Ley POPI: alcance, propósito y cómo cumplirla
Conozca el alcance y el propósito de la Ley POPI y cómo cumplirla para proteger los datos personales y satisfacer la normativa de privacidad de...
DORA es una nueva regulación que afectará a decenas de miles de organizaciones que prestan servicios financieros en la UE. Pero eso no es todo: los proveedores externos de tecnologías de la información y las comunicaciones (ICT) también entran en juego, lo que convierte el trabajo por la seguridad de los datos en el sector financiero en una tarea mayor que nunca.
El reloj ya ha empezado a correr en el periodo de preparación de 24 meses, así que el momento de empezar a prepararse es ahora.
¿Qué es DORA?
El Digital Operational Resilience Act, o DORA, es una regulación importante que se está extendiendo por toda la Unión Europea para asegurar que las entidades financieras y sus socios tecnológicos den un paso adelante en su protección frente a los crecientes riesgos de depender de la tecnología.
Pero prepárese, porque DORA trae retos serios. Desde gestionar de cerca los riesgos con proveedores externos hasta vigilar continuamente los sistemas de seguridad de los datos y distribuir los riesgos relacionados con ICT, implementar DORA no es un paseo. Requiere un nivel de esfuerzo y compromiso completamente nuevo para mantener el cumplimiento.
El calendario de DORA de un vistazo
¿Cuál es el propósito de DORA?
El propósito de DORA es reforzar la resiliencia digital dentro de la Unión Europea. En otras palabras, DORA pretende proteger los datos sensibles que están a disposición de las entidades financieras y sus proveedores ICT frente a los actores malintencionados del mundo online.
DORA establece un conjunto de reglas para todos en la industria financiera, con la esperanza de armonizar los esfuerzos de seguridad de los datos en los Estados miembros de la UE, llenando vacíos y corrigiendo inconsistencias en las leyes vigentes de la UE.
Las ciberamenazas están y seguirán probablemente siempre en aumento, así que DORA quiere asegurarse de que el sector financiero esté preparado para cualquier peligro digital que pueda surgir en el futuro. Reconoce los peligros antes ignorados que provienen de la cadena de suministro y refuerza la atención sobre los proveedores de servicios ICT.
¿Cuál es el alcance de DORA?
En pocas palabras, DORA se aplica a una amplia gama de entidades financieras involucradas en el sistema financiero de la UE, y a los proveedores de servicios ICT que las apoyan. Mientras la organización financiera opere en cualquier capacidad dentro del mercado de la UE, deberá cumplir con DORA, y también lo harán sus proveedores externos. Esto es así incluso para empresas con sede fuera de la UE.
¿A qué organizaciones financieras se aplica DORA?
Conviene señalar que DORA no limita su marco regulatorio a entidades con sede en la UE. También cubre a entidades financieras no comunitarias que operan dentro del mercado de la UE. Esto significa que, aunque una entidad financiera tenga su sede fuera de la UE pero opere dentro de sus fronteras, sigue estando sujeta a las regulaciones recogidas en DORA.
Por ejemplo, supongamos que es un proveedor ICT con sede en Canadá que ofrece servicios a un banco canadiense. Si ese banco tiene aunque sea una sola sucursal u oficina en la UE, tanto usted como proveedor ICT como el banco entran dentro del alcance de DORA.
¿Cuáles son los objetivos clave de DORA?
Entonces, ¿cómo pretende DORA lograr esta resiliencia digital a nivel de la UE? Veamos sus objetivos más importantes para entender la regulación con mayor profundidad.
Estos son los cinco pilares clave de DORA:
1. Gestión de riesgos ICT
DORA quiere que las organizaciones sean proactivas a la hora de proteger los datos sensibles, con sistemas de gestión de seguridad robustos. Las entidades financieras deberán centrarse no solo en la prevención, sino también en las capacidades de detección, contención, recuperación y reparación. Las políticas de seguridad basadas en riesgos serán obligatorias.
Una disposición de DORA subraya la necesidad de supervisar y controlar de forma continua las herramientas de seguridad ICT. Este requisito refuerza la importancia de adoptar soluciones avanzadas de protección frente a la pérdida de datos (DLP) que ofrezcan capacidades automatizadas de detección de incidentes y evaluación de riesgos.
