La Ley de Resiliencia Operacional Digital (DORA) entró en vigor el 16 de enero de 2023. Después de un período de implementación de dos años a partir del 17 de enero de 2025, las instituciones financieras deben cumplir plenamente con la nueva regulación, cuyo objetivo es garantizar que sigan siendo resilientes para las operaciones digitales críticas. ruptura
La Ley cubre varios aspectos de resiliencia cibernética, auditabilidad y responsabilidades compartidas entre instituciones financieras y proveedores de servicios de TI y software de terceros cuando estos productos y servicios se utilizan para impulsar operaciones comerciales.
Aunque se trata de una regulación europea que afecta a las empresas que operan en la Unión Europea (UE), otras regiones también están implementando la ciberresiliencia. Entre ellos se incluyen la Autoridad de Regulación Prudencial de Australia y el Banco de Inglaterra del Reino Unido. En Estados Unidos, la Comisión de Bolsa y Valores (SEC) está considerando la resiliencia cibernética.
Resiliencia en toda la cadena de suministro de TI
La resiliencia a errores y vulnerabilidades en productos y servicios de terceros está ganando atención global. Un ejemplo es la falla CrowdStrike, que causó importantes interrupciones en los sistemas basados en Windows. Juniper Research señaló en ese momento que los bancos se encontraban entre las víctimas de una interrupción tecnológica global, que dejó a algunos clientes sin poder acceder a su banca en línea. También se vieron afectados los cajeros automáticos y los sistemas de pago con tarjeta.
La misión de DORA es limitar posibles interrupciones en el sistema bancario debido a problemas de TI, pero existe una correlación directa entre su eficacia en ciberseguridad y la madurez de la organización.
Entre agosto de 2023 y agosto de 2024, SecurityScorecard evaluó el desempeño en ciberseguridad de las 100 principales empresas de Europa analizando factores como la seguridad de la red, la infección de malware, la seguridad de los terminales, la cadencia de parches, la seguridad de las aplicaciones y el sistema de nombres de dominio (DNS).
Dado que regulaciones como DORA están remodelando los estándares de ciberseguridad, las empresas europeas deben priorizar la gestión de riesgos de terceros y aprovechar los sistemas de calificación para proteger sus ecosistemas.
Ryan Sherstobitoff, cuadro de mando de seguridad
El estudio encontró que el 98% de las 100 principales empresas europeas experimentaron una infracción que involucró a proveedores externos durante ese período de 12 meses. DORA requiere que las instituciones financieras identifiquen y evalúen la importancia de los proveedores de servicios externos que utilizan en función del impacto comercial y su nivel de riesgo.
Los productos y servicios de comunicación y TI de terceros están cubiertos Sección 28 de DORAque estipula que las instituciones financieras deben gestionar el riesgo de terceros en materia de TIC como un componente integral del riesgo de TIC dentro de su propio marco de gestión de riesgos de TIC. Las instituciones financieras que utilizan servicios de terceros como parte integral de sus operaciones son responsables de la seguridad cibernética general de sus negocios y también deben realizar una evaluación completa de los riesgos de los proveedores.
Al analizar la exposición al riesgo cibernético que surge de vulnerabilidades y vulnerabilidades de seguridad en productos y servicios proporcionados por terceros, Ryan Sherstobitoff, vicepresidente senior de investigación e inteligencia de amenazas en SecurityScorecard, dijo: “Las vulnerabilidades de la cadena de suministro siguen siendo una amenaza grave, ya que los adversarios las explotan”. . Se debe priorizar la gestión de riesgos de terceros y los sistemas de calificación de apalancamiento para proteger el ecosistema”.
Cuadro de mando de seguridad Informes globales de violaciones de seguridad cibernética de terceros revela que el 75% de las infracciones de terceros tienen como objetivo las cadenas de suministro de software y tecnología, una tendencia reforzada por las recientes infracciones de alto perfil que involucran a SolarWinds, Log4j y MOVEit.
“DORA otorga a la gestión de la seguridad de la información un mandato legal”, afirmó Romain Desloreux, director de asociaciones estratégicas para la seguridad en la nube de Thales. “Para garantizar el cumplimiento, las organizaciones deben trabajar para simplificar y automatizar sus servicios de ciberseguridad para que sus aplicaciones, datos e identidades sean adecuados. protegido. Esto incluye todo, desde la seguridad API (Interfaz de programación de aplicaciones); clasificación, seguimiento y protección de información sensible; Proporcionando acceso seguro y confiable para clientes, empleados y socios”.
Auditoría de TI
Martin Thompson, analista y fundador del Foro ITAM, recomienda que las organizaciones lleven a cabo un proceso de descubrimiento para ayudar a categorizar los riesgos asociados con los productos y servicios de TI que utilizan.
En un blog de septiembre de 2024, Shane O’Neill, socio de la oficina de Grant Thornton en Dublín, sugirió que las instituciones financieras Invertir en plataformas que puedan centralizar su catálogo de activos TIC. Dijo que debería proporcionar una visión holística de los proveedores externos, lo que permitiría a las organizaciones comprender los riesgos potenciales para los negocios y tomar medidas para mitigarlos.
