La Ley de Resiliencia Operativa Digital, o DORA, es una normativa de la Unión Europea (UE) que crea un marco integral para la gestión de riesgos de las tecnologías de la información y la comunicación (TIC) para el sector financiero de la UE. La DORA establece un marco unificado para abordar las lagunas, los solapamientos y los conflictos en la normativa, lo que reduce la carga derivada del cumplimiento y mejora la resiliencia del sistema financiero de la UE.
La DORA entró en vigor el 17 de enero de 2025.
Antes de la DORA, la normativa de la UE se centraba principalmente en el capital para riesgos operativos, con directrices sobre TIC y seguridad incoherentes entre países. La DORA pretende mejorar la gestión de los riesgos de las TIC en el sector de los servicios financieros y armonizar las normativas en todos los Estados miembros de la UE.
La DORA se complementa con una serie de Normas Técnicas de Reglamentación (RTS) y Normas Técnicas de Aplicación (ITS) vinculantes, que establecen estándares armonizados y directrices prácticas sobre la aplicación efectiva de los requisitos normativos.
La DORA se aplica a una amplia gama de entidades financieras, como bancos, entidades de crédito y de pago, empresas de inversión, plataformas de negociación y depositarios centrales de valores y entidades no tradicionales, incluidos los proveedores de servicios de criptoactivos y las plataformas de crowdfunding. Existen exenciones para los gestores de fondos de inversión alternativos que reúnan las condiciones para acogerse a una exención en virtud del artículo 3, apartado 2, de la AIFMD, y para las entidades pequeñas y no complejas que cumplan determinados umbrales basados en el tamaño, el perfil de riesgo y la complejidad operativa.
Un aspecto único y relevante de la DORA que es importante tener en cuenta es que no solo se aplica a las entidades financieras, sino también a los proveedores críticos de TIC que prestan servicios al sector financiero, como los proveedores de servicios en la nube y los centros de datos.
La aplicación de la DORA es competencia del Banco Central Europeo (BCE) y de los reguladores designados en cada Estado miembro de la UE, conocidos como "autoridades nacionales competentes" o ANC. El BCE y las autoridades nacionales competentes pueden solicitar a las entidades financieras que adopten medidas específicas de gestión de riesgos y de seguridad y que corrijan las vulnerabilidades. También tienen poderes coercitivos para imponer sanciones administrativas y penales a las entidades que incumplan las expectativas de supervisión. Cada Estado miembro está facultado para ejercer su discrecionalidad en cuanto a la forma en que su autoridad nacional competente impone las sanciones.
Los proveedores de TIC considerados "críticos" según la DORA serán supervisados directamente por los supervisores principales de las Autoridades Europeas de Supervisión (AES). Al igual que las autoridades nacionales competentes, los supervisores principales pueden solicitar que se tomen medidas preventivas y curativas de seguridad específicas para abordar las vulnerabilidades y penalizar a los proveedores de TIC que no cumplan las normas. La DORA permite a los supervisores principales imponer multas a los proveedores de TIC por un importe equivalente al 1 % de la facturación media diaria mundial del proveedor en el ejercicio anterior. Los proveedores pueden ser multados cada día durante un máximo de seis meses hasta que cumplan las expectativas del supervisor principal.
El DORA establece requisitos técnicos para entidades financieras y proveedores de TIC en cuatro dominios:
- Gobierno y gestión de riesgos de las TIC
- Respuesta a incidentes y elaboración de informes
- Pruebas de resiliencia operativa digital
- Gestión de riesgos de terceros
Un quinto ámbito abarca el intercambio de información, que se fomenta pero no es obligatorio, a diferencia de los otros cuatro ámbitos.
Se espera que las entidades financieras incluidas en el ámbito de aplicación de la DORA asuman un papel activo en la gestión del riesgo de las TIC frente a terceros. Cuando externalicen funciones críticas e importantes, se espera que las entidades financieras negocien acuerdos contractuales específicos relativos a estrategias de salida, auditorías y objetivos de rendimiento en cuanto a accesibilidad, integridad y seguridad de los datos, entre otros aspectos. Las entidades no están autorizadas a contratar proveedores de TIC que no puedan cumplir estos requisitos. El BCE y las autoridades nacionales competentes están facultados para suspender o rescindir los contratos que no los cumplan. La Comisión Europea está estudiando la posibilidad de redactar cláusulas contractuales estandarizadas que las entidades y los proveedores de TIC puedan utilizar para ayudar a garantizar que sus acuerdos cumplen la DORA.
