La Ley de Resiliencia Operativa Digital, o DORA, es un reglamento de la Unión Europea (UE) que crea un marco integral de tecnología de la información y comunicación (TIC) de gestión de riesgos para el sector financiero de la UE. DORA establece una infraestructura unificada para tratar brechas, superposiciones y conflictos en las regulaciones, reduciendo la carga de cumplimiento y mejorando la resiliencia del sistema financiero de la UE.
DORA entró en vigor el 17 de enero de 2025.
Antes de DORA, las regulaciones de la UE se centraban principalmente en el capital para riesgos operativos, con directrices de seguridad y TIC inconsistentes en todos los países. DORA tiene como objetivo mejorar la gestión de riesgos de las TIC en el sector de los servicios financieros y armonizar las regulaciones en todos los estados miembro de la UE.
DORA se complementa con un serial de Normas Técnicas de Reglamentación (NTR) y Normas Técnicas de Ejecución (NTE) vinculantes que proporcionan normas armonizadas y directrices prácticas sobre la aplicación efectiva de los requisitos reglamentarios.
DORA se aplica a una amplia gama de entidades financieras, como bancos, instituciones de crédito y pago, empresas de inversión, lugares de negociación y depositarios centrales de valores y entidades no tradicionales, incluyendo proveedores de servicios de criptoactivos y plataformas de financiación colectiva. Existen exenciones para los gestores de fondos de inversión alternativos que califican para una exención conforme al Artículo 3(2) de la AIFMD y para instituciones pequeñas y no complejas que cumplen ciertos umbrales basados en el tamaño, el perfil de riesgo y la complejidad operativa.
Un aspecto único e impactante de DORA que es importante tener en cuenta es que se aplica no solo a las entidades financieras, sino también a los proveedores de TIC críticos que prestan servicios al sector financiero, como los proveedores de servicios en la nube y los centros de datos.
La aplicación de DORA es competencia del Banco Central Europeo (BCE) y de los reguladores designados en cada Estado afiliado a la UE, conocidos como "autoridades nacionales competentes" o ANCs. El BCE y las autoridades nacionales competentes pueden solicitar a las entidades financieras que adopten medidas específicas de seguridad y gestión de riesgos y corrijan las vulnerabilidades. También tienen facultades de ejecución para imponer sanciones administrativas y penales a las entidades que no cumplan con las expectativas de supervisión. Cada estado miembro está facultado para ejercer su discrecionalidad en la forma en que su autoridad nacional competente impone sanciones.
Los proveedores de TIC considerados "críticos" conforme a DORA serán supervisados directamente por supervisores principales de las Autoridades Europeas de Supervisión (ESA). Al igual que las autoridades nacionales competentes, los supervisores principales pueden solicitar que se tomen medidas preventivas y curativas de seguridad específicas para tratar vulnerabilidades y penalizar a los proveedores de TIC en incumplimiento. DORA permite a los supervisores principales imponer multas a los proveedores de TIC que ascienden al 1% del volumen de negocios diario promedio mundial del proveedor en el año comercial anterior. Los proveedores pueden ser multados todos los días durante un máximo de seis meses hasta que cumplan con las expectativas del supervisor principal.
DORA establece requisitos técnicos para entidades financieras y proveedores de TIC en cuatro dominios:
- Gestión y gobernanza de riesgos de TIC
- Respuesta y reporte de incidentes
- Pruebas de resiliencia operativa digital
- Gestión de riesgos de terceros
Un quinto dominio cubre el intercambio de información, que se recomienda pero no es obligatorio a diferencia de los otros cuatro dominios.
Se espera que las entidades financieras en el ámbito de DORA asuman un papel activo en la gestión del riesgo de terceros de las TIC. Al externalizar funciones críticas e importantes, se espera que las entidades financieras negocien arreglos contractuales específicos en cuanto a estrategias de salida, auditorías y objetivos de desempeño para la accesibilidad, integridad y seguridad de los datos, entre otras cosas. A las entidades no se les permite contratar con proveedores de TIC que no puedan cumplir con estos requisitos. El BCE y las autoridades nacionales competentes están facultadas para suspender o rescindir contratos que no cumplan. La Comisión Europea está explorando la posibilidad de redactar cláusulas contractuales estandarizadas que las entidades y los proveedores de TIC puedan utilizar para ayudar a garantizar que sus acuerdos cumplan con DORA.
