¿Estará preparada la industria bancaria de la UE para el cumplimiento de DORA?
En enero de 2025, las instituciones financieras de Europa se enfrentan a una prueba importante: la Ley de Resiliencia Operacional Digital (DORA).
DORA combina las reglas de riesgo y resiliencia de las TIC en un marco unificado. Pero, ¿estarán listas las organizaciones financieras?
Muchos están compitiendo contra el reloj. Los plazos ajustados y la evolución de los estándares hacen que la preparación sea más difícil.
Como explica Raghu Nandakumara, director sénior de marketing de soluciones industriales en Illumio, “los bancos se habrían beneficiado antes de estándares técnicos más claros. Los estándares llegaron en dos oleadas: una a principios de 2022 y la segunda a mediados de 2024. Esto dejó menos de 12 meses antes de la fecha límite del 17 de enero”.
Desembalaje DORA
¿Qué hace DORA ¿Requerir antes de la fecha límite? No se trata solo de proteger los sistemas. La atención se centra en mantener en funcionamiento los servicios críticos, incluso durante las interrupciones.
Para cumplir con los estándares de DORA, las instituciones financieras deben:
- Probar regularmente los sistemas de TIC
- Administre los riesgos con proveedores de terceros
- Garantizar que los servicios esenciales permanezcan operativos, sin importar lo que pase
“DORA tiene un enfoque claro: reducir el impacto de los incidentes. ¿El enfoque? Asume que sucederán brechas”. — Raghu Nandakumara
Los 6 principales desafíos del cumplimiento de DORA
1. Plazos ajustados, estándares en evolución
Las reglas que explican los requisitos de DORA, llamadas normas técnicas reglamentarias (RTS), fueron liberados tarde. La primera versión salió en enero de 2024, y la segunda siguió en julio. Con menos de un año para prepararse, cumplir con los requisitos se ha convertido en una carrera contra el tiempo.
2. Administración de proveedores de terceros
Los proveedores de terceros, como los hiperescaladores y los proveedores de servicios administrados (MSP), son clave para los servicios financieros. Pero aquí está el desafío: ¿Quién decide si un proveedor cae bajo el alcance de DORA? “¿El institución financiera o el regulador decide esto?” pregunta Raghu.
Para los MSP más pequeños, los obstáculos son aún mayores. El cumplimiento de normas depende de su papel en los procesos financieros. Sin reglas claras, es difícil saber qué se requiere. Arreglarlo requiere dos cosas:
- Pautas más claras
- Colaboración más sólida con los proveedores
3. Alineación de la gobernanza y el liderazgo
DORA coloca la resiliencia operativa en lo más alto de la agenda de liderazgo. Tableros debe:
- Establezca límites claros de riesgo de TIC
- Monitorear incidentes importantes
- Asegurar que los recursos adecuados estén en su lugar
Sin embargo, muchas organizaciones carecen de la estructura y la conciencia para alcanzar estos objetivos.
4. Pruebas y mejora constante
Las pruebas juegan un papel clave en Cumplimiento de DORA. Las organizaciones deben:
- Ejecutar pruebas anuales de resiliencia en sistemas TIC
- Realizar pruebas avanzadas de penetración cada tres años
“Las pruebas ayudan a identificar brechas y desarrollar planes de mejora, impulsando el progreso hacia la madurez. Sin embargo, estas pruebas requieren muchos recursos y requieren trabajo en equipo entre departamentos y proveedores. — Raghu Nandakumara
5. Construyendo una cultura resiliente
DORA no se trata de marcar casillas. Se trata de mantenerse preparado. El liderazgo debe:
- Campeón resiliencia operacional
- Fomentar el trabajo en equipo en todos los departamentos
Un cambio cultural puede ser crítico para el éxito a largo plazo.
6. Brecha de habilidades: Presión creciente
El global brecha en la fuerza laboral de ciberseguridad — estimado en 4 millones — empeora los desafíos de DORA. Un programa sólido de cumplimiento de normas puede aliviar esta presión. Simplifica los esfuerzos al tiempo que brinda beneficios operacionales más amplios.
“Los nuevos mandatos de DORA agregan presión a las operaciones de seguridad, políticas y equipos de auditoría”. — Raghu Nandakumara
¿Cómo se alinean DORA y Zero Trust?
Menciona DORA Cero Confianza? No directamente. Pero sus ideas clave, como el acceso con privilegios mínimos y el monitoreo continuo, se alinean estrechamente.
La filosofía de Zero Trust, “nunca confíe, siempre verifique”, reduce el riesgo al hacer que cada usuario, dispositivo, aplicación y carga de trabajo se autentique antes de que tenga acceso a él.
¿Cómo ayuda con los mayores riesgos cibernéticos actuales?
- Detiene el ransomware: Reducir el impacto de ataques de ransomware limitando lo lejos que puede propagarse a través de la red.
- Protege la nube: Las políticas dinámicas protegen multinube híbrido.
- Administra los riesgos de terceros: Restringir proveedor acceso a sistemas críticos. Controle cuánto acceso tienen los proveedores a los sistemas críticos.
Cuenta regresiva para el 17 de enero
El reloj está cortando. Las pruebas, la supervisión de terceros y la planificación de resiliencia no son opcionales. Requiere estrategias proactivas y un cambio cultural hacia la resiliencia.
Según explicó Raghu, “La UE quiere progreso, no perfección. Quieren ver cómo las organizaciones interpretan los requerimientos y qué han logrado”.
¿Está interesado en conocer más sobre el cumplimiento de DORA? Descargue nuestro libro electrónico gratuito Estrategias para el cumplimiento de DORA: El papel clave de la microsegmentación. Descubra cómo la microsegmentación puede mejorar la seguridad de su organización.