La Ley de Resiliencia Operacional Digital (DORA) entró en vigor el 17 de enero de 2025, con unas directrices exhaustivas y un marco normativo detallado sobre cómo todas las entidades de servicios financieros que hacen negocios en la Unión Europea garantizan la resiliencia de los datos frente a las disrupciones imprevistas. También reconoce una realidad ampliamente aceptada por los profesionales de la ciberseguridad que ya no se trata de si se produce un ciberataque, sino de cuándo. Esta legislación crucial de la UE aporta un nuevo nivel de rigor y responsabilidad al sector de los servicios financieros, que seguirá evolucionando para salvaguardar la estabilidad de la UE y del ecosistema financiero global.
Muchos sectores del sector de los servicios financieros, más allá de los bancos y las instituciones de crédito tradicionales, se rigen actualmente por las normativas DORA, incluidos los proveedores de pagos, las empresas de inversión, los centros de negociación, los proveedores de seguros y los proveedores de servicios de tecnología de la información y la comunicación (TIC) de terceros. Los sectores que son nuevos en este nivel de regulación pueden tener dificultades para cumplir, tal como indica el “ejercicio de funcionamiento en seco” de DORA de los reguladores financieros europeos.1 También es probable que se enfrenten a un escrutinio adicional por parte de clientes, socios y otras partes interesadas interconectadas como un nuevo riesgo operativo. El incumplimiento ya no significa solo la posibilidad de una multa muy grande, sino también el daño a la reputación y la responsabilidad de una empresa, sus directores y sus socios.
Si bien aún está por ver lo rápido que actúan los reguladores financieros, DORA representa un cambio de las directrices para la preparación de los datos y la ciberresiliencia a su aplicación. Dada la naturaleza expansiva de DORA, que amplía significativamente la regulación financiera de la UE en materia de tecnología de la información, los reguladores financieros europeos, que carecen de conocimientos y recursos ilimitados, pueden enfrentarse a retos que hacen cumplir inmediatamente todos los aspectos de DORA. Como resultado, es probable que los reguladores adopten un enfoque dirigido, centrándose en las áreas más críticas y visibles de incumplimiento.2
Qué priorizan las organizaciones financieras
Una de las principales prioridades para el cumplimiento de DORA es la presentación de registros de información precisos y técnicamente conformes. Los organismos reguladores financieros han hecho hincapié en que los registros serán el centro principal de aplicación y esperan que las organizaciones los presenten a principios de 2025. Enviar un registro preciso que detalle los proveedores de TI más importantes de la organización puede ser más beneficioso que enviar información incompleta sobre todos sus proveedores de TI.
Para los responsables de la protección de datos y los directores de sistemas de información, DORA es una llamada a la acción para examinar los sistemas tradicionales y considerar si son capaces de soportar las ciberamenazas actuales y pueden proporcionar el rendimiento necesario para una recuperación de servicio eficiente y rápida. Además de identificar y asignar los sistemas, las aplicaciones y las cargas de trabajo clave con los proveedores de TIC respectivos, las organizaciones deben considerar cuidadosamente las capacidades principales que protegen, defienden y recuperan estos sistemas. Las capacidades críticas incluyen:
- Protección de datos y ciberrecuperación: Las capacidades de recuperación rápida son esenciales en DORA para minimizar el impacto operativo de un ataque. En el caso de los sistemas críticos (por ejemplo, los pagos), la única manera de lograr los objetivos de tiempo de recuperación ultracorto y más estrictos que exigen las normativas de resiliencia operativa es recuperarse usando copias instantáneas inmutables basadas en el almacenamiento. Estas copias instantáneas deben almacenarse de manera segura en un repositorio aislado (o prácticamente atrapado en el aire).
- Detección temprana de amenazas: Identificar y corregir las posibles ciberamenazas antes es un aspecto importante de la protección y la preparación de los datos. La capacidad de escanear continuamente los datos para detectar anomalías e identificar amenazas como el ransomware y el malware en tiempo real y automatizar la corrección es esencial para una contención más rápida de un ataque.
- Entornos de recuperación aislados (IRE) o salas limpias para pruebas de resiliencia: Establecer un entorno de recuperación totalmente autónomo y aislado, en el que los datos puedan restaurarse para realizar análisis forenses y de aplicaciones y validarse como limpios antes de volver a la recuperación de las velocidades de producción. Los IRE también permiten que las organizaciones prueben y mejoren continuamente las prácticas de ciberrecuperación para estar preparadas para la organización.
- Escalabilidad y rendimiento: Las empresas seguirán evolucionando sus servicios, se enfrentarán a nuevos requisitos normativos y se enfrentarán a las ciberamenazas emergentes. Es importante tener en cuenta la capacidad de una solución para escalarse a medida que cambian los requisitos de los datos en los entornos híbridos distribuidos, manteniendo al mismo tiempo unas velocidades de alto rendimiento para la protección y la recuperación de los datos.
Cumplimiento con confianza
Las organizaciones que retrasan el establecimiento de capacidades sólidas para cumplir con DORA y otras normativas de resiliencia cambiantes, como PSD2, NIS2, APRA CPS 230 y la Ley Europea de Ciberresiliencia, pueden encontrarse con retos cada vez mayores que superar. También pueden encontrarse en una desventaja competitiva para las empresas que pueden demostrar su capacidad para seguir siendo resilientes ante las disrupciones en el ecosistema financiero global. Trabajar con socios que entiendan los requisitos de resiliencia de la normativa y desplieguen soluciones sólidas puede ayudar a las organizaciones a garantizar que cumplen los requisitos y que están mejor preparadas para afrontar los nuevos retos normativos y defender su entorno de datos frente a las amenazas emergentes.
Pure Storage y Commvault se han unido para crear una solución conjunta, de diseño modular, que ayude a las instituciones financieras a mejorar sus prácticas de ciberresiliencia y a abordar los pilares clave de DORA para la respuesta a los incidentes y las pruebas de resiliencia. La solución se ha creado integrando las capacidades líderes de ciberresiliencia de Commvault® Cloud con la plataforma de Pure Storage, de alto rendimiento y muy segura. Obtenga más información sobre la solución y nuestro compromiso con la ciberresiliencia en este resumen de la solución.
¿Está ciberpreparado?
La preparación refleja la ciberresiliencia madura, en la que la tecnología, las personas y los procesos funcionan sin problemas para permitir la continuidad operativa frente a cualquier ciberdesafío. Evalúe la ciberresiliencia de su organización con la Evaluación de la Cibermadurez de Commvault.