Las entidades financieras también necesitan mapear sus dependencias de TIC de terceros y se les exige que ayuden a garantizar que sus funciones críticas e importantes no se concentran de forma indebida en un único proveedor o en un pequeño grupo de proveedores.
Los proveedores de servicios críticos de TIC de terceros estarán sujetos a la supervisión directa de las AES pertinentes. La Comisión Europea aún está desarrollando los criterios para determinar qué proveedores son críticos. A los que cumplan las normas se les asignará una de las AES como supervisor principal. Además de hacer cumplir los requisitos de la DORA a los proveedores críticos, los supervisores principales están facultados para prohibir a los proveedores que contraten a empresas financieras u otros proveedores de TIC que no cumplan los requisitos de la DORA.
La DORA responsabiliza al órgano de dirección de una entidad de la gestión de las TIC. Se espera que los miembros del consejo de administración, los líderes ejecutivos y otros altos directivos definan estrategias adecuadas de gestión de riesgos, colaboren de forma activa en su ejecución y se mantengan al día en su conocimiento del panorama de riesgos de las TIC. Los líderes también pueden ser considerados responsables a título personal del incumplimiento de una entidad.
Se espera que las entidades cubiertas desarrollen marcos integrales de gestión de riesgos de las TIC. Las entidades deben cartografiar sus sistemas de TIC, identificar y clasificar los activos y funciones críticos y documentar las dependencias entre activos, sistemas, procesos y proveedores. Las entidades deben realizar evaluaciones continuas de riesgos en sus sistemas de TIC, documentar y clasificar las ciberamenazas y documentar sus pasos para mitigar los riesgos identificados.
Como parte del proceso de evaluación de riesgos, las entidades deben llevar a cabo análisis de impacto en el negocio para evaluar cómo podrían afectar al mismo escenarios específicos e interrupciones graves. Se espera que las entidades utilicen los resultados de estos análisis para establecer niveles de tolerancia al riesgo y diseñar su infraestructura TIC en consecuencia.También se exigirá a las entidades que apliquen medidas adecuadas de protección de la ciberseguridad, como políticas de gestión de identidades y accesos y de gestión de parches, junto con controles técnicos como sistemas ampliados de detección y respuesta, software de gestión de información y eventos de seguridad (SIEM) y herramientas de orquestación, automatización y respuesta de la seguridad (SOAR).
Las entidades también necesitan establecer planes de continuidad del negocio y de recuperación ante desastres para diversos escenarios de ciberriesgo, como fallos en los servicios TIC, desastres naturales y ciberataques. Estos planes deben incluir medidas de copia de seguridad y recuperación de datos, procesos de restauración de sistemas y planes de comunicación con los clientes, partners y autoridades afectados.
Las entidades cubiertas deben establecer sistemas de monitorización, gestión, información de registro, clasificación y notificación de incidentes relacionados con las TIC. En función de la gravedad del incidente, las entidades pueden tener que presentar informes tanto a los reguladores como a los clientes y partners afectados. Las entidades deberán presentar tres tipos distintos de informes para incidentes críticos: un informe inicial que notifique a las autoridades, un informe intermedio sobre el progreso hacia la resolución del incidente y un informe final que analice las causas raíz del incidente.
Pronto estarán disponibles las normas que definen cómo deben clasificarse los incidentes, cuáles deben notificarse y los plazos de notificación. Las AES también están estudiando formas de agilizar la presentación de informes mediante el establecimiento de un eje central y plantillas de informes comunes.
Las entidades están obligadas a probar sus sistemas TIC con regularidad para evaluar la solidez de sus protecciones e identificar vulnerabilidades. Los resultados de estas pruebas, y los planes para abordar cualquier debilidad que encuentren, deben ser comunicados a las autoridades competentes pertinentes y validados por estas.
