El pasado 17 de enero entró en vigor el reglamento europeo DORA, Digital Operational Resilience Act, que tiene como principal objetivo mejorar la resiliencia y la ciberseguridad del sector financiero. En esencia, DORA pretende garantizar la continuidad del servicio, tanto de las entidades financieras, como de los proveedores TIC, ante un suceso que pueda tener repercusiones negativas en la confidencialidad, disponibilidad, integridad o autenticidad de los datos o servicios prestados. La razón de ser de DORA, aprobada por la Unión Europea, reside en garantizar que las entidades financieras presten servicios digitales seguros y confiables.
Esta normativa establece requisitos y obligaciones con respecto a la gestión del riesgo de las TIC, la notificación de incidentes, la realización de pruebas de resiliencia, el establecimiento de acuerdos de intercambio de ciberamenazas, y la monitorización del riesgo de la cadena de suministro de las entidades financieras.
Índice de temas
A quiénes afecta el reglamento DORA
Más allá de las entidades financieras y proveedores TIC, son muchos los agentes que se ven afectados por su entrada en vigor, desde gestión de activos y fondos de inversión, hasta proveedores de servicios de pago, entidades que proporcionan coberturas y pólizas de seguros, plataformas de crowdfunding, titulación de activos, y administradores de referencia. En un ámbito más operativo, también se extiende a aquellas empresas que facilitan transacciones electrónicas, y a los proveedores de servicios técnicos y de datos, entre los que se incluyen los proveedores cloud, las compañías de ciberseguridad, y las que ofrecen análisis de datos.
Frente a otro tipo de normativas, DORA exige unos tiempos de respuesta menores y más exigentes para los directivos y los responsables del dato
Las consecuencias de no cumplir con DORA pueden ser leves, graves o muy graves, no solo para las instituciones financieras, sino también para las empresas que operan con ellas. Las infracciones leves pueden conllevar multas de hasta 5 millones de euros o el 3% del volumen de negocios total anual de la entidad. Por su parte, las más graves pueden alcanzar los 15 millones de euros o hasta el 10% del volumen de negocios total anual de la entidad.
El sector financiero se enfrenta a amenazas cada vez más sofisticadas, como pueden ser ataques de ransomware, phishing y robo de información. Estas amenazas pueden mitigarse con fuertes políticas de seguridad, con respuestas rápidas a incidentes, con tecnologías de detección y prevención de intrusiones, o con la elección de un gran socio tecnológico de confianza.
DORA, normativa de obligado cumplimiento
La solución DORA es una normativa de cumplimiento que parte de la vinculación con las principales certificaciones ISO y marcos que tienen que ver con los entornos TIC y de seguridad de la información. Es decir, tiene una gran influencia de ISO 27001, también RGPD, del Esquema Nacional de Seguridad en España, y de NIS2 con la que se mejora la resiliencia en materia de ciberseguridad.
Previamente a la implantación de DORA, no existía una norma regulatoria para el sector bancario, y por eso ha irrumpido en el mercado con mucha fuerza, lo que ha provocado que la trasposición se haya realizado de manera ágil al existir un gran interés conjunto por abordar el tratamiento de los datos de los clientes. Mediante las soluciones de cumplimiento de socios como Arexdata, es posible obtener una visibilidad y trazabilidad de los datos de extremo a extremo, y de manera centralizada.
El aliado para proteger el activo más valioso
En esta nueva realidad, en la que las organizaciones necesitan mantener protegidas sus aplicaciones y sus datos, la elección de un socio tecnológico es vital. La plataforma de seguridad del dato DSPM de Arexdata puede garantizar que los clientes puedan cumplir con el nuevo reglamento de manera efectiva.
Las soluciones Arexdata DSPM ayudan a aumentar la resiliencia de los sistemas de TI contra ciberataques y otra serie de interrupciones
Mediante el uso de Arexdata DSPM, es posible auditar, clasificar y proteger el dato de las compañías, proporcionando una visibilidad y trazabilidad de extremo a extremo de manera centralizada. La compañía automatiza la clasificación de los datos sensibles regulados en sus entornos SaaS, IaaS y locales, con aumento exponencial de la precisión. También brinda un inventario completo y clasificación de los datos en todos los almacenes y repositorios. Este es un requisito previo para poder realizar evaluaciones de riesgos y desarrollar medidas de protección que resulten efectivas.
Todas las normativas exigen contar con una gestión de riesgos, gestión de responsabilidades, evaluación y auditoría, identidad y análisis del datos y la necesidad de garantizar la trazabilidad y evidencias de cumplimiento. Frente a otras normativas, DORA exige unos tiempos de respuesta inmediatos así como responsabilidades más exigentes y directas, tanto a los directivos, como de los responsables de datos. Con esto en mente, a todos ellos les conviene tener seguros de responsabilidad ante la toma de decisiones.
A diferencia de otros socios tecnológicos, el enfoque integral de la seguridad ofrecido por Arexdata DSPM permite a los clientes conocer cuáles son sus datos más críticos, dónde se encuentran, como se utilizan, y a qué riesgos están expuestos para garantizar mayor protección. Del mismo modo, minimiza la presencia de los datos redundantes denominados ROT. La compañía brinda una altísima precisión en la identificación y clasificación constante de los datos confidenciales, la única forma de mantenerlos debidamente protegidos.
