Contenidos
Qué es el reglamento DORA
Pero ¿qué es este reglamento? ¿En qué consiste? ¿Cuáles son sus objetivos? ¿Por qué es tan importante? En todo esto vamos a profundizar hoy, porque es una iniciativa de la Unión Europea que resulta bastante interesante.
Este reglamento DORA busca crear un marco normativo que permita garantizar la resiliencia de las infraestructuras digitales dentro del entorno europeo. Es decir, lo que busca es regular la manera que tienen las entidades financieras de gestionar ese riesgo que corren a nivel digital al hacer uso de las TIC. Lo que se pretende es reforzar el ámbito legislativo, así como homogeneizarlo.
El objetivo principal es tener un enfoque único en lo que respecta a la ciberseguridad y a la gestión de las TIC, para así permitir que todas las entidades financieras, así como los diferentes proveedores de servicios TIC, sigan las mismas pautas. De esta manera, ante cualquier incidente o fallo de los servicios digitales, podrían continuar funcionando. Es, básicamente, una forma de cubrir la integridad de su infraestructura tecnológica. Así, se intenta garantizar la continuidad de todos estos servicios mediante la implementación de medidas específicas, además de fortalecer la seguridad y reducir riesgos de interrupciones.
Como dato extra, debes saber que este reglamento entró en vigor hace relativamente poco, el 16 de enero de 2023. No obstante, tanto las entidades financieras como aquellos que sean proveedores de servicios digitales podrán implementar los cambios pertinentes para cumplir los requisitos hasta el año 2025.
Principales medidas establecidas por este reglamento
Este reglamento señala una serie de medidas que son clave a la hora de garantizar esta resiliencia operativa digital dentro de la Unión Europea:
- Evaluación de riesgos: todas aquellas organizaciones que estén cubiertas por DORA tendrán que llevar evaluaciones de riesgos de forma periódica. De esta manera, podrán identificar y mitigar las posibles amenazas digitales que pudieran hallar. Esta supervisión activa de los riesgos implica identificarlos, evaluarlos y, posteriormente, tomar medidas de seguridad adecuadas.
- Normas de ciberseguridad que se deben seguir: DORA cuenta con normas que hay que seguir sí o sí, y que las organizaciones deben tener en cuenta. Por ejemplo, aquellas que guardan relación con la implementación de medidas de seguridad a nivel técnico, o la gestión de posibles incidentes de ciberseguridad. Y, por supuesto, las del ámbito de la violación de datos.
- Pruebas continuas de resiliencia: es importante que las organizaciones realicen de forma recurrente pruebas para evaluar cuál es su verdadera capacidad a la hora de mantener sus operaciones digitales. Por ejemplo, hacer simulacros de ciberseguridad.
- Reporte de incidentes: se deben notificar todos los incidentes de ciberseguridad a las autoridades, y también a las personas afectadas. De esta manera, se garantiza que la respuesta sea la adecuada.
- Supervisión y control de la resiliencia operativa digital: Todas las organizaciones deben cooperar con las autoridades reguladoras, para permitirles supervisar y controlar su resiliencia real.
- Sanciones: en caso de que no se cumpla con el reglamento, habrá sanciones para fomentar cambios y buscar la mejoría de la seguridad de las TIC.
¿A quién afecta el reglamento DORA?
Llegamos al último punto, quizá uno de los más importantes: a quién afecta realmente este Reglamento de Resiliencia Operativa Digital.
En primer lugar, a los proveedores de infraestructura crítica digital: sistemas de pago, servicios de salud digital, comunicaciones, transportes y energía. Pero, además, también a los proveedores de servicios digitales, todas esas empresas que ofrecen sus servicios en línea. Y esto incluye a redes sociales, comercio electrónico, cualquier motor de búsqueda, plataformas que se encuentren en la nube… Es decir, que estamos hablando de un reglamento de interés generalizado y público.