Las entidades deben realizar pruebas, como evaluaciones de vulnerabilidad y pruebas basadas en escenarios, una vez al año. Las entidades financieras que se considere que desempeñan un papel crítico en el sistema financiero también tendrán que someterse a pruebas de penetración dirigidas por amenazas (TLPT) cada tres años. Los proveedores críticos de TIC de la entidad también tendrán que participar en estas pruebas de penetración. El 23 de enero de 2025, el Consejo de Gobierno del BCE aprobó la actualización del marco Threat Intelligence-based Ethical Red Teaming (TIBER)-EU para las pruebas éticas de equipos rojos basadas en inteligencia de amenazas, con el fin de alinearlas plenamente con los estándares técnicos reglamentarios de la DORA sobre pruebas de penetración basadas en amenazas, de cara a la entrada en vigor de la DORA el 17 de enero de 2025. La versión actualizada del marco TIBER-UE y los documentos de orientación están disponibles en el sitio web del BCE.
Las entidades financieras están obligadas a establecer procesos para aprender de los incidentes relacionados con las TIC, tanto internos como externos. Para ello, la DORA fomenta la participación de las entidades en acuerdos voluntarios de intercambio de inteligencia de amenazas. Cualquier información que se comparta en este contexto debe seguir protegiéndose conforme a las directrices pertinentes; por ejemplo, la información de identificación personal sigue estando sujeta a las consideraciones del Reglamento General de Protección de Datos (RGPD).
IBM Cloud se compromete a apoyar a nuestros clientes para reforzar su resiliencia operativa digital frente a las interrupciones, y ayudarles a prepararse para cumplir con sus obligaciones relacionadas con la DORA. Con nuestra larga historia y profunda experiencia trabajando con algunas de las organizaciones de servicios financieros más conocidas del mundo en su proceso de modernización, IBM se compromete a dar soporte a nuestros clientes para que impulsen su crecimiento a la vez que reducen el riesgo y se adaptan al cambiante panorama normativo, incluido el cumplimiento de la DORA.
Como proveedor de servicios en la nube (CSP), la DORA repercute en IBM Cloud de dos maneras:
- Indirectamente, cuando tanto IBM como nuestros clientes de entidades financieras (EF) deban adoptar medidas como la revisión de políticas y procedimientos y la adaptación de herramientas para gestionar la seguridad, la estabilidad y la resiliencia de los sistemas de TIC, así como el contenido y la gestión general de los acuerdos contractuales, tanto entre los clientes e IBM, como entre IBM y nuestros proveedores.
- Directamente, en el caso de que IBM e IBM Cloud pudieran ser designados como proveedores críticos de servicios de terceros de TIC (CTPP), que requieren supervisión, según la DORA, cuando IBM Cloud proporcione servicios de TIC a clientes de EF.
Hasta la fecha, IBM no ha sido designada oficialmente como proveedor crítico de TIC por las autoridades de la UE. Sin embargo, IBM Cloud se está preparando de forma proactiva para hacer frente a los posibles requisitos directos, en el caso de que IBM sea designada como proveedor crítico de servicios de terceros de TIC (CTPP) por las autoridades competentes.
IBM Cloud da soporte a los clientes para fundamentar su toma de decisiones basada en el riesgo. Nuestra documentación proporciona información detallada para cada servicio en la nube, para destacar las medidas de resiliencia del servicio incorporadas y ayudar a los clientes a diseñar para hacer frente a posibles interrupciones no planificadas. Incluimos documentación detallada sobre el cumplimiento como prueba de la solidez de las capacidades. Además, IBM Cloud Security and Compliance Center Workload Protection automatiza las comprobaciones de cumplimiento para IBM Cloud Framework for Financial Services, la DORA, el PCI y muchos otros estándares relacionados con el sector o de buenas prácticas, tanto para sus recursos de IBM Cloud como para los de un entorno multinube.
IBM Cloud ofrece una plataforma robusta que permite a los clientes diseñar una implementación resiliente que se adapte mejor a sus necesidades. Nuestras regiones de múltiples zonas ofrecen una selección de ubicaciones geográficas y servicios globales y entre zonas de alta disponibilidad, como la gestión de identidades y accesos, IBM Cloud Databases, servicios de contenedores (Kubernetes y Red Hat OpenShift), varios servicios de almacenamiento y Virtual Private Cloud para satisfacer los requisitos de resiliencia y cumplimiento de las aplicaciones para las cargas de trabajo más exigentes. Además, la recuperación ante desastres entre regiones puede crearse mediante arquitecturas de referencia y guías de buenas prácticas con el fin de mitigar una serie de escenarios.
