Si inevitablemente en 2025 se emitirán las primeras multas relacionadas con DORA, entonces una preparación temprana puede garantizar que su empresa no sea la que reciba las multas, dice Darren Thomson de Commvault
La Ley de Resiliencia Operativa Digital (DORA, por sus siglas en inglés) de la UE ya está en camino y promete un marco de gestión de riesgos para el sector financiero. Sin embargo, las sanciones por incumplimiento son elevadas: pueden llegar a representar hasta el 2 % de los ingresos anuales mundiales totales, según la gravedad. La UE ya ha impuesto más de 4000 millones de euros en multas en virtud del RGPD desde 2018, por lo que las organizaciones deben estar debidamente preparadas para evitar multas onerosas de la DORA.
El objetivo declarado de DORA es reforzar la seguridad informática en bancos, compañías de seguros y firmas de inversión, aumentando la resiliencia en caso de interrupción operativa. En la práctica, esto significa armonizar las normas de resiliencia en 20 tipos diferentes de entidades financieras, así como en proveedores de TI externos. Garantizar que se implementen las medidas y los procedimientos correctos para garantizar el cumplimiento se convierte en una responsabilidad importante, en la que participan muchas partes interesadas.
Las normas se centran en varias áreas principales, que van desde la gestión de riesgos de las TIC y las pruebas de resiliencia digital hasta el intercambio de información y la implementación de un marco de supervisión para proveedores externos vitales. En consecuencia, tendrán amplios impactos en las organizaciones financieras y los socios de TI que realizan negocios sin los controles adecuados establecidos.
A menos de un año de que entre en vigor la DORA, es hora de empezar a prepararse y garantizar que esos controles y procesos estén en marcha a tiempo. A continuación, se indican cinco puntos de partida fundamentales que se deben tener en cuenta antes del 17 de enero de 2025:
Formar equipos interdepartamentales
La colaboración regular con profesionales y partes interesadas de departamentos importantes, como TI, ciberseguridad, cumplimiento normativo, riesgos y legal, ayudará a desarrollar e implementar una estrategia DORA exitosa. Al mismo tiempo, otras áreas, como marketing, ventas, recursos humanos y atención al cliente, también deberían participar porque también están en la primera línea de la vulnerabilidad cibernética. Al adoptar un enfoque que realmente abarque a toda la empresa, las organizaciones pueden crear una política de ciberseguridad integral y proactiva, que descubra riesgos en áreas que de otro modo se pasarían por alto.
Asegurar la aceptación del liderazgo
Según DORA, el consejo de administración y los altos ejecutivos deben demostrar los conocimientos necesarios para comprender y medir los riesgos digitales. Esto significa que las empresas pueden aprovechar la participación activa del personal directivo para promover DORA en toda la empresa. Esto llamará la atención sobre la importancia del tema y animará a los empleados de todos los niveles a interesarse urgentemente por él. Dar ejemplo desde arriba pondrá los preparativos de DORA en primer plano, en lugar de limitarse a hablar de palabra y dejar así a la empresa expuesta a infracciones y a cosas peores.
Evaluar los procesos y vulnerabilidades actuales
La identificación temprana de cualquier brecha entre el estado actual de seguridad y resiliencia y los requisitos de DORA es vital. De este modo, cualquier brecha se puede cubrir mucho antes de las fechas límite de cumplimiento. Analice con especial atención las principales áreas de enfoque de DORA: gestión y gobernanza de riesgos de TIC; respuesta a incidentes y presentación de informes; pruebas de resiliencia operativa digital; y gestión de riesgos de terceros. Luego, acceda a la experiencia externa para autenticar los procedimientos y evaluar cada brecha y sus implicaciones. Se deben priorizar las vulnerabilidades y las exposiciones que pueden causar interrupciones significativas.
Establecer objetivos claros
Los objetivos bien definidos y viables son la base de todas las estrategias eficaces de seguridad y resiliencia. La llegada de DORA permitirá que dichos objetivos sean objeto de escrutinio y garantizará que las empresas mantengan una revisión constante de su estado. Al mismo tiempo, los objetivos bien definidos permiten a los equipos de toda la empresa clasificar las prioridades de cumplimiento y, al mismo tiempo, garantizar que cualquier inversión en seguridad y resiliencia esté en plena sintonía con DORA desde el primer día.
Monitorear las actualizaciones regulatorias
Al igual que con cualquier legislación, es probable que la DORA se modifique sutilmente con el tiempo según las demandas del mercado y para garantizar que se ajuste al ecosistema dinámico que se espera que defienda. Por lo tanto, las organizaciones deben asegurarse de tener un procedimiento establecido para mantenerse al tanto de cualquier novedad que tenga el potencial de afectar negativamente su estado de cumplimiento. Esto debe funcionar en conjunto con las herramientas que evalúan y priorizan el análisis de brechas, así como los planes de inversión, para garantizar que un círculo virtuoso en el que el cumplimiento esté siempre en lo más alto de la agenda.
En definitiva, la DORA tiene el potencial de transformar para mejor nuestro enfoque de la ciberseguridad y la resiliencia. Al hacernos más robustos, abre la puerta a un mundo en el que se preste a la seguridad digital la atención que exige y, por lo tanto, menos empresas estén expuestas a riesgos graves. No cabe duda de que en 2025 se emitirán las primeras multas relacionadas con la DORA; si se preparan ahora, las empresas pueden evitar ese destino indeseado.
Acerca del autor
Darren Thomson es director de tecnología de campo para EMEAI en Commvault, especialistas en resiliencia cibernética.