Los atacantes no piratean, inician sesión: El punto ciego de la AMF

Boletín de ciberataques: Los atacantes no piratean, inician sesión: El punto ciego de la AMF >

Vectra AI Japón、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
Guía de buenas prácticas

Cómo Vectra AI permite el cumplimiento de DORA

Cómo Vectra AI permite el cumplimiento de DORA
Cómo Vectra AI permite el cumplimiento de DORA
Seleccione el idioma que desea descargar
Descargar
Informe de acceso
Gracias por descargarlo.
Acceda a su oferta gratuita a continuación.
Descargar
Descargar
Descargar en francés
Descargar en alemán
Descargar en español
Descargar en japonés
Descargar en italiano

¿Qué es DORA?

La Ley de Resiliencia Operativa Digital (DORA) es una propuesta legislativa de la Unión Europea (UE) destinada a mejorar la resiliencia operativa del sector financiero en la era digital. Establece un marco global para gestionar los riesgos de las Tecnologías de la Información y la Comunicación (TIC) y las ciberamenazas a las que se enfrentan las entidades financieras. Los principales objetivos del DORA son garantizar la continuidad de los servicios financieros críticos frente a los incidentes cibernéticos, reforzar la supervisión y la coordinación de la gestión de los riesgos de las TIC por parte de las autoridades competentes, aumentar la cooperación y el intercambio de información, y mejorar la notificación y la transparencia de los incidentes significativos relacionados con las TIC.

¿Desde cuándo está en vigor el DORA?

DORA, la Ley de Resiliencia Operativa Digital, está en vigor desde el 16 de enero de 2023. Previsiblemente en junio de 2023, las Autoridades Europeas de Supervisión (AES) publicarán documentos de consulta relativos a varias Normas Técnicas de Reglamentación y de Ejecución (NTR y NTE) de Nivel 2. El objetivo de estos documentos es esbozar requisitos específicos. El objetivo de estos documentos es esbozar requisitos específicos. Las empresas financieras deberán adherirse a esta normativa antes del 17 de enero de 2025, tras un periodo de aplicación de dos años y la elaboración de normas técnicas de regulación por parte de las Autoridades Europeas de Supervisión (AES).

¿Qué empresas pueden acogerse al Reglamento DORA?

El DORA tiene un amplio alcance y afecta a diversas entidades, como bancos, entidades de crédito, entidades de pago, empresas de inversión, entidades de dinero electrónico, entidades de contrapartida central y proveedores de servicios de criptoactivos, entre otros. Además, también están sujetos a regulación los terceros proveedores críticos de TIC, designándose para cada uno de ellos un supervisor principal, que podría ser la ABE, la AEVM o la AESPJ.

  1. El DORA adopta un enfoque global, que abarca una amplia gama de instituciones financieras. Mientras que los bancos y las compañías de seguros, ya familiarizados con las directrices de la ABE/EIOPA sobre seguridad y externalización de las TIC, están incluidos, el ámbito de aplicación se extiende a los centros de negociación, las instituciones que ofrecen planes de jubilación profesional, los proveedores de servicios de criptomonedas, los intermediarios de seguros y varias otras entidades financieras bajo este nuevo marco.
  2. No se conceden exenciones a las FinTech basándose únicamente en su menor tamaño si entran en las categorías especificadas en el Reglamento DORA. No obstante, las empresas con menos de 10 empleados e ingresos anuales limitados están sujetas a requisitos menos estrictos en virtud del Reglamento.
  3. Los proveedores de TIC -incluidos los proveedores de servicios cloud que prestan servicios a empresas financieras- pueden ahora estar sujetos al marco de supervisión si se clasifican como "proveedores de TIC críticos". Los criterios para esta clasificación son especificados con más detalle por las Autoridades Europeas de Supervisión (AES), pero se basan principalmente en lo críticos que son los servicios prestados para el mercado financiero, así como el grado de dependencia del proveedor de TIC o la facilidad con que puede ser sustituido

¿Por qué es importante cumplir el DORA?

