Póngase en contacto con
Ayuda
Inicio de sesión
Protección de datos como servicio
4 min leer

5 pasos clave para el cumplimiento del DORA

Mientras las instituciones financieras se preparan para la Ley de Resiliencia Operativa Digital (DORA), nuestra última guía describe cinco pasos fundamentales para el cumplimiento. Desde la evaluación de riesgos hasta la creación de una estrategia de resistencia operativa, aprenda a garantizar que su organización cumple los requisitos de la DORA y refuerza su marco operativo.

Escrito por
Andy Fernández
Publicado el
18 de septiembre de 2024
Compartir en redes sociales

A medida que las entidades financieras se preparan para la aplicación de la Digital Operational Resilience Act (DORA), es fundamental tener una hoja de ruta clara para su cumplimiento. Sobre la base de nuestros artículos anteriores,"Implementing DORA: Lessons from a CTO" y "What is the Digital Operational Resilience Act (DORA)?", este post ofrece una guía sobre los cinco pasos clave que deben dar las organizaciones para garantizar el cumplimiento de la DORA y reforzar su resiliencia operativa.

1. Evaluar los riesgos y las necesidades

La base del DORA reside en un conocimiento profundo del estado de riesgo actual de su organización y de los requisitos específicos que debe cumplir.

Realizar una evaluación exhaustiva de los riesgos

  • Identificar y catalogar todos los sistemas e infraestructuras TIC críticos
  • Evaluar las vulnerabilidades y amenazas potenciales de estos sistemas.
  • Evaluar el impacto potencial de las interrupciones relacionadas con las TIC en las operaciones de su empresa.
  • Considerar los factores de riesgo internos y externos, incluidas las ciberamenazas, los fallos del sistema y los riesgos de terceros.

Comprender los requisitos del DORA

  • Revise la legislación DORA, prestando atención a las disposiciones específicas para su tipo de entidad financiera.
  • Identificar las diferencias entre sus prácticas actuales y los requisitos del DORA
  • Priorizar las áreas que requieren atención inmediata en función del nivel de riesgo y los plazos de cumplimiento.

Aprovechar los marcos existentes

  • Asignar los requisitos del DORA a los esfuerzos de cumplimiento existentes (por ejemplo, GDPR, NIS y Directivas NIS2) para identificar sinergias y evitar la duplicación.

2. Desarrollar una estrategia global

Con una comprensión clara de sus riesgos y requisitos, el siguiente paso es crear una estrategia sólida para el cumplimiento de la DORA y la resistencia operativa.

Crear una estrategia de resistencia operativa

  • Definir objetivos claros para la gestión de riesgos TIC y la resistencia operativa
  • Desarrollar indicadores clave de rendimiento y métricas para medir el progreso
  • Crear una hoja de ruta con objetivos a corto y largo plazo para lograr y mantener el cumplimiento.

Establecer un marco de gobernanza

  • Definir funciones y responsabilidades para el cumplimiento de la DORA en toda la organización.
  • Crear un comité directivo interfuncional del DORA para supervisar su aplicación.
  • Desarrollar y documentar políticas y procedimientos para la gestión de riesgos de las TIC, la respuesta a incidentes y la continuidad de las actividades.
  • Garantizar la supervisión ejecutiva y la información periódica sobre los esfuerzos de cumplimiento del DORA.

Respuesta a incidentes y planificación de la continuidad de las actividades

  • Crear y actualizar periódicamente planes de continuidad de la actividad que tengan en cuenta los requisitos del DORA.
  • Establecer protocolos de comunicación claros para las partes interesadas internas y externas durante los incidentes.

3. Implantar medidas de seguridad sólidas

El cumplimiento del DORA exige controles y prácticas de seguridad sólidos para protegerse de los riesgos de las TIC y garantizar la resistencia operativa.

Reforzar las capacidades de ciberseguridad

  • Implantar controles de seguridad de varios niveles, incluidos:  
  • Gestión de acceso y autenticación sólidas (por ejemplo, autenticación multifactor)
  • Cifrado de datos sensibles en reposo y en tránsito
  • Cortafuegos de nueva generación y sistemas de detección y prevención de intrusiones
  • Soluciones de detección y respuesta para puntos finales (EDR)
  • Actualizar y parchear periódicamente todos los sistemas y programas informáticos
  • Implantar la segmentación de la red para limitar la propagación de posibles infracciones.

Mejorar los procesos de copia de seguridad y recuperación

  • Implemente una sólida estrategia de copias de seguridad siguiendo la regla 3-2-1 (3 copias, 2 soportes diferentes, 1 fuera del sitio).
  • Probar periódicamente los procedimientos de copia de seguridad y recuperación para garantizar la integridad de los datos y la capacidad de restauración del sistema.
  • Implemente copias de seguridad inmutables para protegerse de los ataques de ransomware

Hacer frente a los riesgos de terceros

  • Desarrollar un programa integral de gestión de riesgos de terceros
  • Llevar a cabo la diligencia debida con todos los proveedores de servicios de TIC críticos.
  • Incluir requisitos de cumplimiento de la DORA en los contratos con terceros proveedores.
  • Evaluar y auditar periódicamente las medidas de seguridad de terceros y la resistencia operativa.

4. Realizar pruebas y auditorías periódicas

Las pruebas y auditorías continuas son cruciales para mantener la conformidad con DORA y mejorar su resistencia operativa a lo largo del tiempo.

