/
  • Last updated
/
  • 9 min read

Reglamento de Resiliencia Operativa Digital (DORA): una checklist de cumplimiento

Reglamento de Resiliencia Operativa Digital (DORA): una checklist de cumplimiento

El Reglamento de Resiliencia Operativa Digital (DORA) establece la norma de protección digital para las entidades financieras que operan en la Unión Europea (UE), lo que implica a terceros proveedores de servicios críticos y a las autoridades extranjeras. Esta ley impone normas estrictas para adelantarse a las modernas ciberamenazas dirigidas al sector financiero, y si sigues la lista que hemos elaborado podrás simplificar el proceso de cumplimiento.

Este artículo describe los requisitos necesarios para el cumplimiento del DORA, los componentes clave y los pasos concretos que debes seguir.

Cumplimiento del DORA: pasos clave

Antes de empezar, es importante que revises la legislación completa del DORA con tu equipo jurídico para ver si es aplicable a tu organización. He aquí algunas buenas prácticas que las instituciones financieras de la UE y los proveedores de servicios críticos pueden poner en marcha para garantizar el cumplimiento total de los requisitos de ciberseguridad del DORA.

1. Análisis de las deficiencias de cumplimiento

  • Realiza una revisión inicial: haz una revisión completa de las necesidades del DORA y determina el tamaño del proyecto y el presupuesto para su adopción.
  • Identifica lo que falta: compara tu infraestructura digital actual con los requisitos del DORA.
  • Clasifícalas en función de su importancia: prioriza estratégicamente las mayores «lagunas» de tu infraestructura.
  • Crea un plan de proyecto: esboza posibles subproyectos y objetivos.
  • Trabaja con una fecha límite: crea planes de acción con plazos definidos para «tapar los agujeros» dentro de tu marco y acercarte lo más posible a las normas DORA.

2. Gestión de riesgo relacionado con las Tecnologías de la información y la comunicación (TIC)

  • Detecta los riesgos: identifica los puntos más débiles de tu infraestructura de Tecnologías de la Información y la Comunicación y documenta el proceso.
  • Prepara imprevistos: planifica cómo abordarás determinados incidentes, asigna responsabilidades y ten listos los procedimientos de continuidad de la actividad en caso de que tu sistema sufra un ataque.
  • Supervisa los sistemas críticos: vigila las partes más importantes de tu infraestructura TIC las 24/7 para detectar y hacer frente a las amenazas en una fase temprana.

Evalúa las vulnerabilidades de tu sistema, los riesgos potenciales y prepara un plan de respuesta contundente. La gestión del riesgo de catástrofes está en el centro mismo del DORA, y sus principales pilares giran en torno a ella.

3. Notificación de incidentes relacionados con las TIC

  • Identifica, escala e informa: sigue los protocolos específicos del DORA a la hora de diseñar los flujos de trabajo para los informes de incidentes y abordar la prioridad.
  • Establece un calendario: todas las notificaciones deben documentarse, enviarse y elevarse rápidamente a una autoridad competente designada por el Estado de la UE.
  • Informa a las jurisdicciones locales de forma adecuada: las instituciones deben informar de las toda actividad ilegal (por ejemplo, evasión fiscal, blanqueo de dinero) a las autoridades pertinentes.

Los bancos y las compañías de seguros están obligados por ley a informar de los incidentes cuando se producen en la UE y fuera de ella. Por ello, casi siempre intervienen terceras empresas de TIC para acelerar el proceso y, dado que están muy vinculadas a infraestructuras clave, el DORA también debe tener en cuenta a estas empresas.

4. Gestión de riesgos de terceros

  • Evalúa a los proveedores en busca de riesgos potenciales: las instituciones financieras deben vigilar los acuerdos de subcontratación de TIC deficientes que puedan ponerlas en peligro.
  • Protege los contratos: los acuerdos jurídicamente vinculantes añaden un incentivo considerable para atenerse a las expectativas de seguridad y cumplimiento.
  • No pierdas de vista a los proveedores externos: sigue y controla el acceso de cada proveedor a tus sistemas TIC.
  • Organiza cursos de sensibilización sobre el DORA: invita a terceros proveedores de TIC a seminarios sobre el cumplimiento del DORA para que todos estén en sintonía.

Un buen historial es esencial a la hora de elegir un socio comercial, y lo mismo cabe decir de los terceros proveedores de las sociedades de inversión de la UE. Esto puede comprobarse mediante programas de formación para garantizar que todo el mundo está de sintonía.

5. Intercambio de información y colaboración

  • No pierdas de vista a las nuevas amenazas: participa en foros de información sobre ciberamenazas y aprende de otros sectores para preparar a tu organización contra los nuevos programas maliciosos.
  • Comunícate a través de canales seguros: crea métodos internos de comunicación e información.
  • Respeta la norma de la UE: todos los organismos reguladores de la UE disponen de normas de ciberseguridad que las entidades de pago deben cumplir. Entre ellas figuran la Agencia de la Unión Europea para la Ciberseguridad (ENISA), que proporciona apoyo experto para mejorar la ciberseguridad y la resiliencia de la UE, y el Consejo Interinstitucional de Ciberseguridad (IICB), que supervisa la aplicación de medidas de ciberseguridad.

El Reglamento DORA apoya el intercambio de conocimientos sobre ciberamenazas emergentes en todos los ámbitos para mejorar la resiliencia digital de la UE en el sector financiero.

6. Pruebas de resiliencia operativa digital

  • Pon a prueba tus límites anualmente: define objetivos de punto de recuperación (RPO) y objetivos de tiempo de recuperación (RTO) para ampliar cada año los límites de la resistencia de tu infraestructura conforme a los requisitos del DORA.
  • Haz simulaciones de seguridad: las pruebas de penetración de tipo threat-led (TLPT) simulan ciberataques reales para poner a prueba tus defensas.
  • Aprende de tus descubrimientos: analiza tus conclusiones y utilízalas para perfeccionar continuamente tus medidas defensivas y cubrir tus puntos débiles.

Poner a prueba tus defensas con simulaciones de ataques reales es la mejor manera de medir la ciberseguridad de tu organización. La gestión de riesgos relacionados con las TIC del DORA exige a las empresas financieras de la UE que comprueben periódicamente que su infraestructura no presenta puntos débiles y que diseñen nuevas formas de proteger los datos de los clientes.

DORA: elementos clave

¿Te has preguntado alguna vez cómo se mantienen seguros los grandes bancos? Las bases de datos distribuidas en línea y las bases de datos electrónicas centralizadas se utilizan como cajas fuertes modernas, y las instituciones financieras siguen normativas como DORA para mantener una seguridad hermética, protegiendo las cuentas de sus clientes.

Los cinco pilares del cumplimiento del DORA:

  1. Gestión de riesgo relacionado con las TIC
  2. Notificación de incidentes relacionados con las TIC
  3. Pruebas de resiliencia operativa digital
  4. Gestión de riesgos de terceros
  5. Intercambio de información

Los principales pilares del DORA crean un marco sólido para mantener la seguridad de las instituciones financieras. Es una especie de manual de instrucciones para la seguridad digital, que permite a grandes empresas como bancos y aseguradoras estar protegidas.

La automatización de determinados aspectos de las políticas y de la gestión de endpoints facilita el proceso y acerca a tu organización a una gestión total del riesgo según los estándares DORA.

¿Por qué las entidades financieras deben cumplir la normativa DORA?

El incumplimiento de la normativa DORA tiene consecuencias graves para las entidades financieras que operan en la UE. Esta reglamentación permite a cada Estado miembro aplicar sus propias sanciones, como por ejemplo:

  • Multas cuantiosas
  • Inspecciones y medidas correctoras
  • Avisos legales
  • Cese de actividad
  • Un costoso proceso de corrección
  • Sanciones penales con arreglo a la legislación de cada Estado miembro

En el caso de las entidades financieras, alinearse con el DORA es esencial para seguir operando en la UE, sobre todo porque el marco se basa en las normativas europeas más importantes en materia de conformidad. Por ejemplo, sigue el ejemplo de la norma ISO 27001 y lo amplía con medidas específicas como la gestión de terceros y los protocolos de respuesta a incidentes, al tiempo que complementa la NIS2, una directiva para la seguridad de los sistemas, mediante una sólida mitigación de las ciberamenazas. Y lo que es más importante, el reglamento DORA permite cumplir las exigencias del RGPD en materia de confidencialidad global de los datos sin perder de vista la evolución de las amenazas.

Buenas prácticas para cumplir el reglamento DORA

Firmeza y cohesión. Organiza continuamente seminarios de formación para tu personal, así como los subcontratistas para que estén al día de las normas legales vigentes en materia de ciberseguridad.

La tecnología emergente puede eliminar tareas tediosas con solo pulsar un botón. Para trabajar mejor y más rápido, haz que todos se familiaricen con las últimas herramientas utilizadas para automatizar los protocolos de seguridad, como el software RMM todo en uno y las mejores herramientas de IA.

Por último, conviene aplicar a todos los niveles normas de documentación conformes con el DORA y realizar auditorías anuales y controles de conformidad. Debes mantenerte entre los mejores del sector, y así se lo demostrarás a la competencia.

Mejora tus estándares de ciberseguridad gracias a la checklist de cumplimiento DORA para instituciones financieras

Para cumplir todos los puntos de la lista, encuentra y soluciona los puntos débiles, informa a tiempo de los incidentes a las autoridades y simula ataques reales a tu sistema para poner a prueba los límites de tu ciberseguridad. También debes evaluar a los proveedores externos. Participa en los intercambios mundiales de información sobre ciberamenazas para mantenerte alerta frente a las amenazas nuevas y emergentes.

Adoptar este marco permite a bancos y aseguradoras ser proactivos en ciberseguridad, reducir el riesgo de vulnerabilidad y generar confianza entre las partes interesadas. No solo se ajusta a la normativa internacional, sino que también posiciona a tu organización como líder en ciberseguridad, animando a más clientes a hacer negocios contigo.

Comienza tu prueba gratuita

Quizá también te interese…

Cómo ver y borrar el historial del solucionador de problemas en Windows 10

Cómo ver y borrar el historial y los detalles del solucionador de problemas en Windows 10

Cómo visualizar y utilizar comandos CMD: Lista y guía

Cómo visualizar y utilizar comandos CMD: una guía completa

Cómo leer los resultados de la herramienta de diagnóstico de memoria en el Visor de sucesos en Windows 10

Cómo leer los resultados de la herramienta de diagnóstico de memoria en el visor de eventos de Windows 10

Cómo activar o desactivar la reparación automática en Windows 10

Cómo activar o desactivar la reparación automática en Windows 10

Cómo añadir o eliminar controladores de dispositivos de hardware en una imagen sin conexión blog banner image

Cómo añadir o eliminar controladores de dispositivos de hardware en una imagen sin conexión con DISM

Cómo cambiar la frecuencia máxima del procesador en Windows blog banner image

Cómo cambiar la frecuencia máxima del procesador en Windows

Volver a la página de inicio del blog
¿Listo para simplificar los aspectos más complejos de las TI?
Comienza una prueba gratuita
Ver una demo
×

¡Vean a NinjaOne en acción!

Al enviar este formulario, acepto la política de privacidad de NinjaOne.

Términos y condiciones de NinjaOne

Al hacer clic en el botón «Acepto» que aparece a continuación, estás aceptando los siguientes términos legales, así como nuestras Condiciones de uso:

  • Derechos de propiedad: NinjaOne posee y seguirá poseyendo todos los derechos, títulos e intereses sobre el script (incluidos los derechos de autor). NinjaOne concede al usuario una licencia limitada para utilizar el script de acuerdo con estos términos legales.
  • Limitación de uso: solo podrás utilizar el script para tus legítimos fines personales o comerciales internos, y no podrás compartirlo con terceros.
  • Prohibición de republicación: bajo ninguna circunstancia está permitido volver a publicar el script en ninguna biblioteca de scripts que pertenezca o esté bajo el control de cualquier otro proveedor de software.
  • Exclusión de garantía: el script se proporciona «tal cual» y «según disponibilidad», sin garantía de ningún tipo. NinjaOne no promete ni garantiza que el script esté libre de defectos o que satisfaga las necesidades o expectativas específicas del usuario.
  • Asunción de riesgos: el uso que el usuario haga del script corre por su cuenta y riesgo. El usuario reconoce que existen ciertos riesgos inherentes al uso del script, y entiende y asume cada uno de esos riesgos.
  • Renuncia y exención: el usuario no hará responsable a NinjaOne de cualquier consecuencia adversa o no deseada que resulte del uso del script y renuncia a cualquier derecho o recurso legal o equitativo que pueda tener contra NinjaOne en relación con su uso del script.
  • CLUF: si el usuario es cliente de NinjaOne, su uso del script está sujeto al Contrato de Licencia para el Usuario Final (CLUF).
Acepto