Entendiendo la Ley de Resiliencia Operativa Digital (DORA)

Vivo en Suecia, donde el 10 % o menos de las compras se hacen en efectivo. Pocas personas llevan efectivo con regularidad y, a menudo, es difícil encontrar lugares que lo acepten. Esto significa que, si pierdo el teléfono o la conexión a internet, tareas tan sencillas como pagar un café se vuelven extremadamente difíciles.  Y no soy la única persona en esta situación; al menos la mitad de los europeos prefieren este tipo de transacción. ¡Aquí incluso llevamos el pasaporte en el móvil! Nuestra dependencia colectiva de la infraestructura digital en la vida cotidiana es innegable, y seguirá creciendo. 

Con nuestra creciente presencia digital, el sector financiero se enfrenta a retos y oportunidades sin precedentes. La mayor dependencia de las tecnologías digitales ha generado grandes avances en los servicios financieros, pero también ha expuesto a las instituciones a un número cada vez mayor de ciberamenazas y riesgos operativos. Reconociendo el papel fundamental de la infraestructura digital en la vida cotidiana de los ciudadanos de la UE, la Unión Europea ha introducido la Ley de Resiliencia Operativa Digital (DORA). Esta iniciativa regulatoria tiene como objetivo garantizar que las entidades financieras puedan resistir, responder y recuperarse de una amplia gama de interrupciones operativas, salvaguardando así la estabilidad e integridad del sistema financiero. En esta entrada del blog, examinaremos los aspectos clave de la DORA, incluyendo a quiénes afecta, los requisitos básicos para las organizaciones y los pasos prácticos para lograr el cumplimiento antes de la fecha límite del 17 de enero de 2025. 

¿A quién afecta DORA?

DORA se aplica a todas las instituciones financieras de la Unión Europea, incluidas en su ámbito de aplicación = organizaciones financieras tradicionales, entidades financieras no tradicionales y proveedores de servicios e infraestructura de apoyo. Las organizaciones afectadas incluyen:

1. Bancos e instituciones de crédito: bancos tradicionales y digitales.
2. Empresas de inversión: empresas dedicadas al comercio, gestión de inversiones y servicios de asesoramiento.
3. Empresas de seguros y reaseguros: entidades proveedoras de diversos productos y servicios de seguros.
4. Proveedores de servicios de pago: empresas que facilitan los pagos digitales, incluidas las instituciones de dinero electrónico.
5. Proveedores de servicios de criptoactivos: empresas que tratan con criptomonedas y activos digitales.
6. Infraestructuras del mercado: entidades como bolsas de valores y cámaras de compensación.
7. Servicios de información crítica de terceros: incluidos servicios de calificación crediticia y proveedores de análisis de datos.
8. Proveedores de servicios de TIC de terceros: empresas que proporcionan servicios tecnológicos críticos a instituciones financieras, como computación en la nube y análisis de datos.

Si bien lo anterior no es una lista exhaustiva, cabe destacar que DORA también se aplica a algunos proveedores de servicios externos que son fundamentales para las operaciones de las entidades incluidas. Si bien estas organizaciones tradicionalmente no están sujetas a regulaciones financieras, esto resalta la naturaleza interconectada de la infraestructura financiera moderna.

Requisitos clave para las organizaciones

DORA establece requisitos integrales para garantizar que las entidades financieras puedan resistir, responder y recuperarse de las interrupciones operativas, divididos en cinco pilares básicos. Los requisitos clave incluyen:

1. Gestión de riesgos de las TIC: establecer procesos internos sólidos para identificar, evaluar y gestionar los riesgos asociados con la tecnología de la información y la comunicación.
2. Informe de incidentes: implementar procedimientos para reportar de manera oportuna y eficiente incidentes significativos relacionados con las TIC a las autoridades competentes.
3. Pruebas de resiliencia digital: pruebas periódicas de los sistemas TIC para evaluar su resiliencia frente a posibles amenazas y vulnerabilidades.
4. Intercambio de información: fomentar el intercambio de información e inteligencia sobre amenazas cibernéticas entre instituciones financieras para reforzar los mecanismos de defensa colectiva.
5. Gestión de riesgos de terceros: garantizar que los proveedores de servicios externos cumplan con los estándares de DORA, incluidos los acuerdos contractuales que exigen el cumplimiento de estos requisitos.

¿Por dónde deberían empezar las organizaciones?

Para las instituciones financieras que emprenden el camino hacia el cumplimiento de DORA, los siguientes pasos son cruciales:

1. Realizar un análisis de brechas: evaluar las prácticas actuales de gestión de riesgos de las TIC en relación con los requisitos de DORA para identificar brechas y áreas que necesitan mejoras.
2. Desarrollar una hoja de ruta de cumplimiento: crear un plan estratégico que describa los pasos, los cronogramas y los recursos necesarios para lograr el cumplimiento.
3. Mejorar los mecanismos de notificación de incidentes: implementar o actualizar sistemas para garantizar la presentación de informes oportunos y precisos de incidentes relacionados con las TIC. 
4. Fortalecer las relaciones con terceros: trabajar en estrecha colaboración con sus proveedores de servicios de TIC de terceros para asegurarse de que puedan ayudarle a cumplir con los estándares de cumplimiento de DORA.
5. Invertir en formación y concienciación: incluir la resiliencia y qué hacer en caso de emergencia en su capacitación de usuarios.
6. Participar en pruebas continuas: probar periódicamente los sistemas de TIC para identificar vulnerabilidades y garantizar la resiliencia ante posibles amenazas cibernéticas y cortes.

¿Cómo puede ayudar Zscaler?

Zero Trust Exchange de Zscaler ayuda a las organizaciones a cumplir con DORA, proporcionando una arquitectura sólida y defendible basada en los principios de Zero Trust para proteger a sus usuarios y datos contra ciberamenazas. Esto permite a las organizaciones conectar de forma segura a los usuarios, tanto internos como de terceros, con las aplicaciones que necesitan, sin sobreaprovisionamiento. Además, Zscaler ofrece un conjunto completo de capacidades de resilienciapara garantizar la continuidad del negocio durante interrupciones de la red o la nube. 

¿Y ahora qué?

A medida que se acerca la fecha límite de enero de 2025, las instituciones financieras de toda la UE deben prepararse para los estrictos requisitos de DORA. Aprovechar las soluciones avanzadas de Zscaler puede ayudar a garantizar el cumplimiento, mejorar la resiliencia y protegerse contra los riesgos relacionados con las TIC. Al adoptar un enfoque proactivo hacia la resiliencia operativa digital, las entidades financieras pueden navegar las complejidades de DORA y proteger sus operaciones en un mundo cada vez más digital. Zscaler se compromete a ayudar a sus clientes durante este proceso. Comuníquese con su representante local de Zscaler y solicite reunirse con un miembro del equipo CISO para comprender cómo podemos ayudarle.