  • El cumplimiento del DORA refuerza la resistencia operativa al identificar y abordar las vulnerabilidades.
  • El cumplimiento del DORA salvaguarda la estabilidad del sistema financiero al prevenir perturbaciones con posibles implicaciones sistémicas.
  • El cumplimiento del DORA ayuda a mitigar los riesgos de ciberseguridad mediante la aplicación de medidas y protocolos sólidos.
  • El cumplimiento de la normativa aumenta la confianza de los clientes al demostrar el compromiso de proteger sus datos y garantizar la continuidad del servicio.
  • Las organizaciones deben cumplir el DORA para cumplir sus obligaciones legales y reglamentarias y evitar sanciones y daños a su reputación.
  • El cumplimiento de la DORA fomenta la innovación en el sector financiero al abordar los riesgos y proporcionar una base segura para la adopción de nuevas tecnologías.
  • El cumplimiento fomenta la colaboración y la cooperación entre los participantes en el mercado y las autoridades supervisoras, lo que permite una respuesta y una comunicación eficaces ante los incidentes.
  • Adherirse al DORA ayuda a las organizaciones a adelantarse al cambiante panorama de las amenazas y a adaptarse a los riesgos y tecnologías emergentes.
  • El cumplimiento del DORA alinea a las organizaciones con las normas y expectativas internacionales, promoviendo la armonización entre jurisdicciones.
  • Lograr el cumplimiento de la DORA puede proporcionar una ventaja competitiva en el mercado al mostrar un firme compromiso con la resistencia operativa y la ciberseguridad.

¿Cuáles son los 10 pasos para cumplir la DORA?

Paso 1: Comprender el alcance del DORA

  • Visión general del DORA: Conozca a fondo los objetivos y disposiciones del DORA y las entidades a las que se aplica, como entidades de crédito, entidades de pago, entidades de dinero electrónico, contrapartes centrales y proveedores de servicios de datos.
  • Cartografía de los requisitos del DORA: Identificar los requisitos y obligaciones específicos descritos por el DORA, como las pruebas de resistencia, la gestión de riesgos de las TIC, la notificación de incidentes, la gestión de riesgos de terceros y las capacidades de ciberseguridad.

Paso 2: Establecer una estructura de gobierno

  • Nombrar a un responsable del cumplimiento de la DORA: Designe a un individuo o equipo dedicado responsable de supervisar los esfuerzos de cumplimiento de DORA dentro de su organización.
  • Creación de un marco de cumplimiento del DORA: Desarrollar un marco global que describa las políticas, procedimientos y controles necesarios para garantizar el cumplimiento de los requisitos del DORA.

Paso 3: Evaluación de riesgos

  • Identificación de riesgos: Realice una evaluación detallada para identificar los posibles riesgos y vulnerabilidades específicos de las operaciones, procesos y sistemas de su organización.
  • Evaluar el impacto y la probabilidad: Evaluar el impacto potencial y la probabilidad de los riesgos identificados, teniendo en cuenta factores internos y externos.

Paso 4: Pruebas de resistencia

  • Diseñar escenarios de pruebas de resistencia: Desarrollar un programa sólido de pruebas de resistencia que simule escenarios realistas, incluidos ciberataques, fallos del sistema y otros sucesos perturbadores.
  • Evaluar los resultados de las pruebas: Analizar e interpretar los resultados de las pruebas de resistencia para identificar áreas de mejora, vulnerabilidades y lagunas en la resistencia operativa.

Paso 5: Gestión de riesgos de las TIC

  • Establecer un marco de gestión de riesgos de las TIC: Desarrollar y aplicar un marco para identificar, evaluar, mitigar y supervisar los riesgos relacionados con las TIC, incluidos los riesgos de ciberseguridad, las vulnerabilidades tecnológicas y las interrupciones operativas.
  • Revisión y actualización periódicas: Revisar y actualizar continuamente el marco de gestión de riesgos de las TIC para adaptarlo a las nuevas amenazas, la evolución de las tecnologías y las mejores prácticas del sector.

