Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

¿Estará preparada la industria bancaria de la UE para el cumplimiento de DORA?

Maritza Marie Dubec
Gerente Senior de Marketing de Contenidos
Illumio Editorial
November 27, 2024
23 min. leer

En enero de 2025, las instituciones financieras en Europa se enfrentan a una prueba importante: la Ley de Resiliencia Operativa Digital (DORA).  

DORA combina las reglas de riesgo y resiliencia de las TIC en un marco unificado. Pero, ¿estarán preparadas las organizaciones financieras?

Muchos están compitiendo contra el reloj. Los plazos ajustados y los estándares en evolución están dificultando la preparación.

Como explica Raghu Nandakumara, director senior de marketing de soluciones industriales de Illumio, "Los bancos se beneficiaron antes de estándares técnicos más claros. Los estándares llegaron en dos oleadas: una a principios de 2022 y la segunda a mediados de 2024. Esto dejó menos de 12 meses antes de la fecha límite del 17 de enero".

Desempaquetando DORA

¿Qué requiere DORA antes de la fecha límite? No se trata solo de proteger los sistemas. La atención se centra en mantener los servicios críticos en funcionamiento, incluso durante las interrupciones.

Para cumplir con los estándares de DORA, las instituciones financieras deben:

  • Probar los sistemas TIC con regularidad
  • Gestione los riesgos con proveedores externos
  • Garantizar que los servicios esenciales permanezcan operativos, pase lo que pase
"DORA tiene un enfoque claro: reducir el impacto de los incidentes. ¿El enfoque? Suponga que ocurrirán infracciones". – Raghu Nandakumara

Los 6 principales desafíos del cumplimiento de DORA

1. Plazos ajustados, estándares en evolución

Las reglas que explican los requisitos de DORA, llamadas estándares técnicos regulatorios (RTS), se publicaron tarde. La primera versión salió en enero de 2024 y la segunda en julio. Con menos de un año para preparar, cumplir con los requisitos se convirtió en una carrera contra el tiempo.

2. Gestión de proveedores externos

Los proveedores externos, como los hiperescaladores y los proveedores de servicios gestionados (MSP), son clave para los servicios financieros. Pero aquí está el desafío: ¿Quién decide si un proveedor entra en el alcance de DORA? "¿Decide esto la institución financiera o el regulador?", pregunta Raghu.

Para los MSP más pequeños, los obstáculos son aún mayores. El cumplimiento depende de su papel en los procesos financieros. Sin reglas claras, es difícil saber qué se requiere. Arreglar esto requiere dos cosas:

  • Directrices más claras
  • Colaboración más estable con los proveedores
3. Alinear la gobernanza y el liderazgo

DORA coloca la resiliencia operativa en la parte superior de la agenda de liderazgo. Las juntas deben:

  • Establecer límites claros de riesgo de TIC
  • Monitorear los incidentes importantes
  • Cerciorar de que se disponga de los recursos adecuados

Sin embargo, muchas organizaciones carecen de la estructura y la conciencia para alcanzar estos objetivos.

4. Pruebas y mejora constante

Las pruebas juegan un papel clave en el cumplimiento de DORA. Las organizaciones deben:

  • Realizar pruebas anuales de resiliencia en los sistemas TIC
  • Realizar pruebas de penetración avanzadas cada tres años
"Las pruebas ayudan a identificar brechas y desarrollar planes de mejora, impulsando el progreso hacia la madurez. Sin embargo, estas pruebas consumen muchos recursos y requieren trabajo en equipo entre departamentos y proveedores. – Raghu Nandakumara
5. Construir una cultura resiliente

DORA no se trata de marcar casillas. Se trata de mantener preparado. El liderazgo debe:

  • Fomente el trabajo en equipo entre departamentos

Un cambio cultural puede ser fundamental para el éxito a largo plazo.

