DORA está activo. ¿Las empresas de servicios financieros están listas para demostrar su adaptación?

La Ley de resiliencia operativa digital (DORA) entró en vigencia el 17 de enero de 2025, con pautas exhaustivas y un marco regulatorio detallado sobre cómo todas las entidades de servicios financieros que hacen negocios en la Unión Europea garantizan la resiliencia de los datos contra interrupciones no planificadas. También reconoce una realidad ampliamente aceptada por los profesionales de ciberseguridad de la que ya no se trata si se produce un ciberataque, sino cuándo. Esta legislación crucial de la UE aporta un nuevo nivel de rigor y responsabilidad a la industria de servicios financieros que continuará evolucionando para proteger la estabilidad de la UE y el ecosistema financiero global.

Muchos sectores de la industria de servicios financieros, más allá de los bancos tradicionales y las instituciones de crédito, ahora se rigen por las regulaciones de DORA, incluidos los proveedores de pagos, las empresas de inversión, los lugares de negociación, los proveedores de seguros y los proveedores de servicios de tecnología de la información y la comunicación (ICT) de terceros. Los sectores que son nuevos en este nivel de regulación pueden tener dificultades para cumplir según lo indicado por el “ejercicio de ejecución en seco” de DORA de los reguladores financieros europeos.1 También es probable que enfrenten un análisis adicional por parte de clientes interconectados, socios y otras partes interesadas como un nuevo riesgo operativo. El incumplimiento ya no significa solo la posibilidad de una multa muy grande, sino también daños a la reputación y responsabilidad para una empresa, sus directores y sus socios.

Si bien aún queda por ver con qué rapidez actúan los reguladores financieros, DORA representa un cambio de las pautas para la preparación de datos y la resiliencia cibernética a su aplicación. Dada la naturaleza expansiva de DORA, que amplía significativamente la regulación financiera de la UE sobre tecnología de la información, los reguladores financieros europeos, que carecen de experiencia y recursos ilimitados, pueden enfrentar desafíos para hacer cumplir todos los aspectos de DORA de inmediato. Como resultado, es probable que los reguladores adopten un enfoque dirigido, centrándose en las áreas más críticas y visibles de incumplimiento.2

Guía para hackers sobre la mitigación y recuperación ante ataques de ransomware

Lea la guía

Qué priorizan las organizaciones financieras

Una de las principales prioridades para el cumplimiento de DORA es la presentación de registros de información precisos y técnicamente compatibles. Los reguladores financieros han enfatizado que los registros serán un enfoque principal de la aplicación, y esperan que las organizaciones los presenten a principios de 2025. Enviar un registro preciso que detalle los proveedores de TI más importantes de la organización puede ser más beneficioso que enviar información incompleta sobre todos sus proveedores de TI. 

Para los líderes de protección de datos y los CIO, DORA es un llamado a la acción para examinar los sistemas heredados y considerar si son capaces de soportar las amenazas cibernéticas actuales y pueden ofrecer el rendimiento necesario para una recuperación de servicio eficiente y rápida. Más allá de identificar y asignar sistemas, aplicaciones y cargas de trabajo clave con los respectivos proveedores de TIC, las organizaciones deben considerar cuidadosamente las capacidades centrales que protegen, defienden y recuperan estos sistemas. Entre las capacidades críticas se incluyen las siguientes:

• Protección de datos y recuperación cibernética: Las capacidades de recuperación rápida son esenciales en DORA como una forma de minimizar el impacto operativo de un ataque. Para los sistemas críticos (p. ej., pagos), la única forma de lograr los objetivos de tiempo de recuperación más estrictos y ultracortos requeridos por las regulaciones de resiliencia operativa es recuperarse usando snapshots inmutables basadas en almacenamiento. Estas snapshots deben almacenarse de forma segura en un repositorio aislado (o prácticamente con espacio de aire).
• Detección de amenazas de advertencia temprana: Identificar y remediar las posibles amenazas cibernéticas antes es un aspecto importante de la protección y preparación de datos. La capacidad de escanear datos de forma continua para detectar anomalías e identificar amenazas como ransomware y malware en tiempo real y automatizar la corrección es esencial para una contención más rápida de un ataque. 
• Entornos de recuperación aislados (IRE) o salas limpias para pruebas de resistencia: Establecer un entorno de recuperación aislado y completamente independiente en el que los datos puedan restaurarse para el análisis forense y de aplicaciones, y validarse como limpios antes de volver a la recuperación de las velocidades de producción.  Las IRE también permiten que las organizaciones prueben y mejoren continuamente las prácticas de recuperación cibernética para la preparación organizacional.
• Escalabilidad y rendimiento: Las empresas continuarán evolucionando sus servicios, enfrentando nuevos requisitos regulatorios y lidiando con las amenazas cibernéticas emergentes. Es importante considerar la capacidad de una solución para escalar a medida que cambian los requisitos de datos en entornos híbridos distribuidos, mientras se mantienen velocidades de alto rendimiento para la recuperación y protección de datos.

Cumplimiento con la confianza

Las organizaciones que retrasan el establecimiento de capacidades sólidas para cumplir con DORA y otras reglamentaciones de resiliencia en evolución, como PSD2, NIS2, APRA CPS 230 y la Ley Europea de Resistencia Cibernética que entrará en vigencia en 2026, pueden encontrarse con desafíos cada vez mayores que superar. También pueden encontrarse en una desventaja competitiva para las empresas que pueden demostrar su capacidad de mantenerse resilientes ante las interrupciones en el ecosistema financiero global. Trabajar con socios que comprendan los requisitos de resiliencia de la regulación e implementar soluciones sólidas puede ayudar a las organizaciones a garantizar que cumplan y estén mejor preparadas para cumplir con los nuevos desafíos regulatorios y defender su entorno de datos contra las amenazas emergentes.

Pure Storage y Commvault se han unido para crear una solución conjunta, de diseño modular, que ayude a las instituciones financieras a mejorar sus prácticas de ciberresiliencia y abordar los pilares clave de DORA para la respuesta a incidentes y las pruebas de resiliencia. La solución se desarrolla mediante la integración de las capacidades líderes de resiliencia cibernética de la nube Commvault® con la plataforma Pure Storage de alto rendimiento y alta seguridad. Obtenga más información sobre la solución y nuestro compromiso con la resiliencia cibernética en este resumen de soluciones.

¿Está ciberlisto? 

La preparación refleja la resiliencia cibernética madura, en la que la tecnología, las personas y los procesos funcionan sin problemas para permitir la continuidad del negocio frente a cualquier desafío cibernético. Evalúe la resiliencia cibernética de su organización con la evaluación de madurez cibernética de Commvault.