La concentración de riesgo es otro aspecto a tener en cuenta. DORA prohíbe a las organizaciones depender de un único proveedor de servicios para procesos críticos y prefiere una variedad de proveedores de seguridad. De esta forma, cuando un sistema o proveedor se ve afectado, el riesgo para la organización financiera se distribuye y minimiza.
2. Notificación de incidentes
Las entidades financieras están obligadas a notificar los incidentes graves relacionados con ICT y las ciberamenazas significativas a las autoridades competentes. El objetivo es mejorar la transparencia y la coordinación frente a los ciberincidentes. Una respuesta rápida es una respuesta más eficaz. Esto significa que, si algo va mal en sus sistemas digitales, deben informar a las autoridades de inmediato.
Además, los incidentes que afecten a los proveedores de servicios ICT de los que dependen las organizaciones financieras también deben notificarse. De esta forma, todos pueden conocer los posibles riesgos que podrían propagarse por el ecosistema financiero interconectado.
3. Pruebas de resiliencia operativa
Estas pruebas avanzadas anuales aseguran que las entidades financieras puedan resistir, responder y recuperarse de diversas interrupciones y amenazas ICT. Los proveedores externos también deberán colaborar con pruebas de penetración periódicas. Después, todas las partes deberán eliminar las vulnerabilidades que estas pruebas detecten.
4. Gestión del riesgo de terceros
Uno de los principales objetivos de DORA es que las entidades financieras sean responsables de gestionar y mitigar los riesgos de terceros, una tarea desafiante, por decir poco.
Esto implica, por ejemplo, realizar evaluaciones de riesgo para los contratos de externalización o asegurarse de que los contratos con proveedores externos de servicios ICT incluyan todos los detalles necesarios de supervisión y accesibilidad, así como cláusulas contractuales vinculantes.
5. Intercambio de información
DORA anima a las entidades financieras y a las autoridades a compartir información e inteligencia sobre ciberamenazas y vulnerabilidades. Trabajando juntas, pueden responder mejor a los nuevos riesgos. Las entidades financieras deberán implantar sistemas para revisar la información compartida y actuar en consecuencia.
Cómo pueden las organizaciones empezar a prepararse para DORA ahora
Aunque las ESA no desarrollarán y comunicarán plenamente los estándares técnicos y los requisitos de DORA hasta el próximo año, hay pasos que las entidades financieras pueden dar para garantizar un cumplimiento más fluido cuando llegue el momento.
El paso más importante será una evaluación de brechas (gap assessment) durante la cual las entidades financieras pueden referirse a otras regulaciones existentes y asegurarse de estar al día con las expectativas de seguridad actuales. Se asume que DORA incluirá la mayoría de los estándares y reglas existentes, así que este es el paso básico que las organizaciones pueden dar para no quedarse demasiado rezagadas cuando se concreten las implicaciones de DORA.
Una de esas regulaciones es NIS2, la directiva europea «Network and Information Security».
Las instituciones también pueden revisar su sistema de gestión de la seguridad de la información mediante el estándar internacional ISO 27001.
Es vital que las instituciones mantengan sus políticas de seguridad de los datos lo bastante ágiles como para implementar cualquier implicación adicional que DORA pueda traer.
¿Cómo puede Safetica ayudarle a cumplir con DORA?
¿Siente que esperar a que DORA defina los estándares técnicos regulatorios y de implementación acorta aún más el ya escaso periodo de preparación? No se equivoca. Contar con un socio experimentado puede aportarle tranquilidad. Utilizar una solución DLP robusta también hará que la protección frente a la pérdida de datos sea más fácil, eficaz y rápida.
Por ejemplo, supervisar y evaluar manualmente la seguridad ICT sería una tarea enorme, propensa a descuidos y retrasos. Pero aprovechando soluciones DLP como las de Safetica, las entidades financieras pueden mejorar sus capacidades de gestión de riesgos y adelantarse a las amenazas emergentes de forma más eficiente y eficaz.
Al adoptar soluciones DLP con funciones de respuesta rápida, las entidades financieras pueden reforzar su capacidad de identificar y reaccionar con rapidez ante posibles incidentes de seguridad. Con alertas en tiempo real y evaluación de riesgos automatizada, las entidades financieras pueden actuar con rapidez para mitigar amenazas y proteger los datos sensibles.
Con Safetica y sus políticas DLP, puede asegurarse de estar listo no solo para DORA, sino también para cumplir con otras regulaciones, como GDPR, PCI DSS, HIPAA, CMMC y más.