• Última actualización

¿Cuáles son los 5 pilares del reglamento DORA?

Cuáles son los 5 pilares del Reglamento DORA imagen de cabecera del blog

El Reglamento de Resiliencia Operativa Digital (DORA) de la Unión Europea consolida las normas de seguridad digital para las entidades financieras de sus territorios miembros. Estos se ejemplifican principalmente a través de las iniciativas clave del marco, también conocidas como los 5 pilares de DORA:

  1. Gestión de riesgo relacionado con las TIC
  2. Incidentes relacionados con las TIC
  3. Pruebas de resiliencia operativa digital
  4. Gestión del riesgos de terceros relacionados con las TIC
  5. Intercambio de información

El DORA complementa la Directiva reforzada sobre Seguridad de las Redes y de la Información 2 (NIS2). Sin embargo, a diferencia del NIS2, el DORA es una normativa de obligado cumplimiento similar al Reglamento General de Protección de Datos de la UE (RGPD). Si trabajas en los sectores financiero y de TI, aquí tienes todo lo que necesitas saber sobre los requisitos de ciberseguridad del DORA.

Los 5 pilares del reglamento DORA

Las instituciones financieras son conocidas por sus complejas infraestructuras informáticas. Estas tecnologías permiten a las organizaciones optimizar el rendimiento y las medidas de seguridad de nuevas formas, pero también exigen soluciones de gestión de riesgos más sólidas.

El DORA pretende cubrir estas lagunas introduciendo una serie de requisitos que eleven el nivel de las normas sobre tecnologías de la información y la comunicación (TIC) en todo el sector financiero. En conjunto, la filosofía y la visión de DORA se resumen en los siguientes pilares:

  1. Gestión de riesgos de las TIC

La gestión de riesgos informáticos es la piedra angular del marco del DORA. Abarca las estrategias, políticas y herramientas necesarias para proteger los datos y activos frente a importantes retos de las TIC.

Este pilar garantiza que las instituciones financieras y las distintas partes interesadas controlen, evalúen y contengan con prontitud y precisión las vulnerabilidades relacionadas con las TIC. También cubre cómo informan y responden a tales incidentes. Las empresas financieras y sus proveedores de servicios externos asociados deben estar preparados para auditorías y evaluaciones de seguridad periódicas.

Los responsables de TI deben desarrollar un marco integral de gestión de riesgos de TIC para cumplir los requisitos de conformidad del DORA. Esto puede significar aprovechar los protocolos existentes y redefinir determinados objetivos y funciones en la organización. Un plan de acción exhaustivo debe incluir un enfoque proactivo y coherente de la gestión de riesgos.

  1. Notificación de incidentes relacionados con las TIC

En virtud del DORA, las organizaciones deben colaborar con las autoridades competentes para hacer frente a incidentes graves relacionados con las TIC.

Los incidentes también deben clasificarse inmediatamente en función de su impacto y potencial para perturbar los niveles de servicio. También deben notificarse a las autoridades pertinentes utilizando los estrictos plazos de notificación de DORA y las plantillas estándar.

Dado el mayor énfasis en la notificación de incidentes de TIC, los responsables de TI deberían estudiar el refuerzo de los procedimientos internos de revisión y documentación. Una forma de conseguirlo es mediante la automatización.

La automatización puede aplicar un plan de gestión de riesgos más completo y conectado. Para empezar, un software de supervisión avanzada puede ayudar a las organizaciones a anticiparse a posibles problemas con supervisión, detección de amenazas y respuesta en tiempo real. Al mismo tiempo, este enfoque moderno puede reforzar las prácticas de copia de seguridad y recuperación.

  1. Pruebas de resiliencia operativa digital

DORA también aboga firmemente por la comprobación periódica de las medidas de resistencia digital. En otras palabras, se espera que las organizaciones analicen el impacto de escenarios específicos e interrupciones significativas en su negocio. En relación con esto, puede exigirse a las grandes instituciones que sigan protocolos de pruebas más exhaustivos y frecuentes.

Algunas medidas proactivas que pueden organizar los informáticos son pruebas de seguridad de la red y diversas evaluaciones de vulnerabilidad. También deberías organizar evaluaciones periódicas de las amenazas para ayudar a identificar las lagunas en el proceso y reforzar los esquemas de seguridad y los planes de corrección existentes. Las entidades financieras también deben incluir a terceros de TIC en programas de formación sobre resiliencia de ciberseguridad como parte de los requisitos.

