Dora: la respuesta regulatoria al contexto tecnológico

La nueva resiliencia del sector financiero

 

 

La Comisión Europea, consciente de los nuevos retos a afrontar, ha propuesto la ley DORA, «Digital Operational Resilience Act» («Ley de resiliencia operativa digital»), un nuevo marco legislativo dedicado al sector financiero y orientado a obtener una mayor resiliencia operativa digital.

La ley Dora será plenamente aplicable a partir de enero de 2025 y actualmente es uno de los principales pilares de la nueva estrategia europea de innovación en el panorama financiero para acompañar a las entidades financieras en su camino hacia la digitalización.

Richiedi informazioni

La transformación digital ha traído cambios y beneficios importantes en términos de eficiencia e innovación en la prestación de servicios al mercado.

Las entidades financieras han obtenido beneficios de las tecnologías de la información y la comunicación (TIC) pero, al mismo tiempo, están expuestas a nuevos riesgos propios de la informática.

La Comisión Europea, consciente de los nuevos retos, aprobaba en enero de 2023 la «Digital Operational Resilience Act» (DORA), un nuevo marco legislativo dedicado al sector financiero cuyo objetivo primordial es mejorar su resiliencia operativa digital.

El reglamento DORA entrará en vigor a partir de enero de 2025 y actualmente es uno de los principales pilares de la nueva estrategia europea de innovación en el panorama financiero para acompañar a las entidades financieras en su camino hacia la digitalización. Supone un importante cambio de paradigma respecto a modelos anteriores, pensado para reforzar los requisitos y estándares de seguridad de las TIC.

Objetivos para las entidades financieras

Los requisitos clave se dividen principalmente en las 5 siguientes áreas:

  1. Gestión de riesgos de las TIC
    • Identificar el panorama de los riesgos de las TIC mediante la preparación de un marco completo para su gestión.
    • Implementar un sistema de gestión de la seguridad de la información bien estructurado y reconocido internacionalmente.
  2. Clasificación y notificación de incidencias relacionadas con las TIC
    • Mejorar los procesos de gestión y clasificación de incidencias de las TIC, desarrollando aún más la capacidad de monitorización, gestión y seguimiento de las mismas.
    • Informar de los incidentes más graves a la autoridad competente de acuerdo con lo definido en la propuesta de reglamento.
  3. Gestión de riesgos de las TIC de terceros
    • Considerar el riesgo de las TIC de terceros como parte del marco general de gestión de riesgos de TIC de la organización.
    • Adoptar, revisar y monitorizar periódicamente la estrategia de riesgo de las TIC de terceros.
    • Mantener un registro de información que describa todos los acuerdos contractuales con terceros que sean proveedores de servicios de TIC, incluidas todas las disposiciones contractuales específicas.
  4. Pruebas de resiliencia operativa digital
    • Implementar un programa de pruebas de resiliencia operativa digital basado en el riesgo, en el que todos los sistemas considerados críticos por la organización se sometan anualmente a pruebas apropiadas, como evaluación y escaneo de vulnerabilidades, análisis de código abierto y evaluación de seguridad de la red.
    • Algunas entidades financieras deben realizar «advanced threat led penetration testing» (pruebas de penetración vinculadas a amenazas avanzadas, TLPT) cada tres años.
  5. Intercambio de información entre entidades financieras
    • Compartir información y datos de inteligencia sobre amenazas cibernéticas para mejorar la resiliencia operativa digital de las entidades financieras.

Marco de evaluación de DORA

Exprivia, como proveedor de servicios de TIC, gracias a su experiencia en el campo de la ciberseguridad, ya ha puesto en marcha actividades de consultoría específicas para acompañar a las entidades financieras en el cumplimiento del reglamento DORA y es capaz de cubrir todas las áreas de esta última con iniciativas concretas.

Dora: la respuesta regulatoria al contexto tecnológico 

Figure 1: la Gestión del Programa de Exprivia está estructurada para coordinar y realizar seguimiento de las áreas marcadas por el normativa DORA, que entrará en vigor en enero de 2025.

El equipo de ciberseguridad de Exprivia coordinará todas las iniciativas vinculadas a DORA, apoyando a las entidades financieras a través de tres principales fases:

Un servicio de evaluación de la ciberseguridad que permitirá, gracias a una herramienta específica, realizar un rápido análisis de la conformidad con el reglamento DORA para identificar las posibles brechas que se deben afrontar con respecto a los ámbitos del reglamento.

Un servicio de análisis de brechas que, a partir de la evaluación realizada en la primera fase, permitirá identificar en profundidad las vulnerabilidades y riesgos presentes dentro de la organización.

En esta fase se realizará un estudio preciso y se entregará a la organización un informe completo con recomendaciones y las mejores prácticas para afrontar las brechas identificadas.