La Ley de Resiliencia Operacional Digital (DORA) entró en vigor el 16 de enero de 2023. Tras un período de implementación de dos años, a partir del 17 de enero de 2025, las organizaciones financieras deben cumplir plenamente con la nueva regulación, cuyo objetivo es garantizar que sigan siendo resilientes a las severas condiciones digitales operativas. ruptura.
La ley cubre una serie de aspectos de resiliencia cibernética, auditabilidad y las responsabilidades compartidas entre las instituciones financieras y los proveedores de servicios de TI y software de terceros cuando estos productos y servicios se utilizan para impulsar operaciones comerciales.
Si bien se trata de una regulación europea que afecta a las empresas que operan en la Unión Europea (UE), otras regiones también están implementando ciberresiliencia. Entre ellos se incluyen la Autoridad de Regulación Prudencial de Australia y el Banco de Inglaterra en el Reino Unido. En Estados Unidos, la Comisión de Bolsa y Valores (SEC) también está considerando la resiliencia cibernética.
Resiliencia en toda la cadena de suministro de TI
La resiliencia a fallas y vulnerabilidades en productos y servicios de terceros ha ido ganando atención en todo el mundo. Un ejemplo es la falla CrowdStrike, que causó importantes interrupciones en los sistemas que ejecutan Windows. Como señaló Juniper Research en ese momento, los bancos se encontraban entre las víctimas de la interrupción tecnológica mundial, que provocó que algunos clientes no pudieran acceder a su banca en línea. También se vieron afectados los cajeros automáticos y los sistemas de pago con tarjeta.
El objetivo de DORA es limitar las posibles perturbaciones de los sistemas bancarios causadas por problemas de TI, pero existe una correlación directa entre su eficacia y la madurez de las organizaciones en términos de ciberseguridad.
Entre agosto de 2023 y agosto de 2024, SecurityScorecard evaluó el rendimiento de la seguridad cibernética de las 100 principales empresas de Europa, analizando factores como la seguridad de la red, las infecciones de malware, la seguridad de los terminales, la cadencia de parches, la seguridad de las aplicaciones y el sistema de nombres de dominio (DNS).
Con regulaciones como DORA destinadas a remodelar los estándares de seguridad cibernética, las empresas europeas deben priorizar la gestión de riesgos de terceros y aprovechar los sistemas de calificación para salvaguardar sus ecosistemas.
Ryan Sherstobitoff, SecurityScorecard
La investigación encontró que el 98% de las 100 principales empresas europeas habían experimentado una infracción que involucraba a proveedores externos durante ese período de 12 meses. DORA requiere que las instituciones financieras identifiquen y evalúen la importancia de los proveedores de servicios externos que utilizan en función del impacto comercial y el nivel de riesgo que representan.
Los productos y servicios de TI y comunicaciones de terceros están cubiertos por el artículo 28 de DORA, que estipula que las entidades financieras deben gestionar el riesgo de terceros de TIC como un componente integral del riesgo de TIC dentro de su propio marco de gestión de riesgos de TIC. Las instituciones financieras que utilizan servicios de terceros como parte integral de sus operaciones son responsables de la seguridad cibernética general del negocio y también deben realizar una evaluación completa de los riesgos de los proveedores.
Al analizar la exposición al riesgo cibernético que surge de vulnerabilidades y debilidades de seguridad en productos y servicios suministrados por terceros, Ryan Sherstobitoff, vicepresidente senior de investigación e inteligencia de amenazas en SecurityScorecard, dice: “Las vulnerabilidades de la cadena de suministro siguen siendo una amenaza crítica, ya que los adversarios las explotan”. vínculos débiles para infiltrarse en las redes globales. Con regulaciones como DORA destinadas a remodelar los estándares de seguridad cibernética, las empresas europeas deben priorizar la gestión de riesgos de terceros y aprovechar los sistemas de calificación para salvaguardar sus ecosistemas”.
Cuadro de mando de seguridad Informe global sobre violaciones de ciberseguridad de terceros revela que el 75% de las infracciones de terceros tienen como objetivo la cadena de suministro de software y tecnología, una tendencia reforzada por las recientes infracciones de alto perfil que involucran a SolarWinds, Log4j y MOVEit.
“DORA convierte la gestión de la seguridad de la información en un mandato legal”, afirma Romain Deslorieux, director de asociaciones estratégicas para la protección de la nube en Thales. “Para garantizar el cumplimiento, las organizaciones deberán trabajar para simplificar y automatizar sus servicios de ciberseguridad para asegurarse de que sus aplicaciones, datos e identidades estén adecuadamente protegidos. Esto incluye todo, desde API [application programming interface] seguridad; clasificar, monitorear y proteger datos sensibles; hasta proporcionar acceso seguro y confiable para clientes, empleados y socios”.
auditoría de TI
Martin Thompson, analista y fundador del Foro ITAM, recomienda que las organizaciones ejecuten un proceso de descubrimiento para ayudarlas a clasificar los riesgos asociados con los productos y servicios de TI que utilizan.
En un blog de septiembre de 2024, Shane O’Neill, socio de la oficina de Grant Thornton en Dublín, sugirió que las instituciones financieras inviertan en plataformas que puedan centralizar sus catálogos de activos de TIC. Esto, dijo, debería ofrecer una visión holística de los proveedores externos, que permita a las empresas comprender los riesgos potenciales que representan para el negocio, permitiéndoles tomar medidas para mitigar dichos riesgos.