  1. Gestión del riesgo de las TIC frente a terceros

Uno de los puntos cruciales del marco del DORA se refiere a la gestión de los riesgos de terceros y el cumplimiento de la normativa.

Desde una perspectiva más amplia, hace realidad la responsabilidad ampliada de las organizaciones financieras de los territorios miembros de adherirse a las disposiciones y leyes de la UE en materia de TIC.

En virtud de esta directriz, las entidades financieras deben garantizar que los contratos con terceros proveedores de servicios de TIC, incluso los de fuera de la UE, definan con claridad y precisión las obligaciones y derechos de ambas partes. También deben supervisar y evaluar periódicamente el cumplimiento por parte de terceros.

Las empresas financieras no pueden depender en gran medida de un único proveedor para sus funciones básicas e infraestructuras informáticas críticas. Por lo tanto, deben tomar la iniciativa de diversificar las infraestructuras informáticas y desarrollar protocolos estrictos para mantener el cumplimiento en todos los ámbitos.

En este sentido, los terceros proveedores de servicios TIC de operaciones esenciales o cruciales también estarán sujetos a la supervisión directa de las Autoridades Europeas de Supervisión (AES) pertinentes.

  1. Intercambio de información e inteligencia

También se anima a las instituciones a participar en iniciativas de intercambio de información para elevar colectivamente las normas del sector. Además de mejorar el proceso de elaboración de informes, la documentación y la colaboración interfuncional dentro de la empresa, los responsables de las TIC deben aprovechar la colaboración con las autoridades y los proveedores de servicios externos.

Consecuencias del DORA para las empresas

El objetivo principal del DORA es mejorar la seguridad informática y la resistencia operativa del sector financiero.

Las empresas que están al frente de esta iniciativa son entidades bancarias y de crédito, empresas de inversión, compañías de seguros y proveedores de servicios de procesamiento de pagos.

Además, los proveedores de servicios en la nube y las empresas de análisis de datos que gestionan servicios esenciales para las entidades financieras pueden clasificarse como proveedores terceros críticos y estar sujetos a disposiciones y leyes rigurosas similares.

Para prepararse para la implantación del DORA, las organizaciones deben comprender el alcance y los requisitos que el DORA les impone a ellas y a sus socios comerciales. También se beneficiarán de trabajar con proveedores de servicios externos que ya respetan las directrices NIS2, GDPR y DORA.

Para los responsables y el personal de TIC, el cumplimiento de la normativa debe tratarse como un proceso y no como un proyecto. Los protocolos TIC ajustados deben ser adaptables, especialmente a medida que se disponga de nueva información. El planteamiento global debe ser continuo, y todos los implicados deben estar preparados para la colaboración y la formación periódica.

Buenas prácticas para cumplir el reglamento DORA

Diversifica las infraestructuras informáticas

Una forma de crear una infraestructura informática sólida es diversificarla. Hay muchas formas de llevar a cabo esta iniciativa, pero la mayoría de las empresas pueden plantearse en primer lugar la modernización de algunos componentes y la automatización de TI. La supervisión y el mantenimiento a distancia pueden contribuir a mejorar la eficacia y la seguridad en tiempo real.

Potencia los canales internos para una formación y colaboración interfuncional

Las carencias en TIC no son exclusivas del departamento de TI. La empresa necesita un enfoque global para identificar vulnerabilidades y reforzar protocolos. Los canales de comunicación que abarcan diferentes departamentos y unidades de negocio son importantes para aumentar la concienciación y el cumplimiento en toda la organización.

Colabora con las partes interesadas externas

Los 5 pilares del reglamento DORA ya han destacado la importancia de la colaboración, y aquí queremos resaltarla aún más. Tu organización debería mantener la cooperación con los organismos reguladores para obtener la interpretación más precisa y actualizada del DORA. Del mismo modo, deberías exigir lo mismo a los proveedores, especialmente a los que prestan servicios a los sectores críticos de tu empresa. Por lo tanto, incluye también a las partes interesadas externas en la formación sobre las TIC y el DORA siempre que sea posible.

Implementa el modelo GRC en tu estrategia

El modelo GRC (Governance, Risk, and Compliance) puede ayudar a posicionar a la plantilla para lograr el cumplimiento del DORA de forma colaborativa. En esencia, el marco GRC elimina las barreras tradicionales entre las unidades de negocio, suprime los procesos inconexos y las redundancias, y alinea las TI con los objetivos empresariales.

El marco de GRC puede ser especialmente eficaz para cumplir las normativas industriales y gubernamentales y gestionar los riesgos. Para que tenga éxito, esta iniciativa necesita un fuerte apoyo de todos los sectores, especialmente de los dirigentes. Encontrar el software adecuado para consolidar los esfuerzos de GRC también puede crear retos únicos para la empresa.

Prepara a tu organización para el cumplimiento del DORA

El reglamento DORA es relativamente nuevo, pero sus disposiciones están en su mayoría unificadas a partir de las normas de cumplimiento de TI existentes como GDPR y NIS2. De ahí que debas aprovechar esos recursos para fortificar y establecer tu propio plan de gestión de riesgos, componentes informáticos y programas de formación. Si bien las iniciativas del DORA plantean muchos retos nuevos, los responsables de cumplimiento y los profesionales de TI deberían aprovechar la oportunidad para alinear su estrategia de TIC y presionar a los responsables de la toma de decisiones para que actualicen las infraestructuras de TI con beneficios y ramificaciones tanto inmediatas como a largo plazo.

[próximos pasos]
Comienza tu prueba gratuita

Quizá también te interese…

hervorragender Servicio excelencia en el servicio

Excelencia en el servicio: la ventaja competitiva que necesitan los MSP en 2025

IT Department Guide: Training Employees on New IT Tools blog banner image formar a los empleados en nuevas tecnologías

Guía para el departamento de TI: formar a los empleados en nuevas tecnologías

What Is ISO Compliance blog banner image

¿Qué es el cumplimiento de las normas ISO? Visión general e importancia

Sicurezza informatica MSP

Checklist de ciberseguridad para MSP: pasos prácticos para proteger tu empresa del ransomware y otras amenazas

break fix e servizi gestiti a confronto servicios gestionados

«Break/fix» vs. servicios gestionados: ¿en qué se diferencian y cuál es el mejor modelo para ti?

Cómo vencer el burnout: guía de supervivencia para MSP

Volver a la página de inicio del blog
¿Listo para simplificar los aspectos más complejos de las TI?
Comienza una prueba gratuita
Ver una demo
×

¡Vean a NinjaOne en acción!

Al enviar este formulario, acepto la política de privacidad de NinjaOne.

Términos y condiciones de NinjaOne

Al hacer clic en el botón «Acepto» que aparece a continuación, estás aceptando los siguientes términos legales, así como nuestras Condiciones de uso:

  • Derechos de propiedad: NinjaOne posee y seguirá poseyendo todos los derechos, títulos e intereses sobre el script (incluidos los derechos de autor). NinjaOne concede al usuario una licencia limitada para utilizar el script de acuerdo con estos términos legales.
  • Limitación de uso: solo podrás utilizar el script para tus legítimos fines personales o comerciales internos, y no podrás compartirlo con terceros.
  • Prohibición de republicación: bajo ninguna circunstancia está permitido volver a publicar el script en ninguna biblioteca de scripts que pertenezca o esté bajo el control de cualquier otro proveedor de software.
  • Exclusión de garantía: el script se proporciona «tal cual» y «según disponibilidad», sin garantía de ningún tipo. NinjaOne no promete ni garantiza que el script esté libre de defectos o que satisfaga las necesidades o expectativas específicas del usuario.
  • Asunción de riesgos: el uso que el usuario haga del script corre por su cuenta y riesgo. El usuario reconoce que existen ciertos riesgos inherentes al uso del script, y entiende y asume cada uno de esos riesgos.
  • Renuncia y exención: el usuario no hará responsable a NinjaOne de cualquier consecuencia adversa o no deseada que resulte del uso del script y renuncia a cualquier derecho o recurso legal o equitativo que pueda tener contra NinjaOne en relación con su uso del script.
  • CLUF: si el usuario es cliente de NinjaOne, su uso del script está sujeto al Contrato de Licencia para el Usuario Final (CLUF).
Acepto