Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe

¿Experimentó una violación?

|
Contáctenos
|
+1 855 426 3983
Blog
/
Ciberresiliencia

¿Estará preparada la industria bancaria de la UE para el cumplimiento de DORA?

Maritza Marie Dubec
,
Gerente Senior de Marketing de Contenidos
November 27, 2024
23 min. lectura

En enero de 2025, las instituciones financieras de Europa se enfrentan a una prueba importante: la Ley de Resiliencia Operacional Digital (DORA).

DORA combina las reglas de riesgo y resiliencia de las TIC en un marco unificado. Pero, ¿estarán listas las organizaciones financieras?

Muchos están compitiendo contra el reloj. Los plazos ajustados y la evolución de los estándares hacen que la preparación sea más difícil.

Como explica Raghu Nandakumara, director sénior de marketing de soluciones industriales en Illumio, “los bancos se habrían beneficiado antes de estándares técnicos más claros. Los estándares llegaron en dos oleadas: una a principios de 2022 y la segunda a mediados de 2024. Esto dejó menos de 12 meses antes de la fecha límite del 17 de enero”.

Desembalaje DORA

¿Qué hace DORA ¿Requerir antes de la fecha límite? No se trata solo de proteger los sistemas. La atención se centra en mantener en funcionamiento los servicios críticos, incluso durante las interrupciones.

Para cumplir con los estándares de DORA, las instituciones financieras deben:

  • Probar regularmente los sistemas de TIC
  • Administre los riesgos con proveedores de terceros
  • Garantizar que los servicios esenciales permanezcan operativos, sin importar lo que pase
“DORA tiene un enfoque claro: reducir el impacto de los incidentes. ¿El enfoque? Asume que sucederán brechas”. — Raghu Nandakumara

Los 6 principales desafíos del cumplimiento de DORA

1. Plazos ajustados, estándares en evolución

Las reglas que explican los requisitos de DORA, llamadas normas técnicas reglamentarias (RTS), fueron liberados tarde. La primera versión salió en enero de 2024, y la segunda siguió en julio. Con menos de un año para prepararse, cumplir con los requisitos se ha convertido en una carrera contra el tiempo.

2. Administración de proveedores de terceros

Los proveedores de terceros, como los hiperescaladores y los proveedores de servicios administrados (MSP), son clave para los servicios financieros. Pero aquí está el desafío: ¿Quién decide si un proveedor cae bajo el alcance de DORA? “¿El institución financiera o el regulador decide esto?” pregunta Raghu.

Para los MSP más pequeños, los obstáculos son aún mayores. El cumplimiento de normas depende de su papel en los procesos financieros. Sin reglas claras, es difícil saber qué se requiere. Arreglarlo requiere dos cosas:

  • Pautas más claras
  • Colaboración más sólida con los proveedores
3. Alineación de la gobernanza y el liderazgo

DORA coloca la resiliencia operativa en lo más alto de la agenda de liderazgo. Tableros debe:

  • Establezca límites claros de riesgo de TIC
  • Monitorear incidentes importantes
  • Asegurar que los recursos adecuados estén en su lugar

Sin embargo, muchas organizaciones carecen de la estructura y la conciencia para alcanzar estos objetivos.

4. Pruebas y mejora constante

Las pruebas juegan un papel clave en Cumplimiento de DORA. Las organizaciones deben:

  • Ejecutar pruebas anuales de resiliencia en sistemas TIC
  • Realizar pruebas avanzadas de penetración cada tres años
“Las pruebas ayudan a identificar brechas y desarrollar planes de mejora, impulsando el progreso hacia la madurez. Sin embargo, estas pruebas requieren muchos recursos y requieren trabajo en equipo entre departamentos y proveedores. — Raghu Nandakumara
5. Construyendo una cultura resiliente

DORA no se trata de marcar casillas. Se trata de mantenerse preparado. El liderazgo debe:

  • Fomentar el trabajo en equipo en todos los departamentos

Un cambio cultural puede ser crítico para el éxito a largo plazo.