6. Brecha de habilidades: presión creciente

La brecha global de la fuerza laboral de ciberseguridad , estimada en 4 millones, empeora los desafíos de DORA. Un programa de cumplimiento estable puede aliviar esta presión. Simplifica los esfuerzos al tiempo que ofrece beneficios operativos más amplios.

"Los nuevos mandatos de DORA agregan presión a las operaciones de seguridad, las políticas y los equipos de auditoría". – Raghu Nandakumara

¿Cómo se alinean DORA y Zero Trust?

¿DORA menciona Zero Trust? No directamente. Pero sus ideas clave, como el acceso con privilegios mínimos y el monitoreo continuo, se alinean estrechamente.

La filosofía de Zero Trust, "nunca confíe, siempre verifique", reduce el riesgo al hacer que cada usuario, dispositivo, aplicación y carga de trabajo se autentique antes de obtener acceso a .

¿Cómo ayuda con los mayores riesgos cibernéticos de la actualidad?

  • Detiene el ransomware: reduzca el impacto de los ataques de ransomware limitando la distancia que puede propagar a través de la red.
  • Gestiona los riesgos de terceros: restrinja el acceso de los proveedores a los sistemas críticos. Controle cuánto acceso tienen los proveedores a los sistemas críticos.

Cuenta regresiva para el 17 de enero

El reloj está corriendo. Las pruebas, la supervisión de terceros y la planeación de la resiliencia no son opcionales. Requiere estrategias proactivas y un cambio cultural hacia la resiliencia.  

Como explicó Raghu, "La UE quiere progreso, no perfección. Quieren ver cómo las organizaciones interpretan los requisitos y lo que lograron".

¿Está interesado en obtener más información sobre el cumplimiento de DORA? Descargue nuestro libro electrónico gratis, Estrategias para el cumplimiento de DORA: el papel clave de la microsegmentación. Descubra cómo la microsegmentación puede mejorar la seguridad de su organización.

Temas relacionados

Banking & Financial Services

Artículos relacionados

Nuestras historias favoritas de Zero Trust de agosto de 2023
Cyber Resilience

Nuestras historias favoritas de Zero Trust de agosto de 2023

Estas son algunas de las historias y perspectivas de Zero Trust que nos llamaron la atención este mes.

Read more
Conozca el puntaje: explicación de la exposición a vulnerabilidades
Cyber Resilience

Conozca el puntaje: explicación de la exposición a vulnerabilidades

Cómo calculamos el puntaje de exposición a vulnerabilidades, que permite a las organizaciones combinar las mediciones de puntaje de vulnerabilidad estándar de la industria con el contexto de su entorno.

Read more
Predicciones de ciberseguridad para 2021
Cyber Resilience

Predicciones de ciberseguridad para 2021

Suponiendo que la nube lo resuelva todo, demasiadas organizaciones pasan por alto la seguridad de los endpoints. Esto es lo que esto significa para DevSecOps y el riesgo cibernético.

Read more
BT e Illumio: Simplificando el cumplimiento de DORA
Cyber Resilience

BT e Illumio: Simplificando el cumplimiento de DORA

Aprenda a impulsar la resiliencia cibernética, gestionar los riesgos de las TIC y preparar a su institución financiera para la fecha límite de cumplimiento de DORA de enero de 2025.

Read more
Cómo lograr el cumplimiento de DORA con Illumio
Cyber Resilience

Cómo lograr el cumplimiento de DORA con Illumio

Conozca las tres herramientas disponibles en la plataforma de segmentación de confianza cero (ZTS) de Illumio que lo ayudarán a desarrollar el cumplimiento de DORA.

Read more
Preparación para DORA: Perspectivas de 2 expertos en cumplimiento de ciberseguridad
Cyber Resilience

Preparación para DORA: Perspectivas de 2 expertos en cumplimiento de ciberseguridad

Obtenga información de Tristan Morgan, director general de ciberseguridad de BT, y Mark Hendry, socio de servicios digitales de Evelyn Socios, sobre cómo navegar por el cumplimiento de DORA.

Read more

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Learn more