DORA: La legislación europea para instituciones financieras también impone requisitos a los proveedores de servicios TIC

Con menos de un año restante antes de la fecha límite de implementación de DORA, las instituciones financieras, que ya suelen cumplir con gran parte de la legislación de seguridad, tienen tarea adicional. La segunda versión de DORA se publicará a mediados de este año, proporcionando mayor claridad sobre los requisitos exactos. Las instituciones financieras y otras partes involucradas harían bien en monitorear esto de cerca, lo que les permitirá prepararse para el cumplimiento.

Requisitos clave y cambios bajo DORA

Un requisito clave bajo DORA es la implementación de un marco de gestión de riesgos. Este marco debe proporcionar claridad sobre los riesgos de seguridad a los que está expuesta la organización y qué medidas apropiadas se están tomando.

La junta directiva y la gerencia deben estar activamente informadas sobre las tácticas en evolución de los ciberdelincuentes y las amenazas específicas relevantes para el negocio. Las organizaciones obligadas por DORA deben tener acceso a un 'feed de inteligencia de amenazas' para poder recibir información sobre amenazas de manera estructurada y anticiparse a ellas. Los bancos y aseguradoras más grandes suelen tener un equipo dedicado para recopilar y analizar información sobre amenazas. Sin embargo, las organizaciones más pequeñas pueden necesitar adquirir esta información externamente, con proveedores de servicios de Detección y Respuesta Gestionada (MDR) desempeñando un papel valioso en compartir e interpretar la información sobre amenazas.

Este enfoque de marco de riesgos se ve con mayor frecuencia como parte de la nueva legislación europea y marca una tendencia positiva. En lugar de simplemente prescribir medidas específicas a cumplir, las reglas ahora enfatizan un análisis exhaustivo de riesgos como primer paso. Este desarrollo promueve un enfoque más reflexivo hacia la ciberseguridad, donde las medidas se toman basándose en una comprensión bien fundamentada del panorama de riesgos de una organización.

Gestión de continuidad del negocio

Otro cambio significativo bajo DORA es el requisito de contar con un plan robusto de continuidad del negocio. Este plan debe detallar cómo la empresa responderá a incidentes, qué sistemas son críticos para las operaciones, cuáles son los planes de recuperación y qué acuerdos existen con proveedores respecto a la continuidad de sus servicios. Es crucial que este plan se practique regularmente, tal como lo prescribe DORA. En la práctica, a menudo se descubre que hay mucho por organizar. Es esencial considerar protocolos de comunicación, como recopilar información de contacto alternativa en caso de que el correo electrónico no esté disponible, e identificar responsabilidades de reemplazo en ausencia de personal clave. Nuevamente, las instituciones financieras más grandes suelen tener mucho organizado para asegurar su continuidad, pero esto implicará un trabajo adicional considerable para las instituciones financieras medianas y pequeñas.

Mecanismos efectivos de detección

DORA también requiere que se establezcan mecanismos efectivos de detección dentro de los entornos de TI de las instituciones financieras. Esto significa monitoreo activo para detectar posibles incidentes de manera oportuna. Muchas instituciones grandes cuentan con su propio Centro de Operaciones de Seguridad o un tercero contratado responsable del monitoreo, detección y respuesta. Para las partes que aún no cuentan con capacidad propia o contratada de detección, es necesario acelerar el desarrollo de capacidad interna o la externalización.

Obligaciones de reporte y pruebas

Otro cambio bajo la legislación DORA es la obligación de reporte en caso de incidentes. Aunque los plazos exactos aún están por determinarse, los requisitos son claros: un reporte inicial sobre un incidente, seguido de reportes intermedios sobre cambios, y finalmente un reporte detallado sobre las causas raíz, las medidas de mitigación tomadas y un análisis del impacto.

Además de la obligación de reporte, DORA también impone requisitos estrictos para pruebas de seguridad, especialmente simulaciones de ataque. Las instituciones financieras deben realizar estas pruebas al menos anualmente por un equipo independiente interno o externo. Cada tres años, también debe realizarse una prueba más avanzada, basada en inteligencia de amenazas actual. Un ejemplo de tal prueba es TIBER (Threat Intelligence Based Ethical Red Teaming), basado en el marco de pruebas del Banco Central de los Países Bajos, inspirado en el método británico original, que ahora también tiene una variante de la UE (TIBER.EU). Estas pruebas están destinadas a simular ataques por actores más avanzados de la manera más realista posible, principalmente para probar la efectividad de los mecanismos de defensa. Este tipo de prueba solo puede ser realizada por equipos certificados con experiencia demostrable en simulaciones realistas de ataques.

Cumplimiento

En línea con la obligación de reporte, la posibilidad de sanciones es también un cambio importante. No cumplir con la Ley de Resiliencia Operacional Digital puede tener consecuencias significativas en forma de multas. Estas multas pueden ascender al 2% de la facturación global, con un máximo de un millón de euros para individuos. Para proveedores de servicios TIC, las sanciones pueden alcanzar los cinco millones de euros, con una posibilidad de medio millón para individuos responsables del incumplimiento. Estas sanciones financieras enfatizan la importancia de cumplir de manera oportuna y exhaustiva con las regulaciones DORA para asegurar la resiliencia operativa y la ciberseguridad de las instituciones financieras y proveedores de servicios TIC.

Cómo empezar con DORA

DORA tiene un impacto significativo en las organizaciones dentro del sector financiero y más allá. Mientras que los grandes bancos y aseguradoras ya cumplen en gran medida con requisitos similares, las instituciones más pequeñas como los intercambios de criptomonedas y proveedores de servicios TIC necesitarán hacer esfuerzos significativamente mayores para cumplir con los nuevos estándares. Esto incluye a terceros, que ahora también están sujetos a cumplimiento obligatorio. DORA profundiza más que la directiva NIS2, con pruebas específicas y uniformes, lo que requiere un enfoque exhaustivo y demostrable hacia la ciberseguridad.

Para las instituciones financieras medianas y pequeñas, esto significa que hay mucho trabajo por hacer. Implementar una estrategia efectiva requiere tiempo y dedicación, con la junta directiva y la gerencia desempeñando un papel crucial y siendo activamente responsables del cumplimiento de los requisitos de DORA. Asegurar la seguridad debe basarse en un enfoque de gestión de riesgos, con la capacidad de contar con un Centro de Operaciones de Seguridad interno o externo, monitorear y anticipar amenazas actuales, y apoyar la preparación ante incidentes con medidas de continuidad específicas y pruebas de efectividad. Todo esto para poder detectar y reportar incidentes de manera oportuna y evitar multas derivadas del incumplimiento.

¿Más información o asesoramiento?

¿Desea saber más sobre DORA u otra legislación de ciberseguridad? ¿O quiere discutir las medidas que su empresa necesita tomar? Contáctenos en [email protected].