Daniel Lattimer | Vicepresidente de Área - EMEA Oeste

Las organizaciones del sector de los servicios financieros de la Unión Europea (UE) tienen menos de un año para demostrar que cumplen la Ley de Resiliencia Operativa Digital (DORA).

¿Qué es el DORA, se aplica a su organización y cómo se entrecruza el cumplimiento del DORA con una de las principales preocupaciones actuales en materia de ciberseguridad: la detección y respuesta ante amenazas de identidad (ITDR)? Los expertos en resiliencia digital de Semperis responden a estas preguntas y a otras más en esta visión general del cumplimiento del DORA.

Más información sobre ITDR

¿Qué es DORA?

El DORA es un reglamento de la UE que entrará en vigor a principios de 2025. Unificando y sustituyendo orientaciones como la Ley de Resiliencia Operativa, el DORA es de gran alcance y más prescriptivo y exigible que las directrices anteriores.

Este nuevo marco exige que las instituciones financieras, los servicios y cualquier otra entidad financiera demuestren su capacidad para proteger y recuperar servicios críticos en caso de perturbaciones operativas. El cumplimiento del DORA se centra cada vez más en los incidentes de ciberseguridad y los problemas informáticos, y exige que las empresas demuestren su capacidad de respuesta ante incidentes cibernéticos mediante una mayor visibilidad, planificación y pruebas rigurosas.

¿Le afectan las exigencias de cumplimiento del DORA?

¿Es usted una entidad financiera u opera en servicios financieros en la UE o con ella? ¿O es un proveedor de tecnologías de la información y la comunicación (TIC) que presta apoyo a una organización de este tipo? Si es así, debe prepararse para cumplir los requisitos del DORA.

El DORA se aplica a más de 22.000 entidades financieras y proveedores de servicios de TIC que operan en la UE. El Reglamento también se aplica a la infraestructura de TIC que da soporte a esas organizaciones de fuera de la UE1.

Si su organización cumple estas condiciones y entra en una de las siguientes categorías, se le aplicarán los requisitos de cumplimiento del DORA:

  • Entidades de crédito
  • Entidades de pago
  • Entidades de dinero electrónico
  • Empresas de inversión
  • Proveedores de servicios de criptoactivos, emisores de criptoactivos, emisores de tokens referenciados a activos y emisores de tokens significativos referenciados a activos.
  • Depositarios centrales de valores
  • Contrapartes centrales
  • Centros de negociación
  • Registros de operaciones
  • Gestores de fondos de inversión alternativos
  • Empresas de gestión
  • Proveedores de servicios de información
  • Empresas de seguros y reaseguros
  • Mediadores de seguros, mediadores de reaseguros y mediadores de seguros complementarios
  • Organismos de previsión para la jubilación
  • Agencias de calificación crediticia
  • Auditores de cuentas y sociedades de auditoría
  • Administradores de puntos de referencia críticos
  • Proveedores de servicios de crowdfunding
  • Repositorios de titulización
  • Proveedores de servicios TIC a terceros2

Aunque usted sea una entidad financiera que opera fuera de la UE, puede que se le apliquen los requisitos del DORA. Muchos países no pertenecientes a la UE están promulgando legislación similar a la normativa DORA. Ha llegado el momento de evaluar el cumplimiento del DORA, independientemente de dónde se encuentre su organización.

¿Por qué DORA? ¿Por qué ahora?

Los avances tecnológicos y la colaboración con socios tecnológicos terceros y cuartos hacen que la mitigación de riesgos, las medidas preventivas y la visibilidad sean complejas y desafiantes para las entidades financieras.

La tecnología es un arma de doble filo: amenaza y solución a la vez. Además de lidiar con las nuevas tecnologías dentro de su propio entorno, las organizaciones del sector de los servicios financieros también deben hacer frente a la evolución de la tecnología maliciosa.

Una tecnología cada vez más sofisticada está permitiendo falsificaciones profundas impulsadas por IA y ataques a gran escala. En el Foro Económico Mundial 2024 de Davos, Mary Erdoes (Directora de Gestión de Activos y Patrimonio de JP Morgan) afirmó que el banco sufre 45.000 millones de intentos de pirateo cada día3. No es de extrañar que las consideraciones cibernéticas y de TIC ocupen un lugar central en DORA.

"La proliferación de nuevas tecnologías está exponiendo a los bancos a riesgos a los que nunca antes habían tenido que enfrentarse", señala Deloitte. "La banca abierta y el aumento de las asociaciones con socios tecnológicos pueden exponer la infraestructura de los bancos a nuevas vulnerabilidades y ciberataques. Los riesgos de cuarta parte también se están convirtiendo en una amenaza a medida que los bancos se asocian más con proveedores de servicios que tienen sus propios vendedores".4

Los retos del cumplimiento del DORA

A estas alturas, todos los equipos tecnológicos -ya se dediquen a operaciones informáticas, infraestructuras, seguridad o identidad- tienen algún tipo de plan de recuperación ante desastres: procesos a seguir en caso de ataque o ciberataque. Esto es especialmente cierto en el caso de los servicios financieros. Sin embargo, las complejidades de la nueva competencia del DORA, especialmente en lo que respecta a la ciberresiliencia y las TIC, son sísmicas.

No cabe duda de que esta normativa pondrá al descubierto lagunas y riesgos en los planes y procesos existentes. La DORA va a poner a prueba la preparación incluso de las organizaciones de servicios financieros más sofisticadas. Además, las entidades financieras no solo deben tener en cuenta la conformidad con la DORA de los sistemas tecnológicos que poseen, sino de todos los sistemas y servicios que adquieren a terceros.

Consecuencias del incumplimiento de los requisitos del DORA

Las empresas que incumplan el DORA estarán sujetas a multas significativas y sostenidas. Al igual que en el caso del incumplimiento del RGPD, no existe una sanción fija. En su lugar, las multas serán proporcionadas.

  • Una organización declarada no conforme por el organismo de supervisión pertinente puede estar sujeta a una multa coercitiva del 1% de la facturación media diaria global del año anterior, durante un máximo de 6 meses, hasta que se logre el cumplimiento.
  • El organismo supervisor también puede emitir órdenes de cese y desistimiento, avisos de rescisión, medidas pecuniarias adicionales y avisos públicos.5

Pero las organizaciones no sólo deben evitar las multas. El incumplimiento también conlleva un riesgo considerable para la reputación, especialmente si está relacionado con una interrupción o un incidente mal gestionados. La pérdida de confianza y la mala reputación en el sector pueden ser incluso más costosas que las multas. Para las pequeñas y medianas empresas, estos problemas pueden causar daños irrecuperables.

Por dónde empezar: Cumplimiento del DORA e ITDR

¿Cómo se relaciona el cumplimiento de la DORA con la ITDR, una necesidad creciente a medida que los ciberatacantes atacan cada vez más los sistemas de identidad en un intento de acceder a los recursos de las organizaciones objetivo y controlarlos?

Consideremos los tres párrafos siguientes del artículo 5 del DORA, que tratan del marco de gestión de riesgos de las TIC.

  1. Las entidades financieras dispondrán de un marco de gestión del riesgo de las TIC sólido, completo y bien documentado, que les permita abordar el riesgo de las TIC de forma rápida, eficiente y exhaustiva y garantizar un alto nivel de resistencia operativa digital que se ajuste a sus necesidades empresariales, tamaño y complejidad.
  2. El marco de gestión de riesgos de las TIC a que se refiere el apartado 1 incluirá estrategias, políticas, procedimientos, protocolos e instrumentos de las TIC que sean necesarios para proteger debida y eficazmente todos los componentes físicos e infraestructuras pertinentes, incluidos los equipos informáticos, los servidores, así como todos los locales pertinentes, centros de datos y zonas sensibles designadas, para garantizar que todos esos elementos físicos estén adecuadamente protegidos contra los riesgos, incluidos los daños y el acceso o la utilización no autorizados.
  3. Las entidades financieras minimizarán el impacto del riesgo de las TIC mediante el despliegue de estrategias, políticas, procedimientos, protocolos y herramientas adecuados, tal como se determina en el marco de gestión del riesgo de las TIC. Facilitarán información completa y actualizada sobre los riesgos en materia de TIC cuando así lo requieran las autoridadescompetentes6.

La identidad es ampliamente reconocida como el nuevo perímetro de seguridad. También es la clave de la resistencia operativa. En el caso de Active Directory, por ejemplo, la resiliencia cibernética (la capacidad de mantener AD en funcionamiento y recuperarlo rápidamente en caso necesario) es la base de la resiliencia operativa. Si AD no funciona, tampoco las operaciones.

Cuando hablamos de riesgo y gestión del riesgo como parte del DORA, debemos incluir el riesgo para la infraestructura de identidad. Entonces, ¿por dónde empezar?

1. Identifique sus sistemas y servicios informáticos críticos

En primer lugar, examine su entorno e identifique qué servicios deben seguir disponibles para evitar repercusiones negativas a sus clientes. Por ejemplo, un banco tendría que mantener la accesibilidad y funcionalidad de las aplicaciones bancarias, incluido el pago de un cheque, la realización de un cambio de divisas internacional o cualquier sistema o servicio que se conecte a una cámara de compensación.

A continuación, determine qué sistemas, servicios y tecnologías de su organización soportan estos servicios críticos. Trace un mapa de todas las dependencias asociadas.

2. Plan de protección y recuperación

Una vez definidas las dependencias de forma exhaustiva para cada servicio y escenario, el siguiente paso en el cumplimiento de DORA es asegurarse de que puede supervisar esos servicios y dependencias de forma eficaz. Necesitará un proceso de recuperación comprobable.

Después de pasar mucho tiempo hablando con organizaciones que están pasando por el proceso de cumplimiento de DORA para Active Directory, una de las mayores conclusiones es que la normativa exige "simulacros en vivo" regulares para sus pruebas de recuperación. Aunque muchos equipos prueban algunos de sus sistemas críticos de forma semiregular, las condiciones de las pruebas pueden no ser totalmente realistas. A veces se trata de una prueba parcial, o puede que prueben los servicios independientemente de los sistemas dependientes.

El DORA exige un nivel de pruebas de simulacros en vivo que la mayoría de los equipos no están acostumbrados a realizar.

3. Enfóquese en DORA y luego en la seguridad AD.

Active Directory es un sistema crítico en casi todas las organizaciones. AD se utiliza para:

  • Almacenar información del usuario
  • Gestionar el acceso y la autorización de los usuarios
  • Asignar recursos a servicios, activos y datos

Active Directory también actúa como motor de autenticación para los usuarios. Esto significa que no sólo está firmemente dentro del alcance de DORA para casi el 100% de las organizaciones, AD es también un importante objetivo de infiltración y un punto de entrada perfecto para los malos actores, actuando como una puerta de entrada a sus usuarios, datos y organización.

Cumplimiento del DORA y Confianza Cero

La confianza cero se refiere a un marco de seguridad que trata a todos los usuarios potenciales como no dignos de confianza hasta que se demuestre lo contrario. Significa que todos los usuarios deben ser verificados antes de que se les dé acceso a partes privilegiadas de su red.

Esta gestión de accesos privilegiados es un pilar de la normativa DORA. Sin embargo, una estrategia eficaz de Cero Confianza depende de una gestión eficaz de la delegación en Active Directory. Los errores de configuración, un control de acceso laxo entre varios usuarios y grupos, y un simple error humano pueden dar a las ciberamenazas un medio para obtener o escalar privilegios en AD. Y el compromiso de la identidad con éxito dificulta incluso sus esfuerzos más denodados de Cero Confianza. Como solemos decir: "La mayoría de los atacantes no piratean... inician sesión".

