Hubo mucha discusión, planificación, costo y gestión de personas involucradas para todos aquellos en el sector financiero para poner en vigencia a Dora.
En enero de 2025, la investigación de Rubrik Zero Lab informó que las cepas en las empresas no siempre eran obvias. Además de costar casi la mitad (47%) de las empresas de más de un millón de euros, el 79% de los empleados informaron un impacto en la salud mental, y el 58% de las CISO informaron un mayor estrés.
Sin embargo, no era ningún secreto; El trabajo en la preparación de un negocio para Dora siempre iba a ser significativo. Los cinco pilares de Dora de ciberseguridad incluyó la gestión de riesgos de las TIC, los informes de incidentes, las pruebas de resiliencia operativa digital, la gestión de riesgos de terceros y el intercambio de información. Una empresa y gastos significativos para cualquier negocio.
VP de ingeniería de soluciones y CTO empresarial en Rubrik.
Integrando dora
En los últimos seis meses, las instituciones financieras han tenido que pivotar al prepararse para Dora para integrar activamente sus requisitos en sus operaciones diarias. Los primeros meses han visto un fuerte énfasis en solidificar los marcos de gestión de riesgos de TIC, asegurando que sean integrales, bien documentados y monitoreados continuamente. Las tareas implican mapeo crítico Activosidentificar vulnerabilidades y establecer declaraciones de apetito de riesgo claro.
Se ha observado un cambio significativo en los informes de incidentes. Actualmente, las empresas enfrentan el desafío de cumplir con requisitos estrictos para clasificar, notificar y proporcionar informes detallados sobre los principales incidentes relacionados con las TIC a las autoridades competentes dentro de los plazos ajustados. Estos requisitos han requerido refinar procesos internos, mejorando Herramientas de monitoreoy establecer canales de comunicación claros para garantizar el flujo de información oportuno y preciso.
Quizás una de las áreas más desafiantes ha sido las pruebas de resiliencia operativa digital, particularmente las pruebas de penetración de amenazas altamente prescriptivas (TLPT). Si bien muchas empresas habían planeado estas pruebas, el período posterior a la vida ha visto la iniciación y ejecución de simulaciones complejas que imitan los ataques del mundo real. Estas pruebas no se tratan solo de encontrar vulnerabilidades, sino de evaluar la capacidad de la institución para resistir y recuperarse de interrupciones graves, empujando a los equipos internos y a los probadores de terceros a sus límites.
Por último, pero no menos importante, la gestión de riesgos de terceros ha pasado de una función aislada a un enfoque central. Dora exige que las entidades financieras supervisen todo el ciclo de vida de su dependencia de los proveedores críticos de terceros de las TIC, que incluye una diligencia debida meticulosa, acuerdos contractuales robustos y monitoreo continuo de la resistencia de sus terceros.
Muchas instituciones han reevaluado todo su panorama de proveedores, identificando dependencias críticas y, en algunos casos, diversificando a los proveedores para mitigar el riesgo de concentración. El foco regulatorio de terceros críticos significa que las empresas exigen una mayor transparencia y seguridad de sus proveedores que nunca.
Nada más, la amplitud de la regulación también ha significado que las instituciones financieras han visto a Dora tocar casi todos los aspectos de sus negocios: TI y ciberseguridad, para las operaciones legales, de cumplimiento, riesgo e incluso comerciales. El elemento humano está teniendo un impacto en la mejora y la capacitación del personal, expandiendo roles y responsabilidades y aumentando la carga de trabajo.
¿Te sientes listo para cuando se produce un ataque?
Una vez que se realiza el trabajo para ayudar a su organización a alinearse con Dora u otros estándares o regulaciones de ciberseguridad, la pregunta práctica para preguntarse es: “¿Me siento lo suficientemente resistente como para recuperarme de un ataque y mantener la continuidad del negocio a raíz de un ataque?”
- Poner el proceso en su lugar ayuda, pero ¿lo ha probado en la carretera dentro de su organización?
- ¿Has pensado en cada eventualidad? ¿O al menos planificó previamente a los que puede?
- ¿Qué nuevos riesgos puede identificar ahora que ha evaluado las brechas y resolvió su ecosistema de seguridad?
Inevitablemente, no es un caso de si se producirá un ataque, sino cuándo. Trabajar a través de las regulaciones respalda su viaje a la resiliencia cibernética, pero si la honestidad, la práctica y las pruebas continuas fallan, entonces también lo hará su sistema de defensa.
¿Cómo es el futuro para Dora? ¿Y qué significa esto en un escenario internacional?
Lo primero que debe darse cuenta es que Dora es una de las muchas regulaciones de ciberseguridad que se han producido en los últimos meses y años. Seis meses después de la implementación es muy temprano, y a medida que los marcos organizacionales maduren, las empresas continuarán invirtiendo, mejorando y adaptando su trabajo para mantener lo que existe.
Los costos, aunque sustanciales, no se consideran una mera carga de cumplimiento sino como inversiones estratégicas. El daño financiero y reputacional de un importante incidente cibernético, potencialmente alcanzando los cientos de millones o incluso miles de millones de euros en un escenario severo, sin mencionar multas regulatorias, supera la inversión inicial en el cumplimiento de Dora.
Los principios de Dora de gobernanza de TIC robusta, pruebas rigurosas y supervisión de terceros vigilantes serán críticos para navegar por el panorama de amenazas cibernéticas en constante evolución. Al integrar profundamente estas prácticas en su ADN operativo, las instituciones financieras no solo pueden cumplir con las obligaciones regulatorias sino también fortalecer sus defensas, asegurando la continuidad del negocio y manteniendo la confianza de los clientes en una era digital cada vez más volátil.
Enumeramos las mejores herramientas de gestión de TI.
Este artículo fue producido como parte del canal de Insights Expert de TechRadarpro, donde presentamos las mejores y más brillantes mentes de la industria de la tecnología en la actualidad. Las opiniones expresadas aquí son las del autor y no son necesariamente las de TechRadarpro o Future PLC. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro
