/
Ciberresiliencia

¿Estará preparada la industria bancaria de la UE para el cumplimiento de DORA?

En enero de 2025, las instituciones financieras de Europa se enfrentan a una prueba importante: la Ley de Resiliencia Operacional Digital (DORA).

DORA combina las reglas de riesgo y resiliencia de las TIC en un marco unificado. Pero, ¿estarán listas las organizaciones financieras?

Muchos están compitiendo contra el reloj. Los plazos ajustados y la evolución de los estándares hacen que la preparación sea más difícil.

Como explica Raghu Nandakumara, director sénior de marketing de soluciones industriales en Illumio, “los bancos se habrían beneficiado antes de estándares técnicos más claros. Los estándares llegaron en dos oleadas: una a principios de 2022 y la segunda a mediados de 2024. Esto dejó menos de 12 meses antes de la fecha límite del 17 de enero”.

Desembalaje DORA

¿Qué hace DORA ¿Requerir antes de la fecha límite? No se trata solo de proteger los sistemas. La atención se centra en mantener en funcionamiento los servicios críticos, incluso durante las interrupciones.

Para cumplir con los estándares de DORA, las instituciones financieras deben:

  • Probar regularmente los sistemas de TIC
  • Administre los riesgos con proveedores de terceros
  • Garantizar que los servicios esenciales permanezcan operativos, sin importar lo que pase
“DORA tiene un enfoque claro: reducir el impacto de los incidentes. ¿El enfoque? Asume que sucederán brechas”. — Raghu Nandakumara

Los 6 principales desafíos del cumplimiento de DORA

1. Plazos ajustados, estándares en evolución

Las reglas que explican los requisitos de DORA, llamadas normas técnicas reglamentarias (RTS), fueron liberados tarde. La primera versión salió en enero de 2024, y la segunda siguió en julio. Con menos de un año para prepararse, cumplir con los requisitos se ha convertido en una carrera contra el tiempo.

2. Administración de proveedores de terceros

Los proveedores de terceros, como los hiperescaladores y los proveedores de servicios administrados (MSP), son clave para los servicios financieros. Pero aquí está el desafío: ¿Quién decide si un proveedor cae bajo el alcance de DORA? “¿El institución financiera o el regulador decide esto?” pregunta Raghu.

Para los MSP más pequeños, los obstáculos son aún mayores. El cumplimiento de normas depende de su papel en los procesos financieros. Sin reglas claras, es difícil saber qué se requiere. Arreglarlo requiere dos cosas:

  • Pautas más claras
  • Colaboración más sólida con los proveedores
3. Alineación de la gobernanza y el liderazgo

DORA coloca la resiliencia operativa en lo más alto de la agenda de liderazgo. Tableros debe:

  • Establezca límites claros de riesgo de TIC
  • Monitorear incidentes importantes
  • Asegurar que los recursos adecuados estén en su lugar

Sin embargo, muchas organizaciones carecen de la estructura y la conciencia para alcanzar estos objetivos.

4. Pruebas y mejora constante

Las pruebas juegan un papel clave en Cumplimiento de DORA. Las organizaciones deben:

  • Ejecutar pruebas anuales de resiliencia en sistemas TIC
  • Realizar pruebas avanzadas de penetración cada tres años
“Las pruebas ayudan a identificar brechas y desarrollar planes de mejora, impulsando el progreso hacia la madurez. Sin embargo, estas pruebas requieren muchos recursos y requieren trabajo en equipo entre departamentos y proveedores. — Raghu Nandakumara
5. Construyendo una cultura resiliente

DORA no se trata de marcar casillas. Se trata de mantenerse preparado. El liderazgo debe:

  • Fomentar el trabajo en equipo en todos los departamentos

Un cambio cultural puede ser crítico para el éxito a largo plazo.

6. Brecha de habilidades: Presión creciente

El global brecha en la fuerza laboral de ciberseguridad — estimado en 4 millones — empeora los desafíos de DORA. Un programa sólido de cumplimiento de normas puede aliviar esta presión. Simplifica los esfuerzos al tiempo que brinda beneficios operacionales más amplios.

“Los nuevos mandatos de DORA agregan presión a las operaciones de seguridad, políticas y equipos de auditoría”. — Raghu Nandakumara

¿Cómo se alinean DORA y Zero Trust?

Menciona DORA Cero Confianza? No directamente. Pero sus ideas clave, como el acceso con privilegios mínimos y el monitoreo continuo, se alinean estrechamente.

La filosofía de Zero Trust, “nunca confíe, siempre verifique”, reduce el riesgo al hacer que cada usuario, dispositivo, aplicación y carga de trabajo se autentique antes de que tenga acceso a él.

¿Cómo ayuda con los mayores riesgos cibernéticos actuales?

  • Detiene el ransomware: Reducir el impacto de ataques de ransomware limitando lo lejos que puede propagarse a través de la red.
  • Administra los riesgos de terceros: Restringir proveedor acceso a sistemas críticos. Controle cuánto acceso tienen los proveedores a los sistemas críticos.

Cuenta regresiva para el 17 de enero

El reloj está cortando. Las pruebas, la supervisión de terceros y la planificación de resiliencia no son opcionales. Requiere estrategias proactivas y un cambio cultural hacia la resiliencia.

Según explicó Raghu, “La UE quiere progreso, no perfección. Quieren ver cómo las organizaciones interpretan los requerimientos y qué han logrado”.

¿Está interesado en conocer más sobre el cumplimiento de DORA? Descargue nuestro libro electrónico gratuito Estrategias para el cumplimiento de DORA: El papel clave de la microsegmentación. Descubra cómo la microsegmentación puede mejorar la seguridad de su organización.

Temas relacionados

Artículos relacionados

Incumplimientos de Microsoft Exchange, SolarWinds y Verkada: Por qué la higiene de seguridad es más importante que nunca
Ciberresiliencia

Incumplimientos de Microsoft Exchange, SolarWinds y Verkada: Por qué la higiene de seguridad es más importante que nunca

La higiene de seguridad es un comportamiento de seguridad saludable amplificado a través de la implementación de procesos de soporte y controles técnicos.

La prohibición de los pagos de rescate, la confianza cero para el firewall de Microsoft Azure y las violaciones recientes del Reino Unido
Ciberresiliencia

La prohibición de los pagos de rescate, la confianza cero para el firewall de Microsoft Azure y las violaciones recientes del Reino Unido

Obtenga un resumen de la cobertura noticiosa de Illumio para agosto de 2023.

Garantizar el cumplimiento de DORA: Lo que necesita saber
Ciberresiliencia

Garantizar el cumplimiento de DORA: Lo que necesita saber

Obtenga la información que necesita para comenzar a prepararse para cumplir con los próximos mandatos DORA de la UE para servicios bancarios y financieros.

BT e Illumio: simplificación del cumplimiento de DORA
Ciberresiliencia

BT e Illumio: simplificación del cumplimiento de DORA

Aprenda a impulsar la resiliencia cibernética, administrar los riesgos de las TIC y preparar a su institución financiera para la fecha límite de cumplimiento de DORA de enero de 2025.

Cómo lograr el cumplimiento de DORA con Illumio
Ciberresiliencia

Cómo lograr el cumplimiento de DORA con Illumio

Conozca las tres herramientas disponibles en la Plataforma de Segmentación de Confianza Cero (ZTS) de Illumio que le ayudarán a desarrollar el cumplimiento de DORA.

Preparación para DORA: Perspectivas de 2 Expertos en Cumplimiento de Normas de Ciberseguridad
Ciberresiliencia

Preparación para DORA: Perspectivas de 2 Expertos en Cumplimiento de Normas de Ciberseguridad

Obtenga información de Tristan Morgan, director gerente de ciberseguridad de BT, y Mark Hendry, socio de servicios digitales en Evelyn Partners, sobre cómo navegar por el cumplimiento de DORA.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?