5 pasos que debe seguir para estar preparado para la fecha límite del próximo año
DORA transformará el sector de los servicios financieros al mejorar la ciberseguridad y la resiliencia operativa en toda la UE. Stephen McDermid de Okta explica lo que significa DORA para el sector financiero y por qué muchas empresas están recurriendo a la automatización para gestionar las complejas capas de regulación y cumplimiento.
Las empresas de servicios financieros de toda Europa están contando los meses y los días que faltan para que entre en vigor DORA, la Ley de Resiliencia Operativa Digital de la Comisión Europea.
El 17 de enero de 2025, finalizará el período de preparación de 24 meses y todas las empresas de servicios financieros deberán cumplir con la regulación DORA.
¿Qué es DORA?
Presentada en respuesta al aumento de las ciberamenazas, DORA tiene como objetivo garantizar que las instituciones financieras puedan resistir, responder y recuperarse de las interrupciones digitales, salvaguardando el sistema financiero en general. DORA está diseñada para armonizar los programas de gobernanza existentes bajo un único paraguas de supervisión en toda la UE.
El impacto de DORA
Habiendo trabajado en estrecha colaboración con los equipos de seguridad de servicios financieros y los reguladores, he visto un cambio en la forma en que las empresas abordan la resiliencia cibernética y la protección, particularmente a la luz de la Ley de Resiliencia Operacional Digital (DORA).
Hoy en día, es necesario centrarse en minimizar el riesgo en todas las cadenas de suministro digitales. Necesitamos asegurarnos de que la administración y la gobernanza estén bien preparadas para abordar las preocupaciones sobre la seguridad cibernética, las posibles brechas y las vulnerabilidades.
Este es un gran cambio, y llega en el momento adecuado. Los incidentes de ciberseguridad recientes destacan los riesgos críticos asociados con las vulneraciones de la cadena de suministro y el acceso de terceros.
DORA está configurada para enfocar estos problemas para las juntas directivas y los CFO, lo que hace que sea fundamental que cuenten con las estructuras de gobierno adecuadas y, lo que es más importante, la capacidad de responder eficazmente cuando ocurren incidentes.
Capas complejas de regulaciones que deben gestionarse
Vivimos y operamos en un entorno regulatorio cada vez más complejo. DORA es solo una de las varias regulaciones que se avecinan, incluyendo NIS2 y la Ley de Resiliencia Cibernética (CRA). La gestión del cumplimiento es un desafío, y las empresas ahora están recurriendo a la automatización para gestionar la creciente carga de análisis, validación y auditoría requerida. En nuestro reciente Businesses at Work 2024 informe, vimos que el crecimiento de las herramientas de cumplimiento de datos alcanzó el 120% año tras año.
Cómo avanzar hacia el cumplimiento de DORA
Cuando se trata de identificar fallas clave en sus cadenas de suministro digitales, las empresas reconocen cada vez más que, si bien la prevención es vital, es igual de importante contar con pruebas y validación sólidas de los controles implementados. Los incidentes sucederán, y la clave para mitigar su impacto radica en una preparación exhaustiva.
Aquí está mi consejo sobre cómo prepararse para el cumplimiento de DORA:
- Identifique a los proveedores clave y colabore con ellos mediante la planificación de escenarios y simulaciones. Tales esfuerzos ayudan a las organizaciones a comprender los posibles impactos y a desarrollar planes de contingencia.
- Prueba y mejora continuamente tus planes de contingencia a través del análisis de datos y la evaluación comparativa con los estándares de la industria.
- Asegúrese de tener programas de resiliencia operativa y de riesgo de terceros implementados. Alinee estos programas existentes con las regulaciones de DORA e identifique cualquier brecha.
- Manténgase al día con las consultas y los borradores de documentos que circulan en preparación para estos Requisitos Técnicos Regulatorios (RTS).
- Ahora es el momento de interactuar con socios y pares para comprender cómo otros están enfrentando estos desafíos, facilitando el intercambio de conocimientos y la colaboración.
El cumplimiento es crucial
Las instituciones financieras que no cumplan con DORA se enfrentan a fuertes sanciones, incluidas multas, requisitos para conceder acceso a los datos para la investigación e incluso mandatos para detener las operaciones.
Para los proveedores externos críticos que prestan servicios a instituciones financieras, lo que está en juego es igualmente alto. El incumplimiento podría resultar en pagos de penalización del 1% del volumen de negocios mundial diario promedio del proveedor del año anterior, aplicado diariamente hasta que se logre el cumplimiento, por un período máximo de seis meses.
Y, por supuesto, los ataques cibernéticos y las filtraciones pueden afectar negativamente la confianza de los inversores y la reputación del mercado. La confianza tarda años en construirse, pero se puede perder en un instante.
DORA representa un hito regulatorio para las empresas de servicios financieros, lo que le obliga a adoptar un enfoque más integral e integrado de la resiliencia cibernética y la gobernanza operativa. No hace falta decir que DORA es estricta, pero estricta por muy buenas razones. Si bien la inversión en el cumplimiento de DORA puede ser grande y requerir recursos considerables, las repercusiones de hacerlo mal pueden ser exponencialmente mayores.
Obtenga más información sobre la identidad digital y DORA
La identidad digital es fundamental para DORA. Para cumplir con DORA, las organizaciones de servicios financieros deben implementar herramientas sólidas de gestión de identidad y autenticación para mejorar el control de acceso y reforzar la seguridad de las operaciones y transacciones. Con un increíble 86% de los ataques a aplicaciones web que se remontan a credenciales comprometidas, es fácil ver por qué.
Para descubrir cómo la Identidad Digital impacta a DORA, su seguridad y la seguridad de sus clientes, lea el whitepaper de Okta “El papel de la Identidad Digital en DORA”.
