Comprensión del Reglamento DORA de la UE
La Ley de Resiliencia Operacional Digital (DORA) es una propuesta de reglamento en la Unión Europea (UE) que presenta un enfoque sistémico para gestionar la resiliencia operativa digital en el sector financiero. Su objetivo es mejorar la capacidad del sistema financiero para resistir y recuperarse de importantes perturbaciones digitales. Su importancia radica no solo en la armonización de las reglas entre los sectores sino también en mitigar los riesgos potenciales que presentan las finanzas digitales. El reglamento se basa en cinco pilares firmes, cada uno de los cuales aborda un aspecto diferente de la resiliencia digital. Echemos un vistazo de cerca a estos pilares para comprender cómo el reglamento DORA de la UE pretende fomentar una esfera financiera digital más segura y resiliente.
Gestión de riesgos TIC
El primer pilar se refiere a la gestión de los riesgos de las Tecnologías de la Información y las Comunicaciones (TIC). Las entidades financieras deben establecer un marco de gestión de riesgos de TIC para identificar, clasificar y mitigar cualquier riesgo relacionado con su infraestructura operativa digital. Es fundamental que estas entidades pongan en práctica políticas y procedimientos adecuados de gestión de riesgos, que incluyan medidas de seguridad y evaluaciones continuas. Esencialmente, este pilar fomenta un enfoque proactivo para la gestión de riesgos, disminuyendo las posibilidades de que ocurra un incidente cibernético y aumentando la resiliencia de una organización en caso de que suceda.
Notificación de incidentes relacionados con las TIC
El segundo pilar consiste en denunciar incidentes relacionados con las TIC. Según la propuesta DORA, las entidades financieras deben establecer y aplicar un marco de presentación de informes eficaz para informar y actualizar a las autoridades sobre incidentes importantes relacionados con las TIC de manera oportuna. La presentación de informes transparentes y oportunos es esencial para permitir a las autoridades evaluar las debilidades sistemáticas y proporcionar el apoyo o las intervenciones necesarias. Este pilar promueve la mejora de la comunicación, ayudando así a la rápida recuperación de incidentes y previniendo incidentes similares en el futuro.
Pruebas de resiliencia operativa digital
El tercer pilar son las pruebas de resiliencia operativa digital. Este aspecto se refiere al requisito de que las entidades lleven a cabo evaluaciones y pruebas exhaustivas y periódicas de los riesgos de las TIC. Se pueden utilizar varias formas de prueba, como evaluaciones de vulnerabilidad, pruebas de redes y sistemas, y pruebas avanzadas basadas en inteligencia de amenazas. Estas pruebas integrales y periódicas no solo respaldan la evaluación constante de la resiliencia organizacional, sino que también revelan debilidades potenciales antes de que sean explotadas.
Riesgo de terceros en las TIC
El riesgo de terceros en las TIC constituye el cuarto pilar del reglamento DORA. Esta cláusula reconoce la creciente dependencia de las entidades financieras de terceros proveedores de servicios digitales, al tiempo que reconoce los riesgos potenciales en que incurre esta alianza. Según la propuesta DORA, se espera que las entidades financieras utilicen cláusulas contractuales estandarizadas para las relaciones con proveedores de servicios externos y describan estrategias de salida claras para minimizar el riesgo.
El intercambio de información
Por último, el quinto pilar abarca el intercambio de información. Se alienta a las entidades financieras a compartir información sobre amenazas, vulnerabilidades e incidentes cibernéticos. Aboga por un enfoque colectivo de la ciberseguridad en el sector financiero, donde las entidades colaboren y compartan sus experiencias de ciberataques para mejorar las defensas de todos. Esto ayuda a las organizaciones a comprender mejor el panorama de amenazas en constante evolución, fortalecer sus medidas de ciberseguridad y, en última instancia, mejorar su resiliencia operativa digital.
Conclusión
En conclusión, el reglamento DORA de la UE, con sus cinco pilares, busca impulsar un enfoque integral y armonioso para la resiliencia en el ámbito de las finanzas digitales. Al arrojar luz sobre la gestión de riesgos de TIC, la notificación de incidentes, las pruebas de resiliencia, el riesgo de terceros y el intercambio de información, promueve un entorno en el que las entidades financieras estén preparadas, protegidas y capaces de responder a las amenazas cibernéticas. Teniendo esto en cuenta, las instituciones financieras de toda la UE deberían familiarizarse con estos cinco pilares e incorporarlos en sus estrategias comerciales, procedimientos y operaciones diarias.
