DORA y Thales: Ayude a sus clientes de servicios financieros a convertir el cumplimiento en una ventaja competitiva

¿Está usted (y sus clientes) preparado para el DORA?

La Ley de Resiliencia Operativa Digital, o DORA, se aplicará en todos los Estados miembros de la UE a partir del 17 de enero de 2025. Su objetivo es mejorar la resistencia de las organizaciones del sector de los servicios financieros frente a la amenaza en constante evolución de los ciberataques mediante la armonización de la resistencia operativa digital y los requisitos de ciberseguridad en toda la UE, en lugar de que cada país miembro establezca su propia normativa.

El DORA afecta a todas las organizaciones de servicios financieros de la UE y el EEE, pero también es probable que las organizaciones de fuera de esta zona tengan que cumplir los requisitos del DORA para poder operar en Europa. Además, como el GDPR creó un precedente en materia de privacidad de datos que el resto del mundo siguió, los expertos esperan que el DORA tenga el mismo efecto global.

Las organizaciones del ámbito de los servicios financieros deben comprender las nuevas normas y asegurarse de que están preparadas. Sin embargo, nunca es mala idea que ayuden a sus clientes a mejorar su postura en materia de ciberseguridad. De hecho, puede ser lo que les diferencie de sus competidores, y a usted de los suyos.

Thales ofrece un conjunto de productos para ayudar a las organizaciones a cumplir con DORA y obtener importantes beneficios estratégicos. En este artículo, le contaremos más sobre DORA y cómo puede ayudar a sus clientes a estar en la mejor posición para cosechar esas recompensas.

Requisitos de cumplimiento del DORA

• El DORA se aplica a una amplia gama de organizaciones del sector de los servicios financieros, incluidos los de:
• Banca y crédito
• Seguros
• Pagos
• Tecnologías de la información y la comunicación (TIC) para servicios financieros
• Mercados financieros
• Gestión de activos
• Proveedores de servicios de criptoactivos

El DORA es un amplio conjunto de requisitos cuyo cumplimiento deberán demostrar las organizaciones incluidas en su ámbito de aplicación antes del 17 de enero de 2025. La normativa del DORA se articula en torno a cinco pilares fundamentales:

• Gestión de riesgos y gobernanza de las TIC - Las organizaciones deben definir, implantar y mantener un marco para gestionar los riesgos de ciberseguridad e impulsar la resiliencia.
• Notificación de incidentes - Si se produce un incidente de ciberseguridad, el DORA exige a las organizaciones que lo notifiquen a las autoridades pertinentes dentro de unos plazos estrictos.
• Pruebas de resistencia operativa digital - Las organizaciones deben llevar a cabo un programa anual de pruebas para garantizar que las interrupciones sean mínimas en caso de incidente.
• Riesgo de terceros en las TIC - Las organizaciones de servicios financieros dependen de proveedores tecnológicos externos (algunos con sede fuera de la UE) para gran parte de su entorno informático. Deben tener en cuenta estos riesgos de terceros en su estrategia de gestión de riesgos de ciberseguridad.
• Intercambio de información - El DORA fomenta el intercambio de conocimientos sobre ciberamenazas entre organizaciones para mejorar la resistencia de todo el sector.

Si se descubre que una organización incumple el DORA, podría enfrentarse a multas de hasta el 2% de la facturación global anual.

Ahora puede ver lo importante que es que las organizaciones de servicios financieros cubiertas por el DORA tengan sus bases cubiertas para enero de 2025. Descargue el último libro blanco sobre DORA de Thales para obtener una lista más detallada de los nuevos requisitos.

DESCARGAR LIBRO BLANCO

Funciones y responsabilidades para el cumplimiento del DORA

DORA es un Reglamento, lo que significa que es la Ley, no "simplemente" una certificación técnica como PCI o ISO27k. Cumplir el DORA no es algo que los responsables puedan dejar en manos de su equipo de seguridad informática. Requiere un esfuerzo coordinado en toda la organización con aportaciones de varias funciones, entre ellas:

• Consejo de Administración - Los directores deben interesarse personalmente por la ciberseguridad y tomar las decisiones correctas sobre políticas, procesos y asignación de recursos.
• Ciberseguridad: los equipos de ciberseguridad están en primera línea, mantienen las políticas y los controles y se ocupan a diario de los incidentes.
• Gestión de riesgos - Este equipo es responsable de identificar y aplicar medidas para minimizar los ciberriesgos, así como de planificar la continuidad en caso de incidente cibernético perturbador.
• Cumplimiento - El equipo de cumplimiento de la organización debe establecer procesos para notificar a tiempo los incidentes de ciberseguridad para cumplir con las obligaciones de notificación de la DORA.
• Recursos Humanos - RRHH desempeña un papel fundamental a la hora de impartir formación sobre ciberseguridad a la plantilla y garantizar una cultura de concienciación sobre la ciberseguridad.
• TI - Este equipo es responsable de aplicar muchas de las normas del DORA, incluida la autenticación multifactor obligatoria y la confidencialidad de los datos.

El cumplimiento del DORA debe ser un esfuerzo de toda la empresa. Sin embargo, hay una gran tecnología disponible para apoyar la transición.