Las entidades financieras también necesitan mapear sus dependencias TIC de terceros y están obligadas a ayudar a garantizar que sus funciones críticas e importantes no se concentren indebidamente con un solo proveedor o un pequeño grupo de proveedores.
Los proveedores de servicios críticos de TIC a terceros estarán sujetos a la supervisión directa de las ESA pertinentes. La Comisión Europea sigue desarrollando los criterios para determinar qué proveedores son críticos. Aquellos que cumplan con los estándares tendrán asignado a una de las ESA como supervisor principal. Además de hacer cumplir los requisitos de DORA a los proveedores críticos, los supervisores principales están facultados para prohibir a los proveedores contratar con empresas financieras u otros proveedores de TIC que no cumplan con los requisitos de DORA.
DORA responsabiliza al órgano de gestión de una entidad por la gestión de las TIC. Se espera que los miembros de la junta directiva, los líderes ejecutivos y otros gerentes sénior definan estrategias de gestión de riesgos adecuadas, ayuden activamente a ejecutarlas y se mantengan al día sobre su conocimiento del escenario de riesgos de TIC. Los líderes también pueden ser responsables personalmente por el incumplimiento de una entidad.
Se espera que las entidades cubiertas desarrollen marcos integrales de gestión de riesgos de TIC. Las entidades deben correlacionar sus sistemas de TIC, identificar y clasificar activos y funciones críticas y documentar dependencias entre activos, sistemas, procesos y proveedores. Las entidades deben realizar evaluaciones continuas de riesgos en sus sistemas de TIC, documentar y clasificar las amenazas cibernéticas y documentar sus pasos para mitigar los riesgos identificados.
Como parte del proceso de evaluación de riesgos, las entidades deben realizar análisis de impacto en el negocio para evaluar cómo escenarios específicos y perturbaciones graves podrían afectar al negocio. Se espera que las entidades utilicen los resultados de estos análisis para establecer niveles de tolerancia al riesgo e informar el diseño de su infraestructura TIC. También se requerirá que las entidades implementen medidas adecuadas de protección de seguridad cibernética, tales como políticas para la gestión de identidad y acceso y administración de parches, junto con controles técnicos como sistemas extendidos de detección y respuesta, software de gestión de eventos e información de seguridad (SIEM) y herramientas de orquestación de seguridad, automatización y respuesta (SOAR).
Las entidades también necesitan establecer planes de continuidad de negocio y de recuperación ante desastres para diversos escenarios de riesgo cibernético, como fallas de los servicios TIC, desastres naturales y ataques cibernéticos. Estos planes deben incluir medidas de copia de seguridad y recuperación de datos, procesos de restauración del sistema y planes de comunicación con los clientes afectados, los socios y las autoridades.
Las entidades cubiertas deben establecer sistemas para monitorear, administrar, registrar clasificar y reportar incidentes relacionados con las TIC. En función de la gravedad del incidente, es posible que las entidades tengan que informar tanto a los reguladores como a los clientes y socios afectados. Las entidades deberán presentar tres tipos distintos de reportes para incidentes críticos: un reporte inicial que notifique a las autoridades, un reporte intermedio sobre el progreso hacia la resolución del incidente y un reporte final que analice las causas principales del incidente.
Próximamente se publicarán las reglas sobre cómo se deben clasificar los incidentes, qué incidentes se deben informar y los plazos para informar. Las ESA también están explorando formas de simplificar la presentación de informes mediante el establecimiento de un centro y plantillas de informes comunes.
Las entidades deben probar periódicamente sus sistemas de TIC para evaluar la solidez de sus protecciones e identificar vulnerabilidades. Es necesario informar y validar los resultados de estas pruebas y los planes para tratar las debilidades que encuentren a las autoridades competentes pertinentes.