No solo eso, sino que también los proveedores de servicios de alojamiento web, o de mantenimiento de sistemas, deben regirse por este DORA. Y, cómo no, las autoridades reguladoras, cuyo papel es crucial.
Es un reglamento cuyo objetivo es velar por nuestra ciberseguridad, y por garantizar la resistencia de nuestras comunicaciones digitales, incluso ante posibles ataques. Sin duda, es crucial no solo tenerlo en cuenta, sino también cumplir con todos los requisitos que establece, porque es buscar nuestra propia seguridad.
Principales Requerimientos de DORA
El Reglamento de Resiliencia Operativa Digital (DORA) establece una serie de requisitos clave que las entidades financieras deben cumplir para garantizar su resiliencia ante riesgos relacionados con las tecnologías de la información y la comunicación (TIC). Estos requisitos incluyen:
- Gestión de riesgos de TIC: Las entidades deben implementar un marco sólido de gestión de riesgos de TIC que abarque la identificación, clasificación, gestión y mitigación de riesgos digitales. Esto incluye la evaluación continua de las vulnerabilidades de seguridad y la adopción de medidas de protección adecuadas.
- Incidentes y gestión de crisis relacionadas con las TIC: Se requiere establecer procedimientos efectivos para la detección temprana, gestión y notificación de incidentes de seguridad de la información. Las entidades deben ser capaces de responder rápidamente a los incidentes para minimizar su impacto y recuperarse de manera eficaz.
- Pruebas de resiliencia digital: Las entidades financieras están obligadas a realizar pruebas de resiliencia regularmente, como pruebas de penetración, para evaluar su capacidad para resistir y recuperarse de ataques cibernéticos y otras perturbaciones relacionadas con las TIC.
- Supervisión de terceros proveedores de servicios TIC: DORA pone énfasis en la gestión de riesgos asociados con la dependencia de servicios de terceros, incluidos los proveedores de servicios en la nube. Las entidades deben asegurar que estos proveedores cumplan con los estándares de seguridad y resiliencia necesarios.
Gobernanza y Gestión de Riesgos de TIC
La gobernanza efectiva y la gestión de riesgos de TIC son fundamentales para cumplir con el reglamento DORA. Las entidades financieras deben establecer:
- Estructura organizativa y responsabilidades: Se debe definir claramente una estructura organizativa que soporte la gestión de riesgos de TIC, asignando responsabilidades específicas a los empleados y estableciendo líneas claras de autoridad y comunicación.
- Políticas y procedimientos para la gestión de riesgos de TIC: Las entidades deben desarrollar y mantener políticas y procedimientos que reflejen su apetito y tolerancia al riesgo. Estos documentos deben cubrir todos los aspectos de la gestión de riesgos de TIC, incluyendo la evaluación de riesgos, la adopción de medidas de control, la monitorización de riesgos y la respuesta a incidentes.
Reporte de Incidentes y Estrategias de Recuperación
Una parte crítica de la resiliencia operativa digital implica la capacidad de una entidad para manejar y recuperarse de incidentes de seguridad. DORA establece que:
- Proceso de notificación de incidentes: Las entidades deben tener procedimientos establecidos para la notificación inmediata de incidentes de seguridad significativos a las autoridades reguladoras. Esto permite una respuesta coordinada y ayuda a mitigar los efectos adversos.
- Planificación de la recuperación y estrategias de continuidad del negocio: Es esencial desarrollar y mantener planes de recuperación ante desastres y continuidad del negocio que permitan a la entidad financiera continuar operando o restaurar rápidamente sus operaciones críticas después de un incidente. Estos planes deben ser probados y actualizados regularmente para garantizar su efectividad.
La implementación de estos requisitos no solo cumple con las regulaciones de DORA, sino que también fortalece la postura de seguridad cibernética de las entidades financieras, protegiendo sus operaciones y la integridad del sistema financiero en su conjunto.