La estabilidad es importante, por lo que IBM Cloud garantiza que los clientes dispongan de las capacidades de resiliencia que necesitan para evitar interrupciones no planificadas, desde arquitecturas todo como código y desplegables, implementadas a través de IBM Cloud Schematics, hasta arquitectura de red de alta disponibilidad e IBM Cloud Monitoring de última generación. Las características de autoescalado de muchos servicios, como Virtual Private Cloud, IBM Kubernetes Service, Red Hat OpenShift on IBM Cloud e IBM Cloud Databases, garantizan que las cargas de trabajo tengan capacidad suficiente para hacer frente a los picos, con la posibilidad de equilibrar fácilmente la carga entre zonas o incluso regiones. Mientras tanto, las prácticas DevSecOps, implementadas con cadenas de herramientas de entrega continua, mejoran la gestión automatizada de versiones y las prácticas seguras desde el diseño.
Un supuesto fundamental en el que se basa la normativa sobre resiliencia operativa es que los incidentes y las interrupciones imprevistas se producen a pesar de los mejores esfuerzos por parte de todos, por lo que es primordial cómo los afrontamos para reducir su frecuencia y su impacto. Realizamos con regularidad pruebas de BCDR y nos aseguramos de que nuestros procesos respalden los objetivos de tolerancia al impacto de los clientes y los resultados retroalimentan la concienciación sobre la formación de los empleados y la mejora continua. Cuando se producen incidentes, compartimos las notificaciones oportunas con los clientes afectados, y llevamos a cabo un análisis de la causa raíz y compartimos las conclusiones según proceda. Muchos servicios de IBM Cloud realizan copias de seguridad automáticas de los datos de los clientes en buckets de Object Storage interregionales para ayudar a la recuperación en una segunda región en caso de desastre, en línea con nuestro modelo de responsabilidad compartida.
Acelere el cumplimiento con los servicios de IBM Cloud
IBM Cloud ofrece la siguiente gama de servicios que le ayudarán a cumplir los requisitos específicos de la DORA y a acelerar el proceso de cumplimiento.
|
1. Gestión de riesgos de las TIC |
|---|
Cloud Pak for Security
Integre las herramientas de seguridad existentes para obtener un conocimiento más profundo de las amenazas y los riesgos, orquestar acciones y automatizar las respuestas.
IBM Cloud Security and Compliance Center - Agente de seguridad de datos - Gestor
Una solución de seguridad del conjunto Security and Compliance Center que proporciona auditoría de datos y políticas de cifrado centralizadas en diferentes fuentes de datos.
IBM Cloud Security and Compliance Center - Workload Protection
En arquitecturas centradas en contenedores y microservicios, puede utilizar IBM Cloud Security and Compliance Center Workload Protection para encontrar y priorizar vulnerabilidades de software, detectar y responder ante amenazas y gestionar configuraciones, permisos y cumplimiento desde el origen hasta la ejecución.
IBM Key Protect for IBM Cloud
El servicio IBM Key Protect for IBM Cloud le ayuda a aprovisionar y almacenar claves cifradas para aplicaciones en los servicios IBM Cloud, para que pueda ver y gestionar el cifrado de datos y todo el ciclo de vida de la clave desde una ubicación central.
IBM QRadar Suite
IBM Security QRadar Suite es una solución modernizada de detección y respuesta ante amenazas diseñada para unificar la experiencia de los analistas de seguridad y acelerar su velocidad en todo el ciclo de vida de los incidentes. El portfolio incorpora IA y automatización de nivel empresarial para aumentar de forma espectacular la productividad de los analistas, lo que ayuda a los equipos de seguridad con recursos limitados a trabajar de forma más eficaz en todas las tecnologías principales. Con una interfaz de usuario común, conocimientos compartidos y flujos de trabajo conectados, ofrece productos integrados para: seguridad de endpoints (EDR, XDR, MDR), SIEM, SOAR.
IBM X-Force
X-Force le ayudará a crear y gestionar un programa de seguridad integrada para proteger a su empresa de amenazas globales. Con un profundo conocimiento de cómo los actores de las amenazas piensan, elaboran estrategias y atacan, nuestro equipo sabe cómo prevenir, detectar, responder y recuperarse de los incidentes para que usted pueda centrarse en las prioridades empresariales. Los servicios de ataque y defensa de X-Force se basan en servicios de investigación, inteligencia y corrección de amenazas.
IBM Cloud Hardware Security Module
IBM Cloud Hardware Security Module (HSM) 7.0 de Gemalto protege la infraestructura criptográfica mediante la gestión, procesamiento y almacenamiento de claves criptográficas de forma más segura dentro de un dispositivo de hardware resistente a manipulaciones. Le ayuda a resolver desafíos complejos de seguridad, cumplimiento, soberanía de datos y control mediante la migración y ejecución de cargas de trabajo en la nube.
Computación confidencial
Proteja sus datos en reposo, en tránsito y en uso con la más amplia selección de tecnologías de cifrado y seguridad de datos de IBM Z, IBM LinuxONE e Intel Xeon en IBM Cloud.
IBM Security Guardium
IBM Security Guardium es una familia de software de seguridad de datos en la cartera IBM Security que descubre vulnerabilidades y protege los datos confidenciales en las instalaciones y en la nube.
Servicios de almacenamiento de IBM Cloud
Nuestros servicios de almacenamiento en la nube ofrecen un hogar escalable, rico en seguridad y rentable para sus datos, al tiempo que admiten cargas de trabajo tradicionales y nativas de la nube. Ofrezca e implemente servicios como objetos de acceso, bloques y almacenamiento de archivos. Ajuste la capacidad y optimice el rendimiento a medida que cambien los requisitos. Pague solo por el almacenamiento en la nube que necesite.
IBM Cloud Backup
IBM Cloud Backup es un sistema completo de copia de seguridad y recuperación basado en agentes que se gestiona a través de una interfaz web. Permite realizar copias de seguridad de datos entre servidores de IBM Cloud en uno o varios centros de datos globales de IBM Cloud.
Servicios de IBM Cloud Database
Los servicios IBM Cloud Database-as-a-Service (DBaaS) liberan a los desarrolladores y al departamento de TI de tareas complejas y que requieren mucho tiempo, como la implementación de la infraestructura y el software de base de datos, las operaciones de infraestructura, las actualizaciones del software de base de datos y las copias de seguridad. Las pymes de IBM Cloud Database entregan y mantienen instancias de bases de datos listas para usar y de alta disponibilidad, lo que libera a los desarrolladores y al personal de TI de tiempo para centrarse en otras prioridades.
IBM Cloud Container Registry
Almacene y distribuya imágenes de contenedores en un registro privado totalmente gestionado. Inserte imágenes privadas para ejecutarlas cómodamente en IBM Cloud Kubernetes Service y otros entornos de tiempo de ejecución. Se comprueban las imágenes para detectar problemas de seguridad, con el fin de que pueda tomar decisiones informadas sobre sus implementaciones.
Gestión del ciclo de vida de las aplicaciones DevSecOps
La arquitectura implementable de gestión del ciclo de vida de las aplicaciones DevSecOps crea un conjunto de cadenas de herramientas y pipelines DevOps. DevSecOps utiliza la entrega continua (CD) (Git Repos and Issue Tracking, Tekton Pipelines, IBM Cloud DevOps Insights y Code Risk Analyzer), Secrets Manager, IBM Key Protect, IBM Cloud Object Storage, IBM Cloud Container Registry y Vulnerability Advisor.
Soluciones de observabilidad de IBM Cloud
La observabilidad proporciona una visibilidad profunda de las aplicaciones distribuidas modernas para una identificación y resolución de problemas más rápidas y automatizadas.
|
2. Notificación de incidentes |
|---|
IBM X-Force
X-Force le ayudará a crear y gestionar un programa de seguridad integrada para proteger a su empresa de amenazas globales. Con un profundo conocimiento de cómo los actores de las amenazas piensan, elaboran estrategias y atacan, nuestro equipo sabe cómo prevenir, detectar, responder y recuperarse de los incidentes para que usted pueda centrarse en las prioridades empresariales. Los servicios de ataque y defensa de X-Force se basan en servicios de investigación, inteligencia y corrección de amenazas.
IBM QRadar Suite
IBM Security QRadar Suite es una solución modernizada de detección y respuesta ante amenazas diseñada para unificar la experiencia de los analistas de seguridad y acelerar su velocidad en todo el ciclo de vida de los incidentes. El portfolio incorpora IA y automatización de nivel empresarial para aumentar de forma espectacular la productividad de los analistas, lo que ayuda a los equipos de seguridad con recursos limitados a trabajar de forma más eficaz en todas las tecnologías principales. Con una interfaz de usuario común, conocimientos compartidos y flujos de trabajo conectados, ofrece productos integrados para: seguridad de endpoints (EDR, XDR, MDR), SIEM, SOAR.