Las entidades deben realizar pruebas, como evaluaciones de vulnerabilidad y pruebas basadas en escenarios, una vez al año. Las entidades financieras juzgadas para desempeñar un papel crítico en el sistema financiero también deberán someterse a pruebas depenetración dirigidaspor amenazas (TLPT) cada tres años. Los proveedores críticos de TIC de la entidad también deberán participar en estas pruebas de penetración. El 23 de enero de 2025, el Consejo de Gobierno del BCE aprobó el marco actualizado de Teaming Rojo Ético basado en la inteligencia de amenazas (TIBER)-UE para la formación de equipos éticos basados en inteligencia de amenazas para alinearlos completamente con las normas técnicas reglamentarias de DORA sobre pruebas de penetración, con vistas a la entrada en vigor de DORA el 17 de enero de 2025. El marco TIBER-UE actualizado y los documentos de orientación pueden consultar en la dirección del BCE en el sitio web.
Se requiere que las entidades financieras establezcan procesos para aprender tanto de incidentes internos como externos relacionados con las TIC. Con ese fin, DORA alienta a las entidades a participar en acuerdos voluntarios de intercambio de inteligencia de amenazas. Cualquier información compartida en este contexto aún debe estar protegida conforme a las directrices pertinentes—por ejemplo, la información de identificación personal todavía está sujeta a las consideraciones del Reglamento General de Protección de Datos (GDPR).
IBM Cloud se compromete a apoyar a nuestros clientes para fortalecer su resiliencia operativa digital frente a las interrupciones y a ayudarlos a prepararse para cumplir con sus obligaciones de DORA. Con nuestra larga historia y profunda experiencia trabajando con algunas de las organizaciones de servicios financieros más conocidas del mundo en su camino hacia la modernización, IBM se compromete a apoyar a nuestros clientes a impulsar el crecimiento mientras reduce el riesgo y se adapta al escenario regulatorio en evolución, incluyendo el cumplimiento con DORA.
Como proveedor de servicios en la nube (CSP), DORA afecta a IBM Cloud de dos maneras:
- Indirectamente, donde tanto IBM como nuestros clientes de entidades financieras (FE) deben tomar medidas, como revisar políticas y procedimientos y adaptar herramientas para gestionar la seguridad, la estabilidad y la resiliencia de los sistemas TIC, así como el contenido y el manejo general de acuerdos contractuales, tanto entre clientes e IBM, como entre IBM y nuestros proveedores.
- Directamente, en caso de que IBM e IBM Cloud puedan ser designados como proveedores críticos de servicios externos de TIC (CTPP), lo que requiere supervisión, según DORA, donde IBM Cloud proporciona servicios TIC a clientes de FE.
Hasta la fecha, IBM no ha sido designado oficialmente como proveedor crítico de TIC por las autoridades de la UE. Sin embargo, IBM Cloud se está preparando de forma proactiva para tratar posibles requisitos directos, en caso de que las autoridades competentes designen a IBM como proveedor de servicios externos críticos de TIC (CTPP).
IBM Cloud ayuda a los clientes a fundamentar su toma de decisiones basada en riesgos. Nuestra documentación proporciona información detallada para cada servicio en la nube, para resaltar las medidas de resiliencia del servicio integradas y ayudar a los clientes a diseñar para hacer frente a posibles interrupciones no planificadas. Incluimos documentación detallada de cumplimiento como evidencia de capacidades sólidas. Además, IBM Cloud Security and Compliance Center Workload Protection automatiza las comprobaciones de cumplimiento de IBM Cloud Framework for Financial Services, DORA, PCI y muchos otros estándares de mejores prácticas o relacionados con la industria, tanto para sus recursos de IBM Cloud como para los de un entorno multinube.
IBM Cloud ofrece una plataforma estable que permite a los clientes diseñar una implementación resistente que se adapte mejor a sus necesidades. Nuestras regiones multizona ofrecen una selección de ubicaciones geográficas y servicios globales y multizona de alta disponibilidad, como Gestión de identidad y acceso, Cloud Databases de IBM, servicios de contenedores (Kubernetes y Red Hat OpenShift), varios servicios de almacenamiento y nube privada virtual para cumplir con los requisitos de resiliencia y cumplimiento de las aplicaciones para las cargas de trabajo más exigentes. Además, la recuperación ante desastres entre regiones puede construirse empleando arquitecturas de referencia y orientaciones sobre mejores prácticas, para mitigar una serie de escenarios.
