Por fin se está reconociendo la importancia que merece la resiliencia digital. La idea se refiere a la capacidad de una organización para mantener sus operaciones esenciales durante las interrupciones, que pueden considerarse los peores escenarios, como ataques cibernéticos o incluso desastres naturales.
EL Ley de resiliencia operativa digital (DORA), no es una sugerencia. Es obligatorio. Se trata de una nueva regulación europea diseñada para fortalecer la columna vertebral digital del sector financiero y garantizar la estabilidad.
Si bien muchas empresas pueden poner los ojos en blanco ante el aumento del papeleo y los saltos, DORA es importante. El objetivo es estandarizar la forma en que las empresas financieras gestionan los riesgos digitales en todo el bloque y, con el aumento de las amenazas cibernéticas, las interrupciones operativas son en realidad más comunes.
Pilares clave de la Ley de Resiliencia Operacional Digital (DORA)
DORA se basa en algunos pilares clave.
Gestión de riesgos TIC
En primer lugar, la gestión integral de los riesgos de las TIC es una prioridad obligatoria. Las organizaciones deben identificar, evaluar y luego mitigar todos los riesgos de las TIC. Es esencial establecer líneas claras de rendición de cuentas.
Informe de incidente
En segundo lugar, es necesario informar de incidentes. Los incidentes relacionados con las TIC deben informarse con prontitud a las autoridades y se requiere un protocolo de respuesta estructurado.
Pruebas de resiliencia
En tercer lugar, DORA requiere pruebas de resiliencia operativa digital. Esto incluye evaluaciones de vulnerabilidad, pruebas de penetración y análisis de escenarios: empresas como Tarlógico ayudar a encontrar debilidades en el sistema.
Riesgo de terceros
En cuarto lugar, se hace especial hincapié en la gestión de riesgos de terceros. Ahora se exige a las instituciones financieras que lleven a cabo la diligencia debida sobre los proveedores de servicios de TIC. También son necesarios contratos sólidos y un seguimiento constante.
Intercambio de información
Finalmente, DORA fomenta el intercambio de información. Esto permite intercambios colaborativos de inteligencia sobre amenazas, fortaleciendo las defensas colectivas.
¿A quién afecta DORA?
DORA afecta directamente a las entidades financieras reguladas y ha aumentado la demanda de soluciones de ciberseguridad bancaria. Los bancos, las compañías de seguros, las empresas de inversión y los proveedores de servicios de pago se ven afectados. Pero su alcance es en realidad mucho más amplio e incluye a terceros proveedores de servicios de TIC, como se señaló anteriormente. Estos son los socios tecnológicos esenciales de los que dependen las empresas financieras. Por tanto, cualquier organización que apoye el ecosistema financiero sentirá el impacto de DORA.
Impacto en la cadena de suministro
Incluso las pequeñas empresas que ofrecen soluciones en la nube o servicios de ciberseguridad se ven afectadas, con la intención de crear un efecto dominó. mucho las empresas necesitan conocer y comprender la legislación, ya que la influencia de DORA es más amplia de lo que algunos podrían pensar.
¿Qué deberían hacer las organizaciones?
Marcos e informes
Una implicación clave es comenzar a establecer marcos sólidos de gestión de riesgos, con un enfoque en la mitigación y la identificación de riesgos. responsabilidad claraasí como un proceso de respuesta a incidentes. Los reguladores deben ser informados con prontitud de cualquier incidente cibernético importante.
Pruebas y diligencia debida
Las pruebas de resiliencia requerirán pruebas frecuentes y exhaustivas de los sistemas y procesos; también son esenciales una rigurosa diligencia debida en la gestión de terceros y un seguimiento continuo. Recuerde que los contratos deben definir claramente las responsabilidades.
Cultura organizacional
Es importante no pasar por alto la magnitud de estas implicaciones y la probable necesidad de un cambio cultural. La concientización sobre la resiliencia digital debe integrarse en todos los niveles de una empresa, a través de programas de capacitación y concientización.
La implementación de DORA no estará exenta de dificultades y serán necesarias inversiones. Las instituciones más pequeñas pueden tener dificultades con los recursos, aunque a menudo tienen el potencial de adaptarse para permitir cambios rápidos. Es probable que tanto las pequeñas como las grandes empresas necesiten ayuda externa, y las industrias adyacentes deberían tomar nota, porque podrían ser las siguientes.
