NIS2, un estándar de ciberseguridad paralelo a DORA, afectará a una amplia gama de sectores empresariales. En conjunto, estas regulaciones pueden conducir a un aumento de los costos a medida que las organizaciones reorganizan sus sistemas y personal para cumplir con sus estrictos requisitos.
Teniendo en cuenta todos estos desafíos, es fundamental adoptar un enfoque proactivo para cumplir con los requisitos de DORA. DORA conducirá a un mayor escrutinio y regulaciones más estrictas sobre las compañías del sector financiero, lo que resultará en costos más altos para estas instituciones.
Al comenzar ahora, las organizaciones pueden navegar mejor por este nuevo panorama regulatorio para que puedan estar completamente preparadas para los requisitos de DORA.
Estado actual de DORA
DORA entró en vigor en enero de 2023 y las organizaciones tienen hasta enero de 2025 para cumplir plenamente con la normativa, por lo que es esencial que las organizaciones comiencen a trabajar en la preparación del cumplimiento de inmediato.
Con una fecha límite de cumplimiento que se acerca rápidamente, es cada vez más importante que los profesionales de la seguridad en la industria financiera comprendan qué pasos deben tomar para garantizar el cumplimiento de DORA.
Dos hitos clave a tener en cuenta antes de enero de 2025 son los procesos de certificación por parte de las ESA y el inicio de las pruebas de penetración dirigidas por amenazas (TLPT) obligatorias, que proporcionarán un marco para evaluar la preparación de las instituciones financieras.
Cómo ayudan las soluciones de Check Point con el cumplimiento de DORA
A medida que navegamos por las complejidades de DORA, con la fecha límite para el cumplimiento total acercar, las organizaciones deben tomar medidas proactivas para garantizar el cumplimiento.
Para cumplir con las regulaciones para la notificación rápida de incidentes, la gestión de riesgos de terceros y el aumento de los requisitos de auditoría, es esencial tomar medidas proactivas para comprender la preparación actual e identificar las áreas de la organización que potencialmente no cumplen.
La evaluación de preparación de Check Point NIS2/DORA puede ayudarlo a mejorar o lograr el cumplimiento al preparar a su organización para DORA antes de la fecha límite de enero de 2025.
Check Point Software está bien equipado para asociar con usted para preparar para NIS2 y DORA. Trabajando juntos, podemos fomentar una cultura de resiliencia operativa dentro de su organización para reducir el riesgo de amenazas cibernéticas e incumplimiento regulatorio.
¿Está
Comentarios