5 pasos clave para el cumplimiento de la DORA

A medida que las entidades financieras se preparan para la aplicación de la Ley de Resiliencia Operativa Digital (DORA), es crucial contar con una hoja de ruta clara para su cumplimiento. Basándonos en nuestros artículos anteriores, "Implementación del DORA: Lecciones de un CTO" y "¿Qué es la Ley de Resiliencia Operativa Digital (DORA)?", este post ofrece una guía sobre los cinco pasos clave que deben dar las organizaciones para garantizar el cumplimiento de la DORA y reforzar su resistencia operativa.

1. Evalúe los riesgos y los requisitos

La base de la DORA reside en un conocimiento profundo del estado actual de los riesgos de su organización y de los requisitos específicos que debe cumplir.

Realice una evaluación integral de riesgos

• Identifique y catalogue todos los sistemas e infraestructuras TIC críticos
• Evalúe las vulnerabilidades y amenazas potenciales de estos sistemas
• Evalúe el impacto potencial de las interrupciones relacionadas con las TIC en sus operaciones empresariales
• Considere los factores de riesgo tanto internos como externos, incluidas las amenazas cibernéticas, los fallos del sistema y los riesgos de terceros

Comprender los requisitos del DORA

• Revisar la legislación del DORA, prestando atención a las disposiciones específicas para su tipo de entidad financiera
• Identifique las lagunas existentes entre sus prácticas actuales y los requisitos de la DORA
• Priorice las áreas que requieren atención inmediata en función del nivel de riesgo y los plazos de cumplimiento

Aproveche los marcos existentes

• Alinee su evaluación con los marcos establecidos como Marco de Ciberseguridad del NIST o ISO 27001
• Mapee los requisitos del DORA con los esfuerzos de cumplimiento existentes (e.g., GDPR, Directivas NIS y NIS2) para identificar sinergias y evitar duplicidades

2. Desarrolle una estrategia integral

Con una comprensión clara de sus riesgos y requisitos, el siguiente paso es crear una estrategia sólida para el cumplimiento del DORA y la resiliencia operativa.

Construya una estrategia de resistencia operativa

• Defina objetivos claros para su gestión de riesgos de TIC y su resistencia operativa
• Desarrolle indicadores clave de rendimiento y métricas para medir el progreso
• Cree una hoja de ruta con objetivos a corto y largolargo plazo para lograr y mantener el cumplimiento

Establezca un marco de gobernanza

• Defina funciones y responsabilidades para el cumplimiento del DORA en toda su organización
• Cree un comité directivo del DORA interfuncional para supervisar la implementación
• Desarrolle y documente políticas y procedimientos para la gestión de riesgos de las TIC, respuesta a incidentes y continuidad del negocio
• Asegurar la supervisión ejecutiva y la elaboración de informes periódicos sobre los esfuerzos de cumplimiento del DORA

Planificación de la respuesta ante incidentes y de la continuidad del negocio

• Desarrollar planes de respuesta a incidentes para diversos escenarios relacionados con las TIC.escenarios relacionados
• Crear y actualizar periódicamente planes de continuidad de la actividad que aborden los requisitos del DORA
• Establecer protocolos de comunicación claros para las partes interesadas internas y externas durante los incidentes
• Definir objetivos de tiempo de recuperación (RTO) y objetivos de punto de recuperación (RPO) para los sistemas críticos

3. Implemente medidas de seguridad sólidas

El cumplimiento de la DORA requiere controles y prácticas de seguridad sólidos para protegerse de los riesgos de las TIC y garantizar la resistencia operativa.

Fortalezca las capacidades de ciberseguridad

• Implemente controles de seguridad de varios niveles, que incluyan:
• Gestión de acceso y autenticación sólidas (por ejemplo, autenticación multifactor)
• Encriptación de datos para la información confidencial en reposo y en tránsito
• Cortafuegos de última generación y detección de intrusos
• Cortafuegos de última generación y detección de intrusos.generación de cortafuegos y sistemas de detección/prevención de intrusiones
• Soluciones de detección y respuesta de punto final (EDR)
• Actualice y aplique parches periódicamente a todos los sistemas y software
• Implemente la segmentación de la red para limitar la propagación de posibles brechas