    Cumplimiento del DORA: ¿Dolor de cabeza u oportunidad?

    El cumplimiento de cualquier nueva normativa es desalentador y puede resultar frustrante debido a las complejidades y cambios que hay que introducir. Muchos equipos que se enfrentan a este reto ven el DORA como un quebradero de cabeza. Pero la nueva normativa también trae consigo oportunidades, especialmente para la seguridad y la gestión de AD.

    DORA está trabajando para mejorar la resistencia operativa de las organizaciones mediante una regulación más estricta. ¿Le preocupa:

    • Sobrecarga de Active Directory o "deriva de la configuración
    • Problemas continuos de mantenimiento o errores humanos
    • Un proceso de recuperación de AD inestable

    Si es así, ahora es el momento de abordar estas cuestiones. Dado que el DORA formará parte de la ley y que los riesgos de incumplimiento incluyen multas cuantiosas y continuadas (el 1% de la facturación global diaria hasta que se considere que se ha alcanzado el cumplimiento) junto con daños a la reputación, el cumplimiento de la normativa debe ser una prioridad estratégica para la empresa. La asignación de recursos y presupuesto para apoyar este proyecto será más convincente para su aprobación por el consejo de administración.

    El proceso puede resultar laborioso en ocasiones. Pero esta es su oportunidad de poner orden y establecer el nivel de supervisión, pruebas y gobernanza necesario para mantener AD de la mejor manera posible en el futuro.

    Cómo simplificar el camino hacia el cumplimiento del DORA

    Semperis ayuda a las organizaciones a controlar la seguridad de Active Directory. Con la plataforma de resiliencia de identidades de Semperis, su organización puede:

    • Evaluar la superficie de ataque de AD
    • Localizar vulnerabilidades de AD híbrido
    • Supervisar los cambios en Active Directory y Entra ID
    • Detectar amenazas avanzadas diseñadas para eludir las herramientas de vigilancia tradicionales
    • Automatizar la reversión de cambios sospechosos
    • Cree copias de seguridad y planes de recuperación de AD seguros y eficaces
    • Recupere AD una media del 90% más rápido que mediante recuperación manual

    Explore las soluciones ITDR

    DORA es el futuro

    Muchos órganos consultivos han sugerido que las organizaciones que no entran en el ámbito de aplicación del DORA deberían considerar la posibilidad de alinearse con las prácticas del reglamento en la medida de lo posible. Es posible que llegue una normativa similar para otros sectores, o que estas empresas se conviertan en objetivos una vez que el DORA haya mejorado la sofisticación y las capacidades cibernéticas de las entidades financieras. En cualquier caso, la visibilidad total, el mapeo exhaustivo y la planificación detallada de la recuperación y la preparación para las pruebas son claramente el futuro de la resiliencia cibernética y operativa para todas las organizaciones.

    Otros artículos de nuestra serie sobre el cumplimiento del DORA

    Recursos

    1. https://www.pwc.co.uk/industries/financial-services/insights/dora-and-its-impact-on-uk-financial-entities-and-ict-service-providers.html
    2. https://www.digital-operational-resilience-act.com/DORA_Article_2_(Proposal).html
    3. https://fintechmagazine.com/articles/capgemini-the-challenges-and-opportunities-dora-presents
    4. https://www2.deloitte.com/xe/en/insights/industry/financial-services/financial-services-industry-outlooks/banking-industry-outlook.html
    5. https://www.orrick.com/en/Insights/2023/01/5-Things-You-Need-to-Know-About-DORA
    6. https://www.digital-operational-resilience-act.com/DORA_Article_5_(Proposal).html