Prepárese para la Ley de Resiliencia Operacional Digital
Tabla de contenido:
Las organizaciones de servicios financieros tendrán el desafío de mejorar su resiliencia operativa con un conjunto de regulaciones cuyo impacto se expandirá mucho más allá del sector.
La Ley de Resiliencia Operacional Digital (DORA) consolida y amplía las reglas existentes de ciberseguridad y resiliencia operativa para las empresas de servicios financieros que operan en la Unión Europea.
Más específicamente, DORA introduce requisitos específicos y prescriptivos sobre la gestión de riesgos de tecnologías de la información y las comunicaciones (TIC) y la notificación de incidentes. El reglamento fue aprobado por el Consejo de la UE en enero de 2023, iniciando así un período de implementación de 24 meses.
Tanto las empresas del sector financiero como sus proveedores de tecnología TIC (como plataformas en la nube y proveedores de análisis de datos) tienen hasta el 17 de enero de 2025 para cumplir con las nuevas regulaciones.
Will Richmond-Coggan, socio del bufete de abogados británico Freeths y especialista en protección de datos y litigios cibernéticos, comentó: “La necesidad de esta regulación fue impulsada por la creciente dependencia de las instituciones financieras de sus sistemas digitales y la interconexión de esos sistemas en todo el sector financiero.
Desde hace tiempo se exige a los bancos que gestionen el riesgo operativo mediante auditorías, control y acceso a capital suficiente. Las medidas para asegurar la resiliencia operativa frente al creciente problema de los ataques de malware y la piratería informática están menos maduras, una deficiencia que las regulaciones DORA buscan abordar.
"Está claro que el factor clave detrás de la legislación es crear coherencia y certeza en cuanto a la resiliencia tecnológica de cada entidad dentro del sector financiero europeo, junto con sus intermediarios, subsidiarias y proveedores externos", dijo Richmond-Coggan a ISMS.com. . "La legislación tiene como objetivo impulsar una mejora en la transparencia de los incidentes y la solidez del sistema elevando las expectativas mínimas en las empresas de servicios financieros".
cinco pilares
Los cinco pilares clave de la legislación cubren cuestiones tales como Gestión sistemática del riesgo, , informes de incidentes, pruebas de resiliencia estandarizadas, intercambio de inteligencia y gestión de riesgos de terceros.
El reglamento ofrece la oportunidad de mejorar la solidez del sector en su conjunto, pero sólo si “las organizaciones aprovechan las oportunidades para compartir información y inteligencia de amenazas ayudarnos unos a otros para identificar y abordar los puntos débiles”, concluyó Richmond-Coggan.
Luke Dash, director ejecutivo de ISMS.online, comentó: "Uno de los principios críticos de DORA es que las organizaciones deben adoptar un enfoque proactivo que implique la identificación continua de riesgos y el establecimiento de medidas sólidas de protección y prevención".
Dash continuó: "Esto permitirá a las organizaciones identificar y eliminar rápidamente cualquier debilidad, deficiencia o brecha dentro de sus operaciones digitales, salvaguardando la integridad y seguridad de sus sistemas".
John Elliott, asesor de seguridad del proveedor de herramientas de seguridad web Jscrambler, dijo que la introducción de DORA significará que en lugar de simplemente establecer controles preventivos, las organizaciones se verán obligadas a adoptar una "visión más holística que abarque la detección, la respuesta y la recuperación".
"También requiere que las entidades no sólo tengan sistemas resilientes sino que prueben y demuestren su resiliencia", añadió Elliott.
Sentar las bases
Estándares como ISO 27001 puede desempeñar un papel crucial para ayudar a las organizaciones a cumplir con la Ley de Resiliencia Operacional Digital (DORA).
ISO 27001 cubre varias áreas relevantes para el cumplimiento de DORA, incluida la evaluación de riesgos, la respuesta a incidentes, la continuidad del negocio y la resiliencia operativa. "Las organizaciones que ya hayan obtenido la certificación ISO 27001 o hayan implementado sus principios tendrán una base sólida para abordar muchos de los aspectos de seguridad y resiliencia requeridos por DORA", ISMS. explicó Dash en línea.
