El próximo 17 de enero entrará en vigor la Ley de Resiliencia Operativa Digital (DORA), que busca garantizar la resiliencia de las instituciones financieras frente a las ciberamenazas. Para ese día, todas las empresas del sector financiero y proveedores TIC deberán cumplir con esta normativa y es que, según la plataforma de cumplimiento Formalize, desde agosto de 2024 ha habido un incremento del 57% en las compañías que buscan cumplir con ella.
Por ello, knowmad mood, consultora tecnológica líder en soluciones de transformación digital, expone 5 pasos clave para que estas empresas se aseguren de cumplir con la legislación:
- Verificar el estado de los «servicios críticos» de tu empresa. Un primer paso para cumplir con la ley de resiliencia digital es determinar si la organización proporciona «servicios críticos” o importantes – servicios financieros esenciales, plataformas TIC, o servicios dependientes de la infraestructura tecnológica, entre otros -, mediante una revisión detenida del texto de la legislación y la búsqueda de asesoría legal. Y es que estas tienen requisitos más estrictos, por lo que en caso de cumplir con estos criterios, la organización se verá obligada a establecer estándares más altos de cara a la continuidad del negocio, la planificación de amenazas cibernéticas y otras medidas de resiliencia operativa.
- Implementar controles de riesgo cibernético y gestión de cumplimiento. DORA, la ley de resiliencia digital, destaca la importancia de gestionar los riesgos TIC y de terceros. De cara a cumplir con esta normativa, es esencial que la empresa disponga de un marco específico interno de cumplimiento bien estructurado, así como un conjunto documentado de controles de ciberseguridad, en todas las capas de la organización. Una buena práctica consiste en crear o adaptar las políticas en base a estándares de ciberseguridad reconocidos, como ISO 27001. Tras implementarlas, será necesario realizar una auditoría de la organización según estos estándares, ya que las de DORA probablemente se basarán en un enfoque similar.
- Poner en marcha la gestión de riesgos de terceros. El objetivo de DORA es hacer a las instituciones financieras más resilientes frente al riesgo TIC de terceros, por lo que introduce requisitos explícitos para supervisar y evaluar regularmente a terceros proveedores clave. En caso de que la empresa no disponga de una política de gestión de estos riesgos, la entrada en vigor de esta ley será un buen momento para implementarla – los requisitos y directrices incluidos en DORA puede ayudar a las empresas a hacerlo. Si, por el contrario, ya se utiliza un software orientado a la gestión de riesgos, la empresa únicamente deberá asegurarse de que los informes de los sistemas sean valiosos y estén actualizados, ya que proporcionarán una fuerte evidencia en una auditoría de DORA.
- Reforzar la gestión de incidentes. Entre los requisitos de DORA, se encuentran algunos para informes de incidentes para las empresas financieras y proveedores de servicios TIC. Y es que exige la presentación de informes de ciberataques con información detallada sobre las causas y la raíz de los incidentes, la respuesta dada y el tiempo de inactividad, entre otros. Por ello, en caso de reunir los requisitos de DORA, es probable que aumente la frecuencia de estos informes. Por ello, las organizaciones que cuenten con herramientas de automatización de estos servicios tendrán más ventajas en este aspecto ya que no solo ahorran tiempo, sino que también garantizan la precisión y trazabilidad en el cumplimiento de estos reportes. Esto implica que aquellas que lo implementen antes de la entrada en vigor de la normativa, podrán aprovechar este ahorro de tiempo.
- Elegir plataformas que apoyen la continuidad del negocio. Otro de los fines de la ley DORA es hacer que los negocios sean más resilientes frente a los ciberataques. Para recuperarse rápidamente después de un incidente a la vez que se cumple con la normativa, las organizaciones pueden optar por plataformas “as-a-service” en la nube, que ofrecen no solo planes detallados de continuidad del negocio, sino también garantías de tiempo de actividad.
“Cumplir con el reglamento DORA no solo permite satisfacer las exigencias de la UE en ciberseguridad y protección de datos, sino mejorar la resiliencia de sus propios negocios. Pero, para lograrlo, es fundamental contar con el apoyo de expertos como knowmad mood, que pone a su disposición herramientas que facilitan la gestión proactiva de riesgos y que reduzcan el tiempo de inactividad por incidentes de ciberseguridad. Sin duda, con el apoyo adecuado y las herramientas correctas, las empresas estarán preparadas para enfrentar cualquier desafío” declara Roberto Liesa, Head of Cloud de knowmad mood.
Cargando ...