IBM Security Guardium
IBM Security Guardium es una familia de software de seguridad de datos en la cartera IBM Security que descubre vulnerabilidades y protege los datos confidenciales en las instalaciones y en la nube.
Soluciones de observabilidad de IBM Cloud
La observabilidad proporciona una visibilidad profunda de las aplicaciones distribuidas modernas para una identificación y resolución de problemas más rápidas y automatizadas.
|
3. Pruebas de resiliencia operativa |
|---|
IBM Cloud Security and Compliance Center - Workload Protection
En arquitecturas centradas en contenedores y microservicios, puede utilizar IBM Cloud Security and Compliance Center Workload Protection para encontrar y priorizar vulnerabilidades de software, detectar y responder ante amenazas y gestionar configuraciones, permisos y cumplimiento desde el origen hasta la ejecución.
IBM X-Force
X-Force le ayudará a crear y gestionar un programa de seguridad integrada para proteger a su empresa de amenazas globales. Con un profundo conocimiento de cómo los actores de las amenazas piensan, elaboran estrategias y atacan, nuestro equipo sabe cómo prevenir, detectar, responder y recuperarse de los incidentes para que usted pueda centrarse en las prioridades empresariales. Los servicios de ataque y defensa de X-Force se basan en servicios de investigación, inteligencia y corrección de amenazas.
IBM QRadar Suite
IBM Security QRadar Suite es una solución modernizada de detección y respuesta ante amenazas diseñada para unificar la experiencia de los analistas de seguridad y acelerar su velocidad en todo el ciclo de vida de los incidentes. El portfolio incorpora IA y automatización de nivel empresarial para aumentar de forma espectacular la productividad de los analistas, lo que ayuda a los equipos de seguridad con recursos limitados a trabajar de forma más eficaz en todas las tecnologías principales. Con una interfaz de usuario común, conocimientos compartidos y flujos de trabajo conectados, ofrece productos integrados para: seguridad de endpoints (EDR, XDR, MDR), SIEM, SOAR.
IBM Security Guardium
IBM Security Guardium es una familia de software de seguridad de datos en la cartera IBM Security que descubre vulnerabilidades y protege los datos confidenciales en las instalaciones y en la nube.
Gestión del ciclo de vida de las aplicaciones DevSecOps
La arquitectura implementable de gestión del ciclo de vida de las aplicaciones DevSecOps crea un conjunto de cadenas de herramientas y pipelines DevOps. DevSecOps utiliza la entrega continua (CD) (Git Repos and Issue Tracking, Tekton Pipelines, IBM Cloud DevOps Insights y Code Risk Analyzer), Secrets Manager, IBM Key Protect, IBM Cloud Object Storage, IBM Cloud Container Registry y Vulnerability Advisor.
|
4. Gestión de riesgos de terceros |
|---|
IBM Cloud Security and Compliance Center - Workload Protection
En arquitecturas centradas en contenedores y microservicios, puede utilizar IBM Cloud Security and Compliance Center Workload Protection para encontrar y priorizar vulnerabilidades de software, detectar y responder ante amenazas y gestionar configuraciones, permisos y cumplimiento desde el origen hasta la ejecución.
|
5. Intercambio de información e inteligencia |
|---|
IBM X-Force
X-Force le ayudará a crear y gestionar un programa de seguridad integrada para proteger a su empresa de amenazas globales. Con un profundo conocimiento de cómo los actores de las amenazas piensan, elaboran estrategias y atacan, nuestro equipo sabe cómo prevenir, detectar, responder y recuperarse de los incidentes para que usted pueda centrarse en las prioridades empresariales. Los servicios de ataque y defensa de X-Force se basan en servicios de investigación, inteligencia y corrección de amenazas.
Cloud Pak for Security
Integre las herramientas de seguridad existentes para obtener un conocimiento más profundo de las amenazas y los riesgos, orquestar acciones y automatizar las respuestas.
IBM ha puesto a disposición de sus clientes de servicios financieros una serie de recursos para permitirles prepararse para el cumplimiento de la normativa DORA.
Estos recursos pueden aprovecharse a medida que las entidades financieras comienzan a definir sus exposiciones al riesgo, identificar las dependencias de terceros y desarrollar un enfoque para la resiliencia operativa digital.