La estabilidad es importante, por lo que IBM Cloud garantiza que los clientes tengan las capacidades de resiliencia que necesitan para evitar interrupciones no planificadas, desde todo como código y arquitecturas desplegables, implementadas a través de IBM Cloud Schematics, hasta arquitectura de red de alta disponibilidad y tecnología de última generación IBM Cloud Monitoring. Las características de auto-scaling de muchos servicios, incluyendo nube privada virtual, Kubernetes Service, Red Hat OpenShift on IBM Cloud y Cloud Databases de IBM garantizan que las cargas de trabajo tengan suficiente capacidad para cumplir con los picos, con la capacidad de equilibrar fácilmente la carga entre zonas o incluso regiones. Mientras tanto, las prácticas de DevSecOps, implementadas con cadenas de herramientas de Entrega continua, mejoran la gestión automatizada de versiones y las prácticas de seguridad por diseño.
Un supuesto fundamental que sustenta la regulación de la resiliencia operativa es que los incidentes y las interrupciones no planeadas ocurren a pesar de los mejores esfuerzos de todos – por lo que la forma en que los tratamos reduciendo las incidencias y su impacto es primordial. Realizamos pruebas BCDR periódicamente y nos cercioramos de que nuestros procesos respalden los objetivos de tolerancia al impacto del cliente y los resultados retroalimenten la concientización sobre la capacitación de los empleados y la mejora continua. Cuando ocurren incidentes, compartimos notificaciones de incidentes oportunas con los clientes afectados, realizamos análisis de causa principal y compartimos los hallazgos según corresponda. Muchos servicios de IBM Cloud realizan copias de seguridad automáticas de los datos de los clientes en cubetas Object Storage interregionales para facilitar la recuperación a una segunda región en caso de desastre, de acuerdo con nuestro modelo de responsabilidad compartida.
Acelere su cumplimiento empleando los servicios de IBM Cloud
IBM Cloud ofrece la siguiente gama de servicios que le ayudarán a cumplir con los requisitos específicos de DORA y acelerar su proceso de cumplimiento.
|
1. Gestión de riesgos TIC |
|---|
Cloud Pak for Security
Integre las herramientas de seguridad existentes para obtener insights más profundos sobre las amenazas y los riesgos, orquestar acciones y automatizar las respuestas.
IBM Cloud Security and Compliance Center - Data Security Broker - Manager
Es una solución de seguridad de la suite Security and Compliance Center que proporciona políticas de cifrado centralizadas y auditoría de datos en diferentes fuentes de datos.
Protección de cargas de trabajo de IBM Cloud Security and Compliance Center
En arquitecturas centradas en contenedores y microservicios, puede emplear IBM Cloud® Security and Compliance Center Workload Protection para encontrar y priorizar vulnerabilidades de software, detectar y responder a amenazas y gestionar configuraciones, permisos y cumplimiento desde el origen hasta la ejecución.
IBM Key Protect for IBM Cloud
El servicio IBM Key Protect for IBM Cloud le ayuda a suministrar y almacenar claves cifradas para aplicaciones en los servicios de IBM Cloud, de modo que pueda ver y gestionar el cifrado de datos y todo el ciclo de vida de las claves desde una ubicación central.
IBM QRadar Suite
IBM Security® QRadar® Suite es una solución modernizada de detección y respuesta a amenazas diseñada para unificar la experiencia de los analistas de seguridad y acelerar su velocidad a lo largo del ciclo de vida de los incidentes. La cartera está integrada con IA y automatización de nivel empresarial para aumentar la productividad de los analistas, ayudando a los equipos de seguridad con recursos limitados a trabajar de forma más eficaz en las principales tecnologías. Con una interfaz de usuario común, insights compartidos y flujos de trabajo conectados, ofrece productos integrados para seguridad endpoint (EDR, XDR, MDR), SIEM, SOAR.
IBM X-Force
X-Force puede ayudarle a crear y gestionar un programa de seguridad integrado para proteger su organización de amenazas globales. Con una comprensión profunda de cómo piensan, crean estrategias y golpean los actores de amenazas, nuestro equipo sabe cómo prevenir, detectar, responder y recuperarse de incidentes para que usted pueda enfocarse en las prioridades del negocio. Los servicios ofensivos y defensivos de X-Force están respaldados por servicios de investigación, inteligencia y corrección de amenazas.