Paso 6: Notificación y comunicación de incidentes

  • Establecer procedimientos de notificación de incidentes: Desarrollar procedimientos de notificación de incidentes claros y bien definidos que describan cómo y cuándo deben notificarse los incidentes significativos a las autoridades supervisoras pertinentes.
  • Fomentar canales de comunicación eficaces: Establecer canales de comunicación eficaces dentro de la organización para garantizar la notificación rápida y precisa de los incidentes y facilitar la coordinación de los esfuerzos de respuesta.

Etapa 7: Gestión de riesgos de terceros

  • Realizar la diligencia debida: Implemente un sólido proceso de diligencia debida para evaluar las capacidades de ciberseguridad y resiliencia operativa de terceros proveedores de servicios antes de establecer asociaciones o acuerdos de externalización.
  • Disposiciones contractuales: Incluir disposiciones contractuales específicas que aborden la gestión de riesgos de terceros, describiendo las responsabilidades, expectativas y normas necesarias para garantizar el cumplimiento del DORA.

Paso 8: Capacidades de ciberseguridad

  • Implantar mecanismos de autenticación fuertes: Implantar soluciones de autenticación multifactor para mejorar la seguridad del acceso a sistemas críticos e información sensible.
  • Cifrado y protección de datos: Implantar protocolos de cifrado para proteger los datos en reposo y en tránsito, garantizando la confidencialidad e integridad de la información sensible.
  • Supervisión proactiva y detección de amenazas impulsada por IA: Despliegue herramientas de supervisión avanzadas y sistemas de detección de ciberamenazas impulsados por IA para detectar y responder a las amenazas de ciberseguridad en tiempo real.

Paso 9: Respuesta a incidentes y continuidad de las actividades

  • Desarrollar planes exhaustivos de respuesta a incidentes: Crear planes de respuesta a incidentes detallados y bien estructurados que definan funciones, responsabilidades, procedimientos de escalado y canales de comunicación para una gestión eficaz de los incidentes.
  • Pruebas y ejercicios de los planes de respuesta a incidentes: Probar y ejercitar periódicamente los planes de respuesta a incidentes para garantizar su eficacia, identificar áreas de mejora y familiarizar al personal con sus funciones y responsabilidades.

Paso 10: Mejora continua y control del cumplimiento

  • Establecer mecanismos de supervisión del cumplimiento: Implantar un sólido programa de supervisión del cumplimiento para evaluar la adhesión continua a los requisitos del DORA, identificar las lagunas e impulsar la mejora continua.
  • Mantenerse al corriente de las actualizaciones normativas: Manténgase atento a las novedades normativas, actualizaciones y orientaciones relacionadas con el DORA para garantizar un cumplimiento continuo.

Cumplir con la Ley de Resiliencia Operativa Digital (DORA) requiere un enfoque integral y proactivo de la resiliencia operativa y la ciberseguridad. Mediante la aplicación de las mejores prácticas descritas en esta guía, las organizaciones pueden navegar por las complejidades de la DORA con éxito, fortalecer su resistencia operativa y contribuir a la estabilidad general del sistema financiero. Adopte estas recomendaciones, adáptelas a su contexto específico y emprenda el camino hacia el cumplimiento del DORA con confianza y resistencia.

¿Quién debe participar en el cumplimiento del DORA?

