Por Howard Beader, vicepresidente de marketing de productos en Catchpoint

Conozca a DORA: no el personaje de la televisión, sino la Ley de Resiliencia Operacional Digital, una nueva regulación de la UE para el sector financiero.

En vigor desde enero de 2025, su objetivo principal es establecer un marco unificado para gestionar los riesgos de las TIC en la industria financiera de la UE.

Al establecer requisitos y directrices estandarizados, DORA tiene como objetivo garantizar que las entidades financieras puedan resistir eficazmente las interrupciones, las amenazas cibernéticas y otros desafíos en un panorama cada vez más digital. Este artículo explora su impacto en las entidades financieras y los proveedores externos críticos, incluidos los proveedores de servicios en la nube y los centros de datos.

Impulsores clave detrás de DORA

  • El papel de las TIC en la era digital: en un mundo impulsado por la tecnología, la importancia de las TIC ha aumentado, especialmente después de la pandemia, amplificando tanto sus beneficios como sus riesgos. La ley lo reconoce al resaltar que el aumento de la digitalización y la interconectividad aumentan la vulnerabilidad de la sociedad, particularmente del sistema financiero, a las amenazas cibernéticas y las interrupciones de las TIC.
  • Vulnerabilidad sistémica y estabilidad financiera: La Junta Europea de Riesgo Sistémico (JERS) subraya cómo los sistemas de TIC interconectados en las finanzas pueden desencadenar vulnerabilidad sistémica. Incluso los incidentes cibernéticos localizados pueden propagarse rápidamente entre entidades financieras, poniendo en peligro todo el sistema, generando problemas de liquidez y erosionando la confianza.
  • Mayor prioridad en materia de resiliencia: si bien las reformas anteriores se centraron en aspectos económicos y de mercado, la resiliencia pasó a un segundo plano. Ahora, DORA considera fundamental la resiliencia, garantizando la prestación ininterrumpida de servicios financieros en toda la Unión, incluso en situaciones difíciles, manteniendo al mismo tiempo la confianza de los consumidores y del mercado.
  • Armonización y supervisión: A pesar de un reglamento único unificado y de una supervisión financiera europea, persisten las inconsistencias. DORA aborda esta brecha enfatizando que la resiliencia operativa digital y la seguridad de las TIC deben armonizarse para garantizar la estabilidad, rectificando la discrepancia actual.

DORA - No se trata sólo de ciberseguridad

DORA va más allá de la ciberseguridad y destaca la importancia de prevenir las interrupciones de Internet. La ley subraya el continuo “seguimiento y control de la seguridad y el funcionamiento de los sistemas y herramientas TIC” para mitigar los riesgos.

Los componentes notables incluyen:

Artículo 8, Identificación: Las entidades financieras deben “identificar todas las fuentes de riesgo de TIC” y evaluar las ciberamenazas y vulnerabilidades relevantes relacionadas con sus funciones y activos respaldados por TIC.

Artículo 9, Protección y Prevención: Las entidades financieras deben “monitorear y controlar continuamente la seguridad y el funcionamiento de los sistemas y herramientas de TIC”, minimizando el impacto de los riesgos de TIC a través de herramientas, políticas y procedimientos de seguridad efectivos.

Artículo 10, Detección: El reglamento exige mecanismos para “detectar rápidamente actividades anómalas”, incluidos problemas de rendimiento de la red de TIC, incidentes y posibles puntos únicos de falla.

Impacto de DORA en instituciones financieras y proveedores externos

La implicación de DORA para las instituciones financieras es enorme, ya que responsabiliza a las juntas directivas por el riesgo de las TIC. Además, deben mapear su dependencia de proveedores externos de TIC, diversificar su combinación de adquisiciones y establecer procesos integrales de gestión de incidentes.

Si bien la industria financiera no es ajena a regulaciones estrictas y supervisión gubernamental, los proveedores de TI externos que respaldan a entidades financieras (como centros de datos y servicios en la nube) no lo son. La implementación de DORA requerirá que cumplan con estrictos estándares de ciberseguridad y resiliencia operativa, garantizando que sus sistemas y herramientas de TIC sean monitoreados y controlados continuamente para mitigar los riesgos.

DORA otorga a los reguladores la autoridad para investigar y revisar el software y hardware de las empresas de servicios financieros, imponer cambios para reforzar la resiliencia de la red e imponer multas por incumplimiento. Además, los reguladores pueden rescindir contratos entre entidades financieras y proveedores externos de servicios de TI si se identifican riesgos de estabilidad o seguridad para la red financiera.

Resiliencia: la clave para cumplir el mandato de DORA

DORA enfatiza de manera inequívoca la necesidad de un monitoreo y control continuo de la seguridad y las herramientas TIC para mitigar el riesgo. Sin embargo, si bien hoy en día la mayoría de las empresas cuentan con herramientas de monitoreo, tienden a monitorear solo sus propias aplicaciones y herramientas. Para complicar aún más las cosas, Internet se ha convertido en la principal red empresarial y ahora es más vulnerable que nunca.

Cumplir el mandato de DORA exige un enfoque más amplio. Las empresas deben ampliar su visibilidad más allá de sus aplicaciones y servicios utilizando una solución de monitoreo del rendimiento de Internet que abarque toda la pila de Internet, la red enredada de redes, protocolos, agentes y subsistemas más allá de sus aplicaciones y servicios, incluidos elementos centrales de Internet como BGP, DNS y CDN. Sólo entonces lograrán el tipo de resiliencia sólida exigida por DORA.