IBM Cloud Hardware Security Module
IBM Cloud Hardware Security Module (HSM) 7.0 de Gemalto protege la infraestructura criptográfica gestionando, procesando y almacenando de forma más segura las claves criptográficas dentro de un dispositivo de hardware resistente a las manipulaciones. Ayuda a resolver problemas complejos de seguridad, cumplimiento, soberanía de datos y control de la migración y ejecución de cargas de trabajo en la nube.
Computación confidencial
Proteja sus datos en reposo, en tránsito y en uso con la más amplia selección de tecnologías de seguridad y cifrado de datos de IBM Z, IBM LinuxONE e Intel Xeon en IBM Cloud.
IBM Security Guardium
IBM Security Guardium es una familia de software de seguridad de datos de la cartera de IBM Security que detecta vulnerabilidades y protege los datos confidenciales on premises y en la nube.
Servicios de almacenamiento en la nube de IBM
Nuestros servicios de almacenamiento en la nube ofrecen una morada escalable, altamente segura y rentable para sus datos, al tiempo que admiten cargas de trabajo tradicionales y nativas de la nube. Aprovisione y despliegue servicios como almacenamiento de objetos de acceso, bloques y archivos. Ajuste la capacidad y optimice el rendimiento a medida que cambian los requisitos. Pague solo por el almacenamiento que necesita en la nube.
IBM Cloud Backup
IBM® Cloud Backup es un sistema completo de copia de seguridad y recuperación basado en agentes que se gestiona a través de una interfaz web. Realice copias de seguridad de datos entre servidores de IBM Cloud en uno o varios centros de datos globales de IBM Cloud.
Servicios de IBM Cloud Database
Los servicios IBM Cloud® Database-as-a-Service (DBaaS) liberan a los desarrolladores y a TI de tareas complejas y que consumen mucho tiempo, como el despliegue de infraestructura y software de base de datos, operaciones de infraestructura, actualizaciones de software de base de datos y copia de seguridad. Los SMEs de IBM Cloud® Database proporcionan y mantienen instancias de bases de datos listas para usar y de alta disponibilidad, liberando tiempo de los desarrolladores y del personal de TI para centrar en otras prioridades.
IBM Cloud Container Registry
Almacene y distribuya imágenes de contenedor en un registro privado totalmente gestionado. Inserte imágenes privadas para ejecutarlas convenientemente en IBM Cloud Kubernetes Service y otros entornos de tiempo de ejecución. Las imágenes se revisan para ver si hay problemas de seguridad para que pueda tomar decisiones informadas sobre sus despliegues.
Gestión del ciclo de vida de las aplicaciones DevSecOps
La arquitectura desplegable de gestión del ciclo de vida de las aplicaciones DevSecOps crea un conjunto de cadenas de herramientas y canalizaciones de DevOps. DevSecOps utiliza la entrega continua (CD) (Git Repos and Issue Tracking, Tekton Pipelines, IBM Cloud® DevOps Insights and Code Risk Analyzer), Secrets Manager, IBM® Key Protect, IBM Cloud® Object Storage, IBM Cloud® Container Registry y Vulnerability Advisor.
Soluciones de observabilidad de IBM Cloud
La observabilidad proporciona una visibilidad profunda de las aplicaciones distribuidas modernas para una identificación y resolución de problemas más rápida y automatizada.
|
2. Reporte de incidentes |
|---|
IBM X-Force
X-Force puede ayudarle a crear y gestionar un programa de seguridad integrado para proteger su organización de amenazas globales. Con una comprensión profunda de cómo piensan, crean estrategias y golpean los actores de amenazas, nuestro equipo sabe cómo prevenir, detectar, responder y recuperarse de incidentes para que usted pueda enfocarse en las prioridades del negocio. Los servicios ofensivos y defensivos de X-Force están respaldados por servicios de investigación, inteligencia y corrección de amenazas.
IBM QRadar Suite
IBM Security® QRadar® Suite es una solución modernizada de detección y respuesta a amenazas diseñada para unificar la experiencia de los analistas de seguridad y acelerar su velocidad a lo largo del ciclo de vida de los incidentes. La cartera está integrada con IA y automatización de nivel empresarial para aumentar la productividad de los analistas, ayudando a los equipos de seguridad con recursos limitados a trabajar de forma más eficaz en las principales tecnologías. Con una interfaz de usuario común, insights compartidos y flujos de trabajo conectados, ofrece productos integrados para seguridad endpoint (EDR, XDR, MDR), SIEM, SOAR.