O’Neill señaló que la mayoría de las plataformas de gestión de activos de TI proporcionan funciones de automatización que pueden utilizarse para simplificar el proceso de revisión. “Como mínimo, DORA requiere una revisión anual de los activos de TIC y la documentación adjunta, y para terceros considerados de alto riesgo, el ciclo de revisión ocurre con más frecuencia”, escribió.
“La automatización disminuye la carga administrativa de coordinar una revisión y disminuye la cantidad de componentes manuales dentro de un ciclo de revisión, reduciendo así la posibilidad de error humano o la posibilidad de que se pierda un ciclo de revisión”.
Como señaló O’Neill, las plataformas de gestión de activos de TI pueden desencadenar automáticamente un proceso de revisión generando un correo electrónico que recuerda a las partes interesadas que revisen sus inventarios de activos y, dado que las partes interesadas realizan la revisión dentro del sistema, la plataforma registra automáticamente su actividad, garantizando así que todos Algunos aspectos del proceso son fácilmente auditables desde una perspectiva regulatoria.
Si bien las organizaciones afectadas ya deberían estar muy avanzadas en la implementación de programas de cumplimiento, la analista senior de Forrester, Madelein van der Hout, dice que en noviembre de 2024 todavía estaba recibiendo llamadas de clientes de Forrester, preguntándoles qué debían hacer. “Si empezamos en noviembre, no hay tiempo suficiente”, afirma.
Si bien la mayoría de las organizaciones financieras ya tienen una buena postura de seguridad, según van der Hout, todas las instituciones financieras aún deberán considerar a los terceros, la diversificación de su infraestructura de TI y las interdependencias.
Según Alain Traill, abogado del bufete de abogados global Latham & Watkins, muchos están luchando por lograr el cumplimiento. Insta a aquellas organizaciones que aún están llegando a un acuerdo con DORA a realizar un análisis de brechas para identificar dónde no cumplen.
“Para las entidades financieras dentro del alcance, que incluyen instituciones de dinero electrónico y proveedores de criptoactivos, además de las empresas tradicionalmente reguladas como las instituciones de crédito, el cumplimiento implica un análisis de brechas de las medidas de resiliencia existentes frente a los estrictos requisitos de DORA, la actualización de las cadenas de gobernanza, las políticas y procedimientos, prestando especial atención a las áreas centrales de enfoque de DORA, como la respuesta a incidentes y las pruebas de resiliencia, y completando un inventario de contratos en profundidad y un ejercicio de remediación”, dice.
El impacto de TI
Dado que DORA estipula que las organizaciones deben evaluar la resiliencia de su cadena de suministro de TI, los terceros (incluidos los proveedores de TI) también deben comprender sus responsabilidades según DORA. Traill dice que las empresas de TI deberían actualizar los términos del contrato y potencialmente establecer una entidad en la UE.
“Todos los proveedores de servicios TIC que no están designados como ‘críticos’ pero que tienen clientes que son entidades financieras dentro del alcance –incluyendo una amplia gama de proveedores de software y productos relacionados, a menudo con sede fuera de la UE– deben tomar medidas para permitir que dichos clientes cumplan, incluso revisando y actualizando procesos y políticas y actualizando los términos del contrato”, dice.
“Las medidas proactivas son cruciales para alinearse con los requisitos de DORA y evitar consecuencias significativas, incluidas, para las entidades financieras y los proveedores de TIC ‘críticos’, multas sustanciales”.
Las medidas proactivas son cruciales para alinearse con los requisitos de DORA y evitar consecuencias significativas, incluidas multas sustanciales.
Alain Traill, Latham y Watkins
Van der Hout, de Forrester, recomienda a los líderes de TI de las organizaciones financieras que necesitan cumplir contractualmente con DORA que analicen qué TI implementan.
“Hay implicaciones si los proveedores de TI que usted utiliza no cumplen lo suficiente con DORA”, afirma. Si bien los líderes de TI tienen la opción de rescindir dichos contratos que no cumplen con las normas, van der Hout advierte que “separar su TI de su infraestructura de TI es difícil”.
Más allá del trabajo necesario para garantizar la resiliencia cibernética de los proveedores de TI externos, Deslorieux de Thales señala que DORA exige explícitamente a las organizaciones que definan y apliquen políticas para cifrar los datos en reposo, en tránsito y en uso, y gestionar exhaustivamente las claves criptográficas de este cifrado. depende de. “Los servicios financieros también deben prever la actualización o modificación de la tecnología criptográfica en función de los avances en el criptoanálisis”, afirma.
Los expertos con los que ha hablado Computer Weekly reconocen que es necesario trabajar para implementar el cumplimiento de DORA y garantizar el mantenimiento continuo para un cumplimiento continuo. Estos son costos adicionales.
La implementación, según Forrester, dependerá exclusivamente de la madurez de la seguridad cibernética de la empresa, pero DORA se basa en los marcos de seguridad de TI existentes, lo que significa que muchos probablemente hayan hecho la mayor parte del trabajo necesario para lograr el cumplimiento de la nueva regulación.
Van der Hout señala que son los costos continuos los que tendrán un impacto a más largo plazo en los presupuestos de TI. Ella estima que mantener el cumplimiento de DORA podría agregar un 10% a los costos de ciberseguridad de una organización.