Implantar un programa integral de pruebas

  • Realice pruebas de penetración periódicas para detectar vulnerabilidades en sus sistemas y redes.
  • Realice pruebas frecuentes de recuperación en caso de catástrofe (DR) para garantizar la eficacia de sus planes de recuperación.
  • Realice ejercicios de continuidad de la actividad para comprobar la respuesta de su organización ante diversos escenarios relacionados con las TIC.
  • Incluya a terceros proveedores en sus actividades de comprobación cuando proceda.

Automatizar la detección y respuesta a las amenazas

  • Implantar soluciones de gestión de eventos e información de seguridad (SIEM) para la detección de amenazas en tiempo real.
  • Utilizar la inteligencia artificial y el aprendizaje automático para mejorar las capacidades de detección de amenazas
  • Desarrollar y actualizar periódicamente guías para la respuesta automatizada a incidentes.

Establecer un marco de auditoría sólido

  • Realice auditorías internas periódicas para evaluar el cumplimiento del DORA y la eficacia de sus estrategias de gestión de riesgos de las TIC.
  • Contratar a auditores externos para que realicen una evaluación independiente del cumplimiento de la DORA.
  • Desarrollar un proceso de seguimiento y aplicación de las conclusiones y recomendaciones de las auditorías.

5. Formar y colaborar

El cumplimiento satisfactorio de la DORA requiere una cultura de concienciación y colaboración en toda la organización.

Impartir una formación completa a los empleados

  • Desarrollar programas de formación específicos para cada función sobre los requisitos del DORA y los procedimientos de cumplimiento.
  • Impartir formación periódica sobre ciberseguridad a todos los empleados.
  • Simular ataques de phishing e ingeniería social para probar y mejorar la preparación de los empleados.

Fomentar la colaboración interfuncional

  • Establecer reuniones periódicas entre las unidades de TI, jurídica, de gestión de riesgos y de negocio para debatir el cumplimiento de la DORA.
  • Crear canales para compartir información y buenas prácticas entre distintos equipos y departamentos.

Comprometerse con las partes interesadas externas

  • Colaborar con los organismos reguladores para mantenerse informado sobre las interpretaciones y expectativas del DORA.
  • Establezca relaciones con socios y proveedores de ciberseguridad para mejorar sus capacidades de inteligencia y respuesta ante amenazas.

Lograr y mantener el cumplimiento de la normativa DORA es una tarea compleja pero esencial para las entidades financieras que operan en la UE. Siguiendo estos cinco pasos clave -evaluación de riesgos y requisitos, desarrollo de una estrategia integral, implantación de medidas de seguridad sólidas, realización de pruebas y auditorías periódicas y fomento de una cultura de formación y colaboración-, las organizaciones no solo pueden cumplir los requisitos normativos, sino también mejorar significativamente su resistencia operativa.

Recuerde que el cumplimiento de la DORA es un proceso continuo, no un esfuerzo puntual. Revise y perfeccione periódicamente su enfoque para asegurarse de que su organización sigue siendo resistente ante la evolución de los riesgos de las TIC y las expectativas normativas.

Recursos adicionales:

Shive Raja Headshot

Andy Fernández

Director de Gestión de Productos

Andy Fernandez es el Director de Gestión de Productos de HYCU, una empresa de Atlassian Ventures. Toda la carrera de Andy se ha centrado en la protección de datos y la recuperación ante desastres para aplicaciones críticas. Anteriormente ocupó puestos de producto y GTM en Zerto y Veeam, el enfoque de Andy ahora es asegurar que las organizaciones protejan las aplicaciones críticas SaaS y Cloud a través de ITSM y DevOps. Cuando no está trabajando en la protección de datos, a Andy le encanta asistir a conciertos en directo, encontrar los lugares locales para comer e ir a la playa.

También te puede gustar...

HYCU Extends Patented Application Awareness to SQL Databases in the Public Cloud

Protección de datos como servicio
Protección de datos como servicio
December 17, 2024

Reacción del Tifón Salado: El importante papel de la protección de datos para frenar el riesgo de terceros

Protección de datos como servicio
Protección de datos como servicio
16 de diciembre de 2024

Aprovechar el poder de las asociaciones: Cómo HYCU lidera la protección de datos

Protección de datos como servicio
Protección de datos como servicio
10 de diciembre de 2024

Experimente la plataforma de protección de datos SaaS número 1

Pruebe HYCU usted mismo y conviértase en un creyente.

Pruebe HYCU gratis
Solicitar una demostración
Plataforma HYCU
Visualizar con R-GraphConstruir sobre HYCU
Soluciones de protección de datos
Copias de seguridadMigración de datos y movilidadRecuperación ante desastresHíbrido y multi-nubeProtección contra ransomwareSeguridad y conformidadVer todas las tecnologías compatibles
Nube privada y centros de datos
NutanixNutanix MineDell PowerProtect Data DomainNetApp ONTAP
Como servicio
Google WorkspaceEntra IDVer todos
Aplicaciones y bases de datos
SAP HANAOracleVer todos
Empresa
LiderazgoConsejo de AdministraciónEmpleoSala de prensa
Programas globales de socios
Alianzas y socios tecnológicosProveedores de servicios gestionadosBuscar un distribuidorDistribuidoresReferenciasConviértase en socioRegistro de acuerdos
Comenzar
Prueba gratuitaSolicitar una demostración
Recursos
SoporteHistorias de clientesNuevo en HYCUBiblioteca de contenidosBlogWebinars y EventosCalculadora de ransomware y preparación
Siga
2024 HYCU. Todos los derechos reservados.
LegalCondiciones de usoPolítica de privacidadResponsable de privacidad