6. Brecha de habilidades: Presión creciente

El global brecha en la fuerza laboral de ciberseguridad — estimado en 4 millones — empeora los desafíos de DORA. Un programa sólido de cumplimiento de normas puede aliviar esta presión. Simplifica los esfuerzos al tiempo que brinda beneficios operacionales más amplios.

“Los nuevos mandatos de DORA agregan presión a las operaciones de seguridad, políticas y equipos de auditoría”. — Raghu Nandakumara

¿Cómo se alinean DORA y Zero Trust?

Menciona DORA Cero Confianza? No directamente. Pero sus ideas clave, como el acceso con privilegios mínimos y el monitoreo continuo, se alinean estrechamente.

La filosofía de Zero Trust, “nunca confíe, siempre verifique”, reduce el riesgo al hacer que cada usuario, dispositivo, aplicación y carga de trabajo se autentique antes de que tenga acceso a él.

¿Cómo ayuda con los mayores riesgos cibernéticos actuales?

  • Detiene el ransomware: Reducir el impacto de ataques de ransomware limitando lo lejos que puede propagarse a través de la red.
  • Administra los riesgos de terceros: Restringir proveedor acceso a sistemas críticos. Controle cuánto acceso tienen los proveedores a los sistemas críticos.

Cuenta regresiva para el 17 de enero

El reloj está cortando. Las pruebas, la supervisión de terceros y la planificación de resiliencia no son opcionales. Requiere estrategias proactivas y un cambio cultural hacia la resiliencia.

Según explicó Raghu, “La UE quiere progreso, no perfección. Quieren ver cómo las organizaciones interpretan los requerimientos y qué han logrado”.

¿Está interesado en conocer más sobre el cumplimiento de DORA? Descargue nuestro libro electrónico gratuito Estrategias para el cumplimiento de DORA: El papel clave de la microsegmentación. Descubra cómo la microsegmentación puede mejorar la seguridad de su organización.

Temas relacionados

Servicios Bancarios y Financieros

Artículos relacionados

Dando el regalo que su equipo de seguridad de TI merece esta temporada navideña
Ciberresiliencia

Dando el regalo que su equipo de seguridad de TI merece esta temporada navideña

Aprende a preparar tu negocio para el tiempo de cosecha de malos actores — la temporada navideña.

Leer más
Nuestras historias favoritas de Zero Trust de agosto de 2023
Ciberresiliencia

Nuestras historias favoritas de Zero Trust de agosto de 2023

Estas son algunas de las historias y perspectivas de Zero Trust que nos destacaron este mes.

Leer más
Cargas útiles y balizas de malware: técnicas para la corrección del impacto
Ciberresiliencia

Cargas útiles y balizas de malware: técnicas para la corrección del impacto

En la parte final de esta serie, nos enfocamos en algunas de las técnicas de ofuscación utilizadas para disfrazar las cargas útiles de malware y examinar las técnicas de mitigación que las organizaciones pueden emplear.

Leer más
BT e Illumio: simplificación del cumplimiento de DORA
Ciberresiliencia

BT e Illumio: simplificación del cumplimiento de DORA

Aprenda a impulsar la resiliencia cibernética, administrar los riesgos de las TIC y preparar a su institución financiera para la fecha límite de cumplimiento de DORA de enero de 2025.

Leer más
Cómo lograr el cumplimiento de DORA con Illumio
Ciberresiliencia

Cómo lograr el cumplimiento de DORA con Illumio

Conozca las tres herramientas disponibles en la Plataforma de Segmentación de Confianza Cero (ZTS) de Illumio que le ayudarán a desarrollar el cumplimiento de DORA.

Leer más
Preparación para DORA: Perspectivas de 2 Expertos en Cumplimiento de Normas de Ciberseguridad
Ciberresiliencia

Preparación para DORA: Perspectivas de 2 Expertos en Cumplimiento de Normas de Ciberseguridad

Obtenga información de Tristan Morgan, director gerente de ciberseguridad de BT, y Mark Hendry, socio de servicios digitales en Evelyn Partners, sobre cómo navegar por el cumplimiento de DORA.

Leer más

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información