What is the Digital Operational Resilience Act (DORA)?

DORA, la Ley de Resiliencia Operacional Digital, es un proyecto de ley diseñado para mejorar la ciberseguridad y la resiliencia operativa del sector de servicios financieros. Complementa las leyes existentes, como la Directiva roja y de seguridad de la información (NISD) y el Reglamento general de protección de datos (GDPR). Si bien DORA todavía está trabajando en el proceso legislativo, se espera que sea aprobado en 2022.

Ver una demostración

What is the Digital Operational Resilience Act (DORA)?

¿Cómo afectará la Ley de Resiliencia Operacional Digital (DORA) a mi organización?

La Ley de Resiliencia Operacional Digital define umbrales de criticidad para los servicios prestados a las instituciones financieras. Si una organización es un proveedor de servicios directos a una institución financiera y sus servicios cumplen con estos umbrales, entonces la compañía está sujeta a DORA. Esto significa que la organización será supervisada directamente por el regulador financiero correspondiente.

 

Para las organizaciones cuyos servicios no cumplen con los umbrales de DORA, la regulación aún se aplica, pero no se requiere supervisión directa. En cambio, los clientes de la organización deberán exigir ciertos términos contractuales para lograr el cumplimiento de los requisitos de DORA.

 

Por ejemplo, la Ley de Resiliencia Operacional Digital (DORA) requiere que las instituciones financieras reporten las violaciones de datos a los reguladores dentro de una cierta ventana de descubrimiento. Las instituciones financieras deberán imponer los mismos requisitos de notificación de incumplimiento a sus proveedores y proveedores de servicios, así como parte de sus obligaciones contractuales. Si una organización no está dispuesta a aceptar estos términos, DORA prohíbe a la institución financiera hacer negocios con ellos.

 

La Ley de Resiliencia Operacional Digital dicta los términos que las instituciones financieras exigirán a sus proveedores y los controles de seguridad que estos proveedores deben tener implementados. Dado que DORA está orientada a mejorar la resiliencia de toda la industria financiera, es probable que estas obligaciones y requisitos se transmitan a toda la cadena de suministro.

Los principales requisitos de la Ley de Resiliencia Operacional Digital (DORA)

El objetivo principal de DORA es asegurar la resiliencia operativa del sector financiero. Como parte de esto, las organizaciones cubiertas por la Ley de Resiliencia Operacional Digital deben implementar procesos de gestión de riesgos que ayuden a identificar vulnerabilidades potenciales a amenazas cibernéticas plausibles e implementar políticas y controles de seguridad para protegerse contra estos riesgos.

 

DORA crea un marco de reglas que las instituciones financieras y sus proveedores deben seguir para lograr resiliencia operativa. Algunos de los objetivos y requisitos clave incluyen:

 

  • Administración de riesgos y gobierno: DORA establece marcos y directrices para la gestión de riesgos en el sector financiero. Estas pautas están destinadas a ayudar a las organizaciones a crear programas de gestión de riesgos más maduros y mejorar la resiliencia operativa.
  • Pruebas de resiliencia: DORA sugiere que las organizaciones cubiertas implementen programas de pruebas de resiliencia basados en sus evaluaciones de riesgo. Esto ayuda a identificar y corregir cualquier problema antes de que representen una amenaza para las operaciones.
  • Intercambio de inteligencia: Muchos actores de amenazas cibernéticas que trabajan en la industria financiera se dirigirán a varias organizaciones a la vez. Al fomentar el intercambio de inteligencia sobre amenazas, DORA ayuda a toda la industria a ser más consciente y estar más preparada para enfrentar las amenazas cibernéticas en curso.
  • Administración de la Cadena de Suministro: DORA impone requisitos sobre las relaciones contractuales de las instituciones financieras con sus proveedores. Adicionalmente, se requiere que las instituciones financieras cuenten con estrategias para manejar los riesgos que estos proveedores crean, incluyendo el potencial para salir de relaciones y pasar a sustitutos.
  • Reporte de incidentes: DORA amplía el alcance de la notificación de incidentes e intenta agilizar el proceso de presentación de informes. Al requerir informes más rápidos, DORA también fomenta la investigación y respuesta rápidas de incidentes, lo que ayuda a mitigar el impacto de una violación. Además, los informes de infracciones se pueden utilizar para ayudar a detectar intrusiones desconocidas en otros lugares.
  • Acceso de auditoría: La regulación DORA permite a los reguladores (e instituciones financieras en el caso de los proveedores) realizar auditorías a lo largo de la cadena de suministro en la industria financiera. Esto ayuda a impulsar el cumplimiento, pero significa que las organizaciones deben tener la capacidad de generar informes bajo demanda.
  • Análisis retrospectivo: La mayoría de las organizaciones tratan de aprender de sus propios incidentes internos, pero DORA también recomienda estudiar y revisar políticas basadas en incidentes externos. Esto tiene la intención de evitar que varias organizaciones sean víctimas de los mismos tipos de ataques.

 

Se desconocen los requisitos exactos de la Ley de Resiliencia Operacional Digital, ya que todavía se encuentra en estado de borrador. Sin embargo, iniciar el proceso para cumplir con estos requisitos hoy simplificará el cumplimiento una vez que se apruebe la ley.

Cómo ayudan las soluciones de Check Point con el cumplimiento de DORA

DORA aún no se ha aprobado, pero se espera que se convierta en ley en 2022. Esto significa que las organizaciones que puedan verse afectadas por DORA deberían comenzar a trabajar para lograr el cumplimiento hoy mismo.

 

Para prepararse para la Ley de Resiliencia Operacional Digital, uno de los pasos más importantes que puede tomar una organización es simplificar y agilizar su arquitectura de seguridad. DORA requiere un rápido reporting de incidentes de ciberseguridad, visibilidad de las dependencias de terceros de una organización y la capacidad de responder a las solicitudes de auditoría de los reguladores o clientes.

 

Check Point Harmony Suite brinda protección consolidada en toda la infraestructura de TI de una organización, incluido el soporte para terminales, dispositivos móviles, la nube y el correo electrónico. Al simplificar y optimizar la infraestructura de seguridad de una organización, Harmony Suite facilita la protección contra amenazas cibernéticas y cumple con los requisitos de informes de DORA. Para obtener más información sobre cómo las soluciones de Check Point pueden ayudar con el cumplimiento y otras regulaciones, contáctenos.

x
  Comentarios
Este sitio web utiliza cookies para optimizar su funcionalidad y para fines de análisis y marketing.Al seguir usando este sitio web, usted acepta el uso de cookies.Para obtener más información, lea nuestro Aviso de cookies.
Aceptar