DORA (Ley de Resiliencia Operacional Digital)

¿Qué es la DORA (Ley de Resiliencia Operacional Digital)?

DORA es una ley de la UE que quiere garantizar que el sector financiero en Europa pueda mantenerse resiliente ante una interrupción operativa grave. Delinea estándares técnicos para todas las instituciones de servicios financieros, desde la banca hasta los seguros y la gestión de activos.

Específicamente, las entidades financieras de la UE deben tener sólidas capacidades de gestión de riesgos de TI y mecanismos específicos para manejar y reportar incidentes relacionados con TI. También deberían contar con políticas para probar aplicaciones de TI y gestionar riesgos de terceros. DORA responsabiliza a las empresas por la seguridad de sus aplicaciones y productos, incluso las piezas extraídas de las bibliotecas son responsabilidad de la empresa. Los requisitos de DORA consideran el tamaño de la entidad, el perfil de riesgo y la naturaleza de sus servicios. Los proveedores externos de servicios críticos de TI están sujetos a una estricta supervisión por parte de las Autoridades Europeas de Supervisión.

Los requisitos de DORA entraron en vigor el 16 de enero de 2023 y se espera que las entidades financieras cumplan con DORA el 17 de enero de 2025.

Requisitos de DORA aplicables a los datos móviles

Gestión de riesgos de TI

Las empresas financieras deberían establecer y mantener sistemas de TI resilientes. Todos los riesgos informáticos siempre deben identificarse para establecer su protección y prevención. Se debe establecer una pronta detección de actividades anómalas.

Informes de incidentes relacionados con TI

Las empresas financieras deberían implementar un proceso de seguimiento y registrar los incidentes relacionados con TI. Deberán clasificar las incidencias y reportarlas a las autoridades respectivas y a los usuarios y clientes de las empresas.

Pruebas de resiliencia operativa digital

Los elementos dentro del marco de gestión de riesgos de TI deben probarse periódicamente para comprobar su preparación. Cualquier debilidad, deficiencia o brecha debe identificarse y eliminarse o mitigarse rápidamente con la implementación de medidas contrarrestantes. Y los requisitos de prueba de resiliencia operativa digital deben ser proporcionales al tamaño, el negocio y los perfiles de riesgo de las entidades.

Riesgo de terceros de TI

Las empresas deben monitorear cualquier riesgo que surja del uso de tecnología de otras empresas. Deben ser coherentes y armonizar su servicio con el tercero para poder monitorear completamente detalles como una descripción completa del nivel de servicio, las ubicaciones donde se procesan los datos, etc. El contrato con estos terceros debe contener estos detalles.

El intercambio de información

Las directrices alientan a las empresas a apoyar técnicas defensivas y de detección, estrategias de mitigación o etapas de respuesta y recuperación.

Asegúrese de que sus aplicaciones cumplan con DORA

Para cumplir, DORA requiere que los proveedores de servicios financieros, como los bancos, gestionen todos los componentes de la resiliencia operativa. Después de DORA, también deben seguir reglas para las capacidades de protección, detección, contención, recuperación y reparación contra incidentes relacionados con TI.

La suite de aplicaciones de Pradeo proporciona todas las herramientas necesarias para cumplir con DORA. La solución RASP detecta riesgos y previene ataques en tiempo real, mientras que la solución de pruebas de seguridad de aplicaciones móviles garantiza que la aplicación sea segura y cumpla con las normas.