Presentación de las tecnologías de Thales para el cumplimiento de la normativa

Thales cuenta con una amplia cartera de soluciones de seguridad de aplicaciones, seguridad de datos y gestión de identidades y accesos que pueden ayudar a sus clientes en su trabajo hacia el cumplimiento de DORA.

Thales ofrece una gama de soluciones de seguridad de aplicaciones que protegen las aplicaciones y las API a escala, ya sea en la nube, en las instalaciones o en un modelo híbrido. La Seguridad de aplicaciones de Thales Imperva está posicionada como líder por Gartner en el segmento de Protección de aplicaciones Web y API (WAAP). Entre las herramientas clave de la cartera se incluyen Web Application Firewall, soluciones para proteger contra ataques de denegación de servicio distribuido (DDoS) y bots maliciosos, y seguridad de API.

En seguridad de datos, Thales ofrece soluciones para el descubrimiento y clasificación de datos, análisis de riesgos de datos y gestión de vulnerabilidades. Ayudan a identificar datos sensibles estructurados y no estructurados en riesgo en las instalaciones y en la nube. En gestión de identidades y accesos, Thales ofrece soluciones para gestionar el control de accesos, incluida la delimitación de quién tiene acceso a recursos específicos dentro de una organización.

En el ámbito de la criptografía y el cifrado, Cipher Trust Manager es el sistema de gestión de claves líder del sector de Thales, que ayuda incluso a las organizaciones más grandes a gestionar las claves de cifrado y las políticas de acceso desde una ubicación central, con amplias capacidades de generación de informes. Los módulos de seguridad de hardware (HSM) Luna de Thales ayudan a proteger las aplicaciones críticas para la empresa y los datos confidenciales mediante la gestión de claves criptográficas dentro de la red, mientras que Data Protection on Demand (DPoD) de Thales es un sistema de gestión de claves basado en la nube que no necesita hardware.

Estos productos podrían ayudar directamente a sus clientes a cumplir con DORA al abordar los requisitos esenciales de gestión de riesgos de ciberseguridad y entregar informes completos, precisos y oportunos de conformidad con los artículos 8, 9, 10, 11, 19 y 28.

En particular, el DORA obliga explícitamente a las entidades financieras a definir y aplicar políticas de cifrado de datos, así como de gestión de claves criptográficas, incluida la agilidad criptográfica (también conocida como Post Quantum Crypto). En el caso de incidentes de TIC, el DORA exige a las entidades financieras que reaccionen ante un incidente grave en un plazo de cuatro horas, y que proporcionen análisis forenses tempranos, como análisis de la actividad de los datos, en un plazo de 72 horas. Los informes y portales de Seguridad de datos de Thales simplifican el cumplimiento de estas normas, proporcionando 12 meses de registros conservados, fácilmente accesibles para búsquedas e investigaciones detalladas. Los datos de auditoría se archivan automáticamente, pero permanecen accesibles en segundos para consultas e informes.

Convertir el cumplimiento en una ventaja

Utilizando las tecnologías de Thales para lograr la conformidad con DORA, puede ayudar a sus clientes a mejorar su postura de seguridad, dándoles a usted y a ellos una ventaja competitiva.

Por supuesto, la principal ventaja de cumplir con DORA es que sus clientes se mantienen fuera de problemas legales y evitan multas potencialmente devastadoras. Sin embargo, en el espacio ultracompetitivo de los servicios financieros, situar la ciberseguridad en el centro de sus operaciones puede reportar importantes beneficios estratégicos:

• Los incidentes cibernéticos pueden dañar significativamente la reputación de una organización, especialmente en finanzas. ¿Qué inversores querrían poner su dinero en una institución que no puede garantizar su seguridad?
• El tiempo de inactividad causado por los incidentes cibernéticos es perjudicial tanto para los empleados como para los clientes, especialmente si la gente no puede gestionar su dinero. Proteger su entorno de los ciberataques ayuda a ofrecer un servicio de mayor calidad.
• Un sistema informático que funcione sin problemas, libre de ciberamenazas pero también de engorrosas medidas de control de acceso, hace que los empleados sean más productivos.

Cumplir con la DORA requiere un esfuerzo coordinado de toda la empresa. Pero en el mundo actual de ciberamenazas cada vez más sofisticadas, es esencial. Sin embargo, cuando apoya a sus clientes con la experiencia adecuada y la mejor tecnología, no tiene por qué ser un reto demasiado grande. En lugar de limitarse a cumplir con el DORA, ¿por qué no ir más allá del cumplimiento y empezar a aprovechar de verdad esas ventajas empresariales?

Más información

Descargue el último libro blanco de Thales para obtener más información sobre el cumplimiento de DORA (incluyendo explicaciones detalladas de los requisitos) - y cómo el conjunto de soluciones de Thales puede ayudar a conseguirlo.

DESCARGAR LIBRO BLANCO

Si usted está buscando el apoyo de expertos y orientación a lo largo de su viaje de cumplimiento DORA, es el momento de hablar con Exclusive Networks. Le ayudaremos a aprovechar las oportunidades que presenta DORA, para que el cumplimiento se convierta en su ventaja competitiva.

PÓNGASE EN CONTACTO