IBM Security Guardium
IBM Security Guardium es una familia de software de seguridad de datos de la cartera de IBM Security que detecta vulnerabilidades y protege los datos confidenciales on premises y en la nube.
Soluciones de observabilidad de IBM Cloud
La observabilidad proporciona una visibilidad profunda de las aplicaciones distribuidas modernas para una identificación y resolución de problemas más rápida y automatizada.
|
3. Pruebas de resiliencia operativa |
|---|
Protección de cargas de trabajo de IBM Cloud Security and Compliance Center
En arquitecturas centradas en contenedores y microservicios, puede emplear IBM Cloud® Security and Compliance Center Workload Protection para encontrar y priorizar vulnerabilidades de software, detectar y responder a amenazas y gestionar configuraciones, permisos y cumplimiento desde el origen hasta la ejecución.
IBM X-Force
X-Force puede ayudarle a crear y gestionar un programa de seguridad integrado para proteger su organización de amenazas globales. Con una comprensión profunda de cómo piensan, crean estrategias y golpean los actores de amenazas, nuestro equipo sabe cómo prevenir, detectar, responder y recuperarse de incidentes para que usted pueda enfocarse en las prioridades del negocio. Los servicios ofensivos y defensivos de X-Force están respaldados por servicios de investigación, inteligencia y corrección de amenazas.
IBM QRadar Suite
IBM Security® QRadar® Suite es una solución modernizada de detección y respuesta a amenazas diseñada para unificar la experiencia de los analistas de seguridad y acelerar su velocidad a lo largo del ciclo de vida de los incidentes. La cartera está integrada con IA y automatización de nivel empresarial para aumentar la productividad de los analistas, ayudando a los equipos de seguridad con recursos limitados a trabajar de forma más eficaz en las principales tecnologías. Con una interfaz de usuario común, insights compartidos y flujos de trabajo conectados, ofrece productos integrados para seguridad endpoint (EDR, XDR, MDR), SIEM, SOAR.
IBM Security Guardium
IBM Security Guardium es una familia de software de seguridad de datos de la cartera de IBM Security que detecta vulnerabilidades y protege los datos confidenciales on premises y en la nube.
Gestión del ciclo de vida de las aplicaciones DevSecOps
La arquitectura desplegable de gestión del ciclo de vida de las aplicaciones DevSecOps crea un conjunto de cadenas de herramientas y canalizaciones de DevOps. DevSecOps utiliza la entrega continua (CD) (Git Repos and Issue Tracking, Tekton Pipelines, IBM Cloud® DevOps Insights and Code Risk Analyzer), Secrets Manager, IBM® Key Protect, IBM Cloud® Object Storage, IBM Cloud® Container Registry y Vulnerability Advisor.
|
4. Gestión de riesgos de terceros |
|---|
Protección de cargas de trabajo de IBM Cloud Security and Compliance Center
En arquitecturas centradas en contenedores y microservicios, puede emplear IBM Cloud® Security and Compliance Center Workload Protection para encontrar y priorizar vulnerabilidades de software, detectar y responder a amenazas y gestionar configuraciones, permisos y cumplimiento desde el origen hasta la ejecución.
|
5. Intercambio de información e inteligencia |
|---|
IBM X-Force
X-Force puede ayudarle a crear y gestionar un programa de seguridad integrado para proteger su organización de amenazas globales. Con una comprensión profunda de cómo piensan, crean estrategias y golpean los actores de amenazas, nuestro equipo sabe cómo prevenir, detectar, responder y recuperarse de incidentes para que usted pueda enfocarse en las prioridades del negocio. Los servicios ofensivos y defensivos de X-Force están respaldados por servicios de investigación, inteligencia y corrección de amenazas.
Cloud Pak for Security
Integre las herramientas de seguridad existentes para obtener insights más profundos sobre las amenazas y los riesgos, orquestar acciones y automatizar las respuestas.
IBM puso a disposición de sus clientes de servicios financieros una serie de recursos para permitirles preparar para el cumplimiento de la normativa DORA.
Estos recursos pueden aprovecharse a medida que las entidades financieras comienzan a definir sus exposiciones al riesgo, identificar dependencias de terceros y desarrollar un enfoque para la resiliencia operativa digital.