Cómo pueden prepararse las empresas para la implementación de DORA

Por Nicholas Fearn • 30 July 2024

Las instituciones financieras y los proveedores de servicios de TI tienen sólo seis meses para cumplir con tLa Ley de Resiliencia Operacional Digital (DORA) de la Unión Europea. DORA, que se aplicará a las empresas a partir del 17 de enero de 2025, tiene como objetivo reforzar la ciberseguridad de los bancos, aseguradoras, empresas de inversión y otras instituciones financieras europeas, así como de los proveedores externos que les brindan servicios de TIC. 

Para garantizar que el sector de servicios financieros europeo, cada vez más digitalizado, pueda funcionar durante un ciberataque grave o una interrupción de TI, los estrictos requisitos de DORA cubren la gestión de riesgos de TIC y de terceros, pruebas de resiliencia operativa digital, informes de incidentes cibernéticos, intercambio de inteligencia sobre amenazas y muchas otras áreas. Afectará no sólo a las empresas con sede en la UE sino también a las empresas británicas que suministran servicios financieros o de TIC a clientes europeos. Entonces, ¿cómo pueden prepararse las empresas para la implementación de DORA?

Preparándose para DORA

Mientras las empresas se preparan para la introducción de DORA y buscan garantizar el cumplimiento, deben tomarse el tiempo para comprender sus requisitos clave y cómo afectarán sus operaciones y actividades diarias. 

Rayna Stamboliyska, directora ejecutiva de RS Strategy, estratega impulsado por la prospectiva, dice que hay dos aspectos importantes que las empresas deben considerar aquí. El primero es lograr resiliencia operativa identificando y abordando los riesgos mediante pruebas de penetración basadas en amenazas. En segundo lugar, las empresas deben asegurarse de que todos sus contratos y asociaciones cumplan con los requisitos de DORA como parte de un proceso exhaustivo de gestión de riesgos de terceros. 

Ella le dice a ISMS.online: "Luego, puede establecer un enfoque razonable y estructurado para alinearse con DORA y hacer saber a sus clientes y socios que está en el camino hacia el cumplimiento".

Otro paso clave es implementar políticas de cumplimiento de DORA para cada herramienta de seguridad utilizada en la empresa, según Crystal Morin, estratega de ciberseguridad de la firma de seguridad en la nube Sysdig. Hacerlo permitirá a las empresas comprobar sus sistemas de ciberseguridad y TI en busca de problemas de políticas, afirma. 

También recomienda que las empresas adopten Infraestructura como código (IaC) y Política como código (PaC) para codificar sus requisitos de gestión y cumplimiento, lo que ayudará a agilizar el proceso de cumplimiento.

Morin explica: “Los artefactos del código As son defendibles y pueden usarse durante revisiones regulatorias, de riesgos y de auditoría. Además, estos artefactos se escalan fácilmente y mantienen la coherencia en todos los entornos”.

Gestión del riesgo de TI

Para cumplir con sus obligaciones de DORA, las empresas deben desarrollar e implementar una estrategia sólida de gestión de riesgos de TI. Esta estrategia debe comprender políticas, procedimientos y herramientas para gestionar todas las áreas de riesgo, incluida la gobernanza, el seguimiento y la presentación de informes, sostiene Graham Thomson, director de seguridad de la información del bufete de abogados Irwin Mitchell. "El marco debe alinearse con su estrategia y objetivos comerciales, y debe revisarse y actualizarse periódicamente", afirma. 

En caso de un incidente grave que afecte la continuidad, integridad, seguridad o disponibilidad del sistema de TI, las empresas deberán informarlo a las autoridades pertinentes según DORA. Thompson dice que esto les exige establecer un proceso de presentación de informes dedicado utilizando un "formato estandarizado" que cumpla con "plazos y umbrales específicos" de cada autoridad. 

Para identificar y mitigar fallas técnicas, Thompson insta a las empresas a probar sus sistemas de TI con regularidad mediante escaneos de vulnerabilidades, pruebas de penetración, gestión continua de la postura de seguridad en la nube y equipos rojos basados en escenarios. Y añade: "Documente los resultados y tome medidas para corregir cualquier debilidad".

Como paso final de la preparación de DORA, Thompson recomienda que las empresas realicen una debida diligencia exhaustiva con sus proveedores de servicios de TI externos para identificar y gestionar factores de riesgo externos. Y añade: "Asegúrese de que sus contratos incluyan derechos importantes como el acceso, la inspección y la protección de datos".