Mejore los procesos de copia de seguridad y recuperación

• Implemente una estrategia de copia de seguridad sólida siguiendo la regla 3-2-1 (3 copias, 2 soportes diferentes, 1 fuera de las instalaciones)
• Pruebe periódicamente los procedimientos de copia de seguridad y recuperación para garantizar la integridad de los datos y la capacidad de restauración del sistema
• Implemente copias de seguridad inmutables para protegerse de los ataques de ransomware

Abordar los riesgos de terceros

• Desarrolle un programa integral de gestión de riesgos deprograma integral de gestión de riesgos de terceros
• Realice la diligencia debida sobre todos los proveedores de servicios TIC críticos
• Incluya requisitos de cumplimiento de la DORA en los contratos con proveedores externos
• Evalúe y audite periódicamente las medidas de seguridad y la resistencia operativa de terceros

4. Realice pruebas y auditorías periódicas

Las pruebas y auditorías continuas son cruciales para mantener el cumplimiento de la DORA y mejorar su resistencia operativa con el paso del tiempo.

Implemente un programa de pruebas exhaustivo

• Realice pruebas de penetración periódicas para identificar las vulnerabilidades de sus sistemas y redes
• Realice pruebas frecuentes de recuperación ante desastres (DR) para garantizar la eficacia de sus planes de recuperación
• Realice ejercicios de continuidad de negocio para probar la respuesta de su organización ante diversos escenarios relacionados con las TIC
• Prepárese para realizar pruebas y auditorías periódicas.TIC
• Incluya a proveedores externos en sus actividades de prueba cuando sea necesario

Automatice la detección de amenazas y la respuesta

• Implemente soluciones de gestión de eventos e información de seguridad (SIEM) para la detección de amenazas en tiempo real
• Informe a su empresa sobre las amenazas que se ciernen sobre ella.para la detección de amenazas en tiempo real
• Utilizar la inteligencia artificial y el aprendizaje automático para mejorar las capacidades de detección de amenazas
• Desarrollar y actualizar periódicamente guías para la respuesta automatizada ante incidentes

Establecer un marco de auditoría sólido

• Realizar auditorías internas periódicas para evaluar el cumplimiento de la DORA. auditorías internas periódicas para evaluar el cumplimiento del DORA y la eficacia de sus estrategias de gestión de riesgos de las TIC
• Envíe a auditores externos para que le proporcionen una evaluación independiente de sus esfuerzos de cumplimiento del DORA
• Desarrolle un proceso de seguimiento y aplicación de las conclusiones y recomendaciones de las auditorías

5. Forme y colabore

El éxito en el cumplimiento de la DORA requiere una cultura de concienciación y colaboración en toda su organización.

Proporcione una formación completa a los empleados

• Desarrolle programas de formación específicos para cada función sobre los requisitos de la DORA y los procedimientos de cumplimiento
• Realice una formación periódica de concienciación sobre ciberseguridad para todos los empleados
• Simule ataques de phishing y de ingeniería social para poner a prueba y mejorar la preparación de los empleados

Fomente la colaboración interfuncional

• Establezca reuniones periódicas entre los departamentos de TI, jurídico, de gestión de riesgos, y las unidades de negocio para debatir el cumplimiento del DORA
• Crear canales para compartir información y mejores prácticas entre los distintos equipos y departamentos

Interactuar con las partes interesadas externas

• Colaborar con los organismos reguladores para mantenerse informado sobre las interpretaciones y expectativas del DORA interpretaciones y expectativas
• Establezca relaciones con socios y proveedores de ciberseguridad para mejorar sus capacidades de inteligencia y respuesta ante amenazas

Conseguir y mantener el cumplimiento de la DORA es una tarea compleja pero esencial para las entidades financieras que operan en la UE. Siguiendo estos cinco pasos clave -evaluación de riesgos y requisitos, desarrollo de una estrategia integral, aplicación de medidas de seguridad sólidas, realización de pruebas y auditorías periódicas y fomento de una cultura de formación y colaboración- las organizaciones no sólo pueden cumplir los requisitos normativos, sino también mejorar significativamente su resistencia operativa.

Recuerde que el cumplimiento de la DORA es un proceso continuo, no un esfuerzo de una sola vez. Revise y perfeccione periódicamente su enfoque para asegurarse de que su organización sigue siendo resistente frente a la evolución de los riesgos de las TIC y las expectativas normativas.

Las organizaciones deben ser capaces de cumplir con los requisitos del DORA.