El Digital Operational Resilience Act (DORA) es una normativa europea diseñada para fortalecer la ciberseguridad y la resiliencia operativa de las instituciones financieras frente al creciente riesgo de ciberataques. La regulación, que entrará en vigor en enero de 2025, busca garantizar que las entidades financieras en la Unión Europea estén preparadas para resistir y recuperarse de cualquier interrupción operativa relacionada con las tecnologías de la información y las comunicaciones (TIC). A continuación, exploraremos los desafíos técnicos que enfrentan las instituciones financieras para cumplir con DORA, los requisitos clave de la normativa y cómo XM Cyber puede ayudar en este proceso.
Implicaciones de DORA en la ciberseguridad
DORA aborda aspectos críticos de la ciberseguridad, centrándose en la gestión integral de riesgos tecnológicos. Las entidades financieras están obligadas a implementar y mantener un marco de gestión de riesgos TIC que cubra la identificación, evaluación, mitigación y monitorización de riesgos relacionados con las TIC. Este marco debe revisarse regularmente, especialmente después de incidentes importantes o como resultado de pruebas de resiliencia operativa.
Un componente clave es la implementación de un Sistema de Gestión de la Seguridad de la Información que esté alineado con estándares internacionales como ISO 27001. Este sistema es fundamental para estructurar la gestión de la seguridad de la información, permitiendo reducir riesgos y garantizar que la entidad esté preparada para enfrentar cualquier amenaza de ciberseguridad.
Gestión de riesgos tecnológicos
Por otra parte, DORA exige una gestión de riesgos TIC más rigurosa, lo que implica la adopción de políticas de continuidad del negocio, planes de recuperación ante desastres y mecanismos para monitorear y registrar incidentes relacionados con las TIC. Las entidades deben clasificar estos incidentes según criterios establecidos por las autoridades supervisoras competentes, facilitando una respuesta coordinada y efectiva.
Además, se enfatiza la supervisión de los riesgos derivados de la externalización de servicios TIC a proveedores externos. Las instituciones financieras deben asegurar que estos proveedores cumplan con los mismos estándares de seguridad y que los contratos incluyan disposiciones específicas para mitigar riesgos. Esto ha llevado a muchas entidades a revisar sus contratos con terceros y a establecer auditorías periódicas para asegurar el cumplimiento.
Pruebas de resiliencia operativa
Otro aspecto clave de DORA es la obligación de efectuar pruebas periódicas de resiliencia operativa. Estas pruebas son esenciales para detectar vulnerabilidades en los sistemas TIC y deben llevarse a cabo de manera proporcional al tamaño y perfil de riesgo de la entidad. Para grandes organizaciones, esto puede implicar estrategias globales que incluyen múltiples proveedores, requiriendo una gestión detallada de dependencias y riesgos.
Las pruebas no solo se centran en la capacidad técnica de la entidad, sino también en su habilidad para gestionar incidentes de ciberseguridad, activar planes de continuidad del negocio y mantener la operación de funciones críticas, incluso bajo ataques o interrupciones graves.
Mecanismos de respuesta ante incidentes de ciberseguridad
Asimismo, DORA establece la obligación de contar con mecanismos robustos de detección y respuesta a incidentes de ciberseguridad. Esto incluye la instalación de soluciones tecnológicas capaces de identificar anomalías, ciberataques o incidentes operativos. Las entidades deben establecer umbrales de alerta y criterios para activar procesos de respuesta, permitiendo una reacción rápida y efectiva ante cualquier ciberataque.
Una novedad importante es la obligatoriedad de compartir información sobre amenazas de ciberseguridad entre instituciones financieras. Esta colaboración es crucial para fortalecer la defensa colectiva del sector financiero contra ciberataques. El intercambio de información de inteligencia puede ayudar a prevenir la propagación de amenazas y mejorar las estrategias de mitigación de riesgos a nivel sectorial.
Desafíos en la implementación de DORA
Uno de los principales desafíos para cumplir con DORA es la necesidad de integrar los marcos de gestión de riesgos TIC con otros requisitos regulatorios, como el Reglamento General de Protección de Datos (GDPR). Esto requiere una gestión cuidadosa para evitar conflictos o duplicidades entre normativas. Muchas entidades están optando por integrar ambos marcos en un único proceso de toma de decisiones.
La gestión de proveedores externos de servicios TIC es otro punto crítico. La externalización no exime a las entidades financieras de su responsabilidad en la gestión de riesgos, lo que significa que deben garantizar que los terceros cumplan con las normas rigurosas establecidas por DORA. Este enfoque más estricto hacia los proveedores ha impulsado a muchas entidades a renegociar contratos y a realizar auditorías más estrictas.
Cómo XM Cyber ayuda en la adopción de DORA
En este contexto, XM Cyber se posiciona como un socio tecnológico para las instituciones financieras que buscan alinearse con DORA. XM Cyber ofrece soluciones avanzadas de gestión continua de exposiciones, transformando la forma en la que las organizaciones abordan el riesgo cibernético y permitiendo que los equipos de seguridad prevengan más ataques con un 75 por ciento menos de esfuerzo de remediación. Estos son algunos ejemplos:
Gestión de riesgos TIC y resiliencia operativa
Gestión de riesgos TIC y resiliencia operativa. La plataforma de XM Cyber proporciona inteligencia sobre riesgos y exposiciones, ayudando a las organizaciones a identificar y clasificar activos TIC críticos, y cuantificar el riesgo presentado por vulnerabilidades, configuraciones erróneas y problemas de identidad en toda su superficie de ataque digital. Esto es fundamental para optimizar la gestión de riesgos TIC y cumplir con los requisitos de DORA.
Las entidades financieras están obligadas a implementar un marco de gestión de riesgos TIC
Pruebas de resiliencia operativa simplificadas
Pruebas de resiliencia operativa simplificadas. XM Cyber ofrece un enfoque integral, continuo y automatizado para apoyar las pruebas de resiliencia operativa digital. La plataforma permite efectuar pruebas completas de la superficie de ataque externa e interna, incluyendo evaluaciones de vulnerabilidades, pruebas de controles de seguridad y un enfoque continuo para las Pruebas de Penetración Basadas en Amenazas (TLPT). Esto ayuda a descubrir riesgos, prevenir amenazas de ciberseguridad y prepararse para auditorías.
Aceleración en la investigación de incidentes y recuperación
Aceleración en la investigación de incidentes y recuperación. Las capacidades de XM Cyber enriquecen el threat hunting y la investigación post incidente. Con información contextual detallada agregada en escenarios de ataque, se acelera la investigación de incidentes y se mejora el aprendizaje y evolución de los procesos de gestión de incidentes relacionados con las TIC.
Gestión de riesgos de terceros
Gestión de riesgos de terceros. La tecnología de XM Cyber también facilita la gestión de riesgos de terceros al proporcionar visibilidad sobre los riesgos asociados con proveedores externos de servicios TIC. Esto es esencial para cumplir con las exigencias de DORA en cuanto a la supervisión de riesgos de terceros y asegurar que estos proveedores cumplan con los estándares requeridos.
Conclusión
DORA representa un cambio significativo en la forma en la que las instituciones financieras deben abordar la ciberseguridad y la resiliencia operativa. Si bien los desafíos técnicos son considerables, herramientas como las ofrecidas por XM Cyber permiten a las entidades financieras adaptarse eficazmente a estas nuevas exigencias. Al implementar soluciones avanzadas de gestión de riesgos y resiliencia operativa, las instituciones no solo cumplen con la normativa, sino que también fortalecen su posición frente a amenazas de ciberseguridad, garantizando la continuidad de sus operaciones en un entorno cada vez más digitalizado.