El impacto en las empresas del Reino Unido

A pesar de que el Reino Unido abandonará la Unión Europea en 2020, muchas empresas británicas se verán afectadas por la introducción de DORA y, en consecuencia, deberán tomar medidas para cumplir con la nueva ley antes de la fecha límite de enero de 2025. 

Stamboliyska de RS Strategy explica que cualquier empresa con sede en el Reino Unido que ofrezca servicios financieros o de tecnología de la información y las comunicaciones críticos a clientes ubicados en la UE deberá cumplir con los requisitos de DORA.

Ignorar estos compromisos regulatorios podría resultar en importantes daños financieros y de reputación para las empresas del Reino Unido que operan en la UE. "El incumplimiento de DORA le costará el 1% de su facturación diaria durante un máximo de seis meses", continúa Stamboliyska. "Y como es habitual con las sanciones, si usted estuviera sujeto a una, también obstaculizaría su acceso al mercado de la UE y su reputación empresarial".

Ella dice que las empresas del Reino Unido demostrarán su compromiso con una “seguridad sólida y resiliencia operativa” al adherirse a DORA. Esto les ayudará a atraer más clientes y socios en la UE, aumentando su “competitividad general en el mercado”.

Además de las multas impuestas a la empresa en su conjunto, las personas que no cumplan con la DORA también pueden ser consideradas responsables. Sean Wright, líder de seguridad de aplicaciones en Featurespace, explica: "Esta es una diferencia significativa con respecto a otras regulaciones similares, donde tanto los individuos como la organización pueden ser responsables del incumplimiento".

Anticipando que un gran número de empresas británicas se verán afectadas por DORA en los próximos meses, Morin de Sysdig les pide que comiencen a planificar con urgencia. Una gran parte de esto es evaluar sus bases de clientes, cadenas de suministro y cualquier otra relación comercial para encontrar áreas de riesgo dentro de la jurisdicción de DORA. Y añade: "Además, deben tener en cuenta las regulaciones de DORA a medida que sus operaciones comerciales y su clientela se desarrollan con el tiempo".

El papel de los marcos

Si bien cumplir con DORA puede ser una perspectiva desalentadora para muchas empresas, Los marcos industriales como ISO 27001 proporcionan una base a partir de la cual pueden comprender y gestionar el riesgo cibernético.

Marc Lueck, CISO de EMEA en la empresa de seguridad TI Zscaler, explica: “Marcos como ISO 27001 son un gran comienzo para hacer coincidir los requisitos con la nueva regulación, ya que demuestran que algunos de los controles básicos ya están implementados, como proporcionar conectividad al núcleo. sistemas”.

Además de implementar un marco de ciberseguridad profesional como parte del cumplimiento de DORA, Lueck aconseja complementarlo con un enfoque de confianza cero. Explica que esto ayudaría a las empresas a evaluar y medir los riesgos de terceros. 

Martin Greenfield, director ejecutivo de la plataforma de monitoreo continuo de controles de ciberseguridad Quod Orbis, está de acuerdo en que ISO 27001 y marcos similares brindan a las empresas "una base sólida" para abordar sus riesgos de TI y seguir los requisitos de DORA. 

Sin embargo, señala cómo DORA "introduce elementos adicionales" en torno al riesgo de terceros, y dice que las empresas deberían comparar las prácticas ISO con los requisitos de DORA si planean utilizarlos juntos. "Este análisis debería prestar especial atención a los aspectos de la gestión de riesgos de terceros, ya que es ahí donde pueden encontrarse diferencias significativas", afirma. 

Dado que el tiempo se está agotando rápidamente para prepararse para la fecha límite de DORA de enero de 2025, está claro que tanto las empresas financieras como los proveedores de TIC de Europa y el Reino Unido deben comenzar a comprender e implementar los estrictos requisitos de DORA, si aún no lo han hecho. A la luz de la interrupción de Crowdstrike que devastó los sistemas de TI de las empresas a nivel mundial, parece que gestionar el riesgo de TIC de terceros como parte de DORA es lo mejor para todas las empresas y no simplemente un ejercicio de marcar casillas. 

Nicholas fearn

Nicholas Fearn es un periodista independiente de los valles de Gales. Ha escrito para los principales medios de comunicación como Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost e Insider, así como para publicaciones B2B como Computer Weekly, Computing y IT Pro. Cuando Nic no está escribiendo sobre los últimos dispositivos y tendencias tecnológicas, probablemente esté escuchando la discografía completa de Mariah Carey.