O’Neill señaló que la mayoría de las plataformas de gestión de activos de TI ofrecen funciones de automatización, que pueden utilizarse para simplificar el proceso de revisión. “Como mínimo, DORA requiere una revisión anual de los activos de TIC y la documentación adjunta, y dado el mayor riesgo para terceros, el ciclo de revisión ocurre con mayor frecuencia”, escribió.
“La automatización reduce la carga administrativa de coordinar una revisión y reduce la cantidad de elementos manuales dentro de un ciclo de revisión, reduciendo así el potencial de errores humanos o ciclos de revisión perdidos”.
Como señala O’Neill, las plataformas de gestión de activos de TI pueden desencadenar un proceso de revisión generando automáticamente un correo electrónico que recuerda a las partes interesadas que revisen su inventario de activos y, a medida que las partes interesadas realizan revisiones dentro del sistema, la plataforma registra automáticamente su actividad, lo que como resultado , todo se puede confirmar. Algunos aspectos del proceso son fácilmente auditables desde una perspectiva regulatoria.
Si bien las empresas afectadas ya deberían estar muy avanzadas en la implementación de programas de cumplimiento, la analista senior de Forrester, Madeleine van der Hout, dijo que en noviembre de 2024 todavía recibía llamadas de clientes de Forrester preguntándoles qué debían hacer. “Si empiezas en noviembre, no hay tiempo suficiente”, afirma.
Si bien la mayoría de las instituciones financieras ya tienen una buena postura de seguridad, según van der Hout, todas las instituciones financieras aún deben considerar a los terceros, la diversidad y las interdependencias de su infraestructura de TI.
Muchos luchan por lograr el cumplimiento, según Alain Traill, abogado del bufete de abogados global Latham & Watkins. Insta a las organizaciones que aún están llegando a un acuerdo con DORA a realizar un análisis de brechas para identificar dónde no cumplen.
“Para las instituciones financieras dentro del alcance, que incluyen instituciones de dinero electrónico y proveedores de criptoactivos, además de las instituciones tradicionalmente reguladas, como las instituciones de crédito, un análisis de brechas de las medidas de resiliencia existentes frente a los estrictos requisitos de cumplimiento, cadenas de gobernanza, actualización de políticas y procedimientos, prestando especial atención a áreas clave de enfoque de DORA, como la respuesta a incidentes y las pruebas de resiliencia, y completando un inventario de contratos en profundidad y un ejercicio de remediación”, dijo.
Impacto de TI
Dado que DORA exige que las organizaciones evalúen la resiliencia de su cadena de suministro de TI, los terceros (incluidos los proveedores de TI) deben comprender sus responsabilidades en virtud de DORA. Trail dijo que las empresas de TI deberían actualizar los términos del contrato y potencialmente establecer una entidad en la UE.
“Todos los proveedores de servicios TIC que no estén designados como ‘críticos’ pero que tengan clientes que sean instituciones financieras privilegiadas –incluida una amplia gama de software y productos relacionados, a menudo ubicados fuera de la UE– deben tomar medidas para permitir revisiones de procesos y políticas. Dichos clientes deben cumplir con las actualizaciones y las actualizaciones de los términos del contrato”, dijo.
“Las medidas proactivas para alinearse con los requisitos de DORA son cruciales y evitar consecuencias significativas – para las entidades financieras y los proveedores de TIC ‘críticos’ – incluyendo multas sustanciales.”
Las medidas proactivas son cruciales para alinearse con los requisitos de DORA y evitar consecuencias importantes, incluidas multas importantes.
Sendero Aline, Latham y Watkins
Van der Hout de Forrester recomienda que los líderes de TI de las empresas financieras analicen qué implementaciones contratan con DORA.
“Hay implicaciones si los proveedores de TI que usted utiliza no cumplen lo suficiente con DORA”, afirma. Si bien los líderes de TI tienen la opción de cancelar dichos contratos que no cumplen con las normas, van der Hout advierte que “es difícil liberar su TI de su infraestructura de TI”.
Más allá del trabajo requerido para garantizar la resiliencia cibernética de los proveedores de TI externos, Deslaureux de Thales señala que DORA obliga expresamente a las organizaciones a definir y hacer cumplir políticas para cifrar datos en reposo, en tránsito y en uso, y a gestionar exhaustivamente las claves criptográficas para este cifrado. “Los servicios financieros deben adaptarse en función de los avances en el criptoanálisis para actualizar o modificar la tecnología criptográfica”, afirma.
Los expertos hablaron con Computer Weekly para reconocer el trabajo necesario para implementar el cumplimiento de DORA y garantizar el mantenimiento continuo para un cumplimiento continuo. Estos son costos adicionales.
Según Forrester, la implementación dependerá enteramente de la madurez en materia de ciberseguridad de las empresas, pero DORA se basa en los marcos de seguridad de TI existentes, lo que significa que es probable que muchas ya hayan realizado la mayor parte del trabajo necesario para lograr el cumplimiento de las nuevas reglas.
Van der Hout señala que son los costos continuos los que tendrán un impacto a más largo plazo en los presupuestos de TI. Estima que mantener el cumplimiento de DORA puede agregar un 10% a los costos de ciberseguridad de una organización.
