EL Ley de resiliencia operativa digital (DORA) entrará en vigor el 17 de enero de 2025. Después de esta fecha, los bancos, otras instituciones financieras y todas las organizaciones que brindan servicios y productos en el sector financiero de la UE estarán obligados por ley a cumplir con el reglamento.
Esto incluye reglas explícitas en áreas como la notificación de incidentes, la gestión de riesgos de TIC, las pruebas de resiliencia operativa y el control de riesgos de terceros de TIC. Se ha reconocido específicamente que la resiliencia operativa en particular, o más bien la falta de ella, tiene el potencial de poner en riesgo a todo el sistema financiero en el contexto de un incidente grave.
¿Por qué el Reino Unido debería tomar nota?
Si bien el objetivo fundamental de DORA es aplicar un conjunto uniforme de requisitos para la seguridad de la infraestructura de TI de las empresas y organizaciones del sector financiero en toda la UE, también se aplica a
cualquier tercero brindándoles servicios relacionados con las TIC. Esto puede ser, por ejemplo, análisis de datos o servicios de aprovisionamiento en la nube.
Por lo tanto, todas las empresas deberán asegurarse de que pueden mitigar, responder y recuperarse de la gran cantidad de posibles interrupciones y amenazas relacionadas con TI que pueden enfrentar. Esto abarca todo el sector financiero, desde la gestión de activos, el crédito, los proveedores de servicios de criptoactivos, la banca y los seguros hasta las empresas de inversión.
¿Cómo pueden prepararse mejor las empresas?
Tradicionalmente, las capacidades de las instituciones financieras para detectar, responder, recuperarse y protegerse contra infracciones, ataques cibernéticos, compromiso de datos y otros incidentes cibernéticos graves varían ampliamente de una organización a otra.
Un área clave que las organizaciones pueden considerar explorar cuando se preparan para cumplir con DORA es asegurarse de que tengan las habilidades y capacidades necesarias. Hay varias vías para explorar aquí, que incluyen:
- Entrenamiento regular – las instituciones financieras tendrán que poner en marcha un programa de formación regular, no sólo para el personal específicamente responsable de TI y seguridad, sino también para la dirección/equipo de gestión. La seguridad informática y las mejores prácticas deben ser una parte integral de la capacitación de todo el personal, incluida la alta gerencia. Hay una serie de simulacros de práctica que pueden resultar útiles para lograr esto, incluida la caza de amenazas, capturar la bandera y fuego real.
- Pruebas de resiliencia – el establecimiento de un programa de prueba de resiliencia operativa digital es un requisito clave bajo DORA. Este programa variará en alcance y complejidad según el perfil de riesgo de la organización, el tamaño y la naturaleza del negocio. Sin embargo, todas las empresas financieras deberán asegurarse de que sus sistemas y aplicaciones de TI sean probados al menos una vez al año por una parte independiente. Además, se deben realizar pruebas de penetración más avanzadas basadas en amenazas (también conocidas como evaluación del equipo rojo/púrpura) al menos cada tres años.
es hora de actuar
Aunque el 2025 pueda parecer lejano, la realidad es que se deben dar los pasos necesarios para asegurar el cumplimiento de DORA ahora. Cualquier organización que opere o proporcione servicios relacionados con TI al sector financiero dentro de la UE debe comenzar su planificación estratégica y operativa antes de que sea demasiado tarde. También es fundamental saber que si DORA entra en vigor oficialmente el 17 de enero de 2025, la normativa empezará a aplicarse a finales de 2024, es decir, en menos de 18 meses.