El cumplimiento del DORA requiere un esfuerzo de colaboración en el que participen diversas partes interesadas de una organización. Las siguientes personas o equipos clave deben participar en el proceso:

  1. Alta dirección: Los altos ejecutivos, incluidos el CEO, el CFO y el CIO, deben proporcionar liderazgo y apoyo a los esfuerzos de cumplimiento de la DORA. Desempeñan un papel crucial a la hora de marcar la pauta y asignar los recursos necesarios.
  2. Oficial/equipo de cumplimiento de DORA: Designe a un responsable o equipo de cumplimiento del DORA que se encargue de supervisar y coordinar los esfuerzos de cumplimiento. Deben tener un profundo conocimiento de las disposiciones y requisitos de la DORA.
  3. Departamento Jurídico y de Cumplimiento: El departamento jurídico y de cumplimiento desempeña un papel fundamental en la interpretación y comprensión de las obligaciones legales de DORA. Garantiza que las políticas, procedimientos y prácticas de la organización se ajusten a los requisitos legislativos.
  4. Equipo de gestión de riesgos: El equipo de gestión de riesgos es responsable de realizar evaluaciones de riesgos, identificar vulnerabilidades potenciales e implementar medidas de mitigación de riesgos. Debe colaborar estrechamente con el equipo de cumplimiento para abordar los riesgos específicos de DORA.
  5. Equipos de TI y ciberseguridad: Los equipos de TI y ciberseguridad son fundamentales en la aplicación de las medidas tecnológicas necesarias para cumplir los requisitos del DORA. Desempeñan un papel crucial en el despliegue de las capacidades de ciberseguridad, las pruebas de resistencia y los planes de respuesta a incidentes.
  6. Operaciones y unidades de negocio: Los equipos operativos y las unidades de negocio tienen un papel importante en la aplicación de las medidas de cumplimiento del DORA en sus respectivas áreas. Deben colaborar con los equipos de cumplimiento, gestión de riesgos y TI para garantizar la alineación y la aplicación de los requisitos del DORA.
  7. Auditoría interna: El equipo de auditoría interna proporciona una garantía independiente mediante la evaluación de la eficacia de los esfuerzos de cumplimiento de la DORA por parte de la organización. Realizan auditorías y evaluaciones para garantizar el cumplimiento permanente de las disposiciones del DORA.
  8. Proveedores de servicios externos: Si la organización depende de terceros proveedores de servicios, estos deben participar en el cumplimiento de la DORA. Esto incluye evaluar sus capacidades de ciberseguridad y resiliencia operativa y garantizar el cumplimiento mediante disposiciones contractuales.
  9. Equipos de comunicación y formación: La comunicación y la formación eficaces son cruciales para garantizar la comprensión y el cumplimiento del DORA en toda la organización. Los equipos de comunicación y formación deben desarrollar e impartir programas educativos para concienciar y orientar sobre los requisitos del DORA.
  10. Consultores y asesores externos: Las organizaciones pueden buscar asesoramiento externo de consultores o asesores jurídicos especializados en el cumplimiento de la DORA. Pueden proporcionar orientación, ayudar con las evaluaciones de riesgos y ayudar a navegar por el complejo panorama de la DORA.

Al implicar a estas partes interesadas clave y fomentar la colaboración entre ellas, las organizaciones pueden cumplir eficazmente la DORA, garantizando un enfoque holístico y global de la resistencia operativa y la ciberseguridad.

¿Cómo permite Vectra AI AI el cumplimiento de DORA?

Vectra AI ofrece soluciones avanzadas de detección de amenazas y respuesta en perfecta alineación con los requisitos de la Ley de Resiliencia Operativa Digital. Exploremos cómo Vectra AI puede ayudar a las organizaciones a cumplir con la DORA:

  1. Detección de amenazas y respuesta en tiempo real
    La plataforma de Vectra AI aprovecha el análisis de comportamiento impulsado por IA basado en técnicas de MITRE Att&ck y modelos de aprendizaje automático para detectar y analizar amenazas de red, SaaS, identidad, Cloud AWS , Cloud Microsoft 365 y Cloud híbrida en tiempo real. Al supervisar continuamente el tráfico y los comportamientos de la red, Vectra AI puede identificar amenazas potenciales antes de que se intensifiquen, lo que permite respuestas rápidas para mitigar los riesgos con prontitud.
  2. Respuesta a incidentes mejorada
    En caso de incidente cibernético, la plataforma de Vectra AI proporciona información valiosa e inteligencia procesable a los equipos de respuesta a incidentes basada en MITRE D3FEND. Esto permite a las organizaciones tomar medidas decisivas para contener, investigar y remediar las amenazas, cumpliendo eficazmente los requisitos de notificación de incidentes de DORA.
  3. Gestión proactiva de riesgos
    Las funciones de búsqueda proactiva de amenazas de Vectra AI permiten a las organizaciones anticiparse a los riesgos potenciales. Mediante la detección de amenazas y vulnerabilidades ocultas, las instituciones financieras pueden tomar medidas proactivas para fortalecer su postura de seguridad y cumplir con las disposiciones de gestión de riesgos de DORA. Visite la página de la solución de KPMG y Vectra.
  4. Informes de cumplimiento automatizados
    Cumplir con DORA requiere informes exhaustivos sobre incidentes de seguridad y prácticas de gestión de riesgos. Vectra AI simplifica este proceso mediante la automatización de los informes de cumplimiento, ahorrando tiempo y esfuerzo a las instituciones financieras en el cumplimiento de las obligaciones reglamentarias.

Exploremos cómo Vectra AI puede ayudar a las organizaciones a lograr el cumplimiento de capítulos y artículos específicos del DORA:

Artículo Requisito DORA Respuesta de Vectra
Capítulo II, artículo 5 Marco de gestión de riesgos de las TIC Vectra AI ofrece funciones integradas de caza de amenazas avanzadas para la gestión proactiva de amenazas y riesgos, en consonancia con los requisitos de gestión de riesgos de las TIC.
Capítulo II, artículo 7 Identificación -
- Priorización automática de posibles incidentes que afecten a activos críticos.
- Visibilidad mejorada de activos, servicios e interacciones locales, en cloud e híbridos.
Capítulo II, artículo 9 Detección Vectra AI utiliza capacidades avanzadas de detección de amenazas en todos sus productos, incluidas metodologías de vanguardia para detectar señales de ataque basadas en las técnicas MITRE ATT&CK , modelos de IA, modelos basados en firmas y visualización e informes exhaustivos.
Capítulo II, artículo 10 Respuesta y recuperación Proporciona capacidades de análisis y detección de comportamientos basadas en IA y en las técnicas MITRE ATT&CK para la detección en tiempo real de anomalías en redes, SaaS, identidad y cloud. Incluye priorización de incidentes integrada y procedimientos de respuesta recomendados.
Capítulo II, artículo 12 Aprender y evolucionar Integración continua y representación de procedimientos de ataque basados en la cadena de ciberataques y el marco MITRE ATT&CK para el aprendizaje continuo y las revisiones posteriores a la acción (AAR).
Capítulo II, artículo 13 Comunicación Informes MITRE ATT&CK para la comunicación estandarizada de eventos, detecciones e incidentes con las partes interesadas, incluidas las autoridades y los CSIRT nacionales o regionales.
Capítulo III, artículo 15 Proceso de gestión de incidentes relacionados con las TIC Clasificación automática de amenazas y priorización basada en IA para la gestión integrada de incidentes mediante soluciones SOAR o ITSM.
Capítulo III, artículo 16 Clasificación de los incidentes relacionados con las TIC Implanta un sistema de clasificación en 4 etapas (Baja, Media, Alta, Crítica) con una priorización basada en la puntuación para agilizar el procesamiento de incidentes.
Capítulo III, artículo 17 Notificación de incidentes graves relacionados con las TIC Proporciona capacidades integradas de generación de informes que incluyen la documentación de las técnicas MITRE ATT&CK MITRE D3FEND , la etapa de la cadena de cibermatanza y los procedimientos MITRE D3FEND aplicados.
Capítulo III, artículo 18 Armonización del contenido y las plantillas de los informes Proporciona plantillas de informes estandarizadas y contenidos de informes a petición para la elaboración de informes integrados en diferentes herramientas y sistemas.

Con la confianza de expertos y empresas de todo el mundo

Preguntas frecuentes