Red Seguridad 106

104 red seguridad tercer trimestre 2024 monográfico sector financiero El Digital Operational Resilience Act (DORA) es una normativa europea dise- ñada para fortalecer la ciberseguridad y la resiliencia operativa de las institucio- nes financieras frente al creciente riesgo de ciberataques. La regulación, que en- trará en vigor en enero de 2025, busca garantizar que las entidades financieras en la Unión Europea estén preparadas para resistir y recuperarse de cualquier interrupción operativa relacionada con las tecnologías de la información y las comunicaciones (TIC). A continuación, exploraremos los desafíos técnicos que enfrentan las instituciones financieras para cumplir con DORA, los requisitos clave de la normativa y cómo XM Cyber puede ayudar en este proceso. DORA aborda aspectos críticos de la ciberseguridad, centrándose en la ges- tión integral de riesgos tecnológicos. Las entidades financieras están obligadas a implementar y mantener un marco de gestión de riesgos TIC que cubra la identificación, evaluación, mitigación y monitorización de riesgos relacionados con las TIC. Este marco debe revisarse regularmente, especialmente después de incidentes importantes o como resul- tado de pruebas de resiliencia operativa. Un componente clave es la implemen- tación de un Sistema de Gestión de la Seguridad de la Información que esté alineado con estándares internaciona- les como ISO 27001. Este sistema es fundamental para estructurar la gestión de la seguridad de la información, per- mitiendo reducir riesgos y garantizar que la entidad esté preparada para enfrentar cualquier amenaza de ciberseguridad. Riesgos tecnológicos Por otra parte, DORA exige una gestión de riesgos TIC más rigurosa, lo que im- plica la adopción de políticas de conti- nuidad del negocio, planes de recupera- ción ante desastres y mecanismos para monitorear y registrar incidentes relacio- nados con las TIC. Las entidades deben clasificar estos incidentes según criterios establecidos por las autoridades super- visoras competentes, facilitando una respuesta coordinada y efectiva. Además, se enfatiza la supervisión de los riesgos derivados de la externa- lización de servicios TIC a proveedores externos. Las instituciones financieras deben asegurar que estos proveedores cumplan con los mismos estándares de seguridad y que los contratos incluyan disposiciones específicas para mitigar riesgos. Esto ha llevado a muchas enti- dades a revisar sus contratos con terce- ros y a establecer auditorías periódicas para asegurar el cumplimiento. Resiliencia operativa Otro aspecto clave de DORA es la obliga- ción de efectuar pruebas periódicas de resiliencia operativa. Estas pruebas son esenciales para detectar vulnerabilidades en los sistemas TIC y deben llevarse a cabo de manera proporcional al tamaño y perfil de riesgo de la entidad. Para gran- des organizaciones, esto puede implicar estrategias globales que incluyen múlti- ples proveedores, requiriendo una ges- tión detallada de dependencias y riesgos. Las pruebas no solo se centran en la capacidad técnica de la entidad, sino también en su habilidad para gestionar incidentes de ciberseguridad, activar planes de continuidad del negocio y mantener la operación de funciones crí- ticas, incluso bajo ataques o interrupcio- nes graves. Mecanismos de respuesta Asimismo, DORA establece la obligación de contar con mecanismos robustos de El impacto DORA en el sector financiero S antiago Á lvarez de C ienfuegos Director, XM Cyber. Spain R aúl P érez G arcía Sales Engineer, XM Cyber. Spain