"Además, el énfasis de ISO 27001 en un enfoque basado en el riesgo y la mejora continua se alinea con el espíritu de DORA, ya que ambos estándares promueven la gestión proactiva de riesgos y la mejora continua de la resiliencia operativa", añadió.
Dash continuó: "La implementación de ISO 27001 puede ayudar a las organizaciones a identificar y abordar vulnerabilidades potenciales, fortalecer su postura de seguridad y establecer los procesos y controles necesarios para cumplir con los requisitos de DORA".
Otros expertos coincidieron en que la aplicación de la norma ISO 27001 sienta las bases para el objetivo más ambicioso de avanzar hacia el cumplimiento de DORA.
Elliott de Jscrambler explicó: “Como el Artículo 5(4) [de DORA] requiere que las organizaciones implementen un Sistema de Gestión de Seguridad de la Información o SGSI, seguir estándares como el 27001 será la opción natural para la mayoría de las organizaciones, ya que les brindará una estructura para la seguridad de su información y poder demostrarle a un regulador que cuentan con un SGSI”.
Dash de ISMS.online añadió que al utilizar 27001 como trampolín, “las organizaciones pueden optimizar sus esfuerzos de cumplimiento y demostrar un compromiso proactivo con la seguridad de la información y la resiliencia operativa”, un aspecto esencial para avanzar hacia el cumplimiento de DORA.
"ISO 27001 también puede permitir a las organizaciones incorporar otros estándares a lo largo del tiempo, simplificando el cumplimiento de manera más general para las organizaciones a medida que el panorama de riesgos se adapta", concluyó Dash.
Archivo anglo
DORA es una regulación de la UE y, dado que el Reino Unido no está en la UE, no tiene ningún efecto directo, al menos en la legislación del Reino Unido. Sin embargo, las entidades con sede en el Reino Unido que ofrecen sus servicios a clientes en la UE deben cumplir con DORA.
"El gobierno ha indicado que legislará con respecto a la resiliencia operativa de terceros, y el BOE [Banco de Inglaterra]/PRA y la FCA [Autoridad de Conducta Financiera] han realizado consultas conjuntas sobre esta área, aunque aún no ha aparecido ninguna regulación formal". según Elliott de Jscrambler. "El banco cuenta con otros programas que se alinean con algunos aspectos de DORA, por ejemplo, el requisito de pruebas de penetración de amenazas en CBEST".
SGSI.online invitó a la Oficina del Comisionado de Información (ICO) a comentar sobre la rapidez con la que las organizaciones del Reino Unido podrían adoptar DORA y si la ICO tendrá o no un papel en la promoción o aplicación de la regulación. Se negó a hacer comentarios.
Obstáculos
Es probable que lograr el cumplimiento de DORA sea un proyecto importante.
Elliott, de Jscrambler, comentó: “El mayor problema que preveo es para las instituciones financieras medianas que son demasiado grandes para aprovechar las exenciones para las pequeñas empresas y microempresas, pero que antes no habían tenido que adoptar un enfoque tan sofisticado en materia de seguridad cibernética. No tienen mucho tiempo para realizar los cambios técnicos y filosóficos que exige el reglamento”.
La rapidez con la que las organizaciones afectadas puedan cumplir con DORA estará influenciada por muchos factores, incluido “el tamaño de la empresa, la complejidad de la infraestructura y la preparación de la organización para adoptar nuevas formas de trabajar” ISMS. explicó Dash en línea.
"La regulación DORA tiene muchos requisitos, incluida la realización de evaluaciones de riesgos, el refuerzo de la resiliencia operativa y el establecimiento de procedimientos sólidos de respuesta a incidentes", concluyó Dash. "Trabajar para lograr estos objetivos e incorporar estos procesos lo suficiente puede llevar de varios meses a algunos años".
Los profesionales y las plataformas de cumplimiento pueden "ayudar a agilizar el proceso de implementación y garantizar el cumplimiento continuo", concluyó Dash.
Lista de verificación DORA de 15 pasos
Descargue esta práctica lista de verificación de 15 pasos que le ayudará a comenzar su camino hacia el cumplimiento. Faltan solo 18 meses para que la Ley de Resiliencia Operacional Digital entre en vigor, ¡nunca ha habido un mejor momento para empezar!
