- Acerca de DORA
- Áreas centrales de DORA
- Cumplir con DORA
Establecer la integridad operativa de las entidades financieras y
mejorar la resiliencia en la era digital.
La transformación digital en el sector financiero ha supuesto numerosas ventajas, pero también ha hecho que las empresas sean más vulnerables a diversos riesgos tecnológicos como los ataques cibernéticos, los fallos del sistema y las interrupciones de los servicios de TIC de terceros.
La Unión Europea introdujo la Ley de Resiliencia Operativa Digital (DORA), que establece requisitos específicos para las instituciones financieras con sede en la UE, con el fin de garantizar que el sector financiero pueda combatir estas amenazas y proteger sus operaciones comerciales.
La DORA entró en vigor el 16 de enero de 2023 y comenzó a aplicarse plenamente el 17 de enero de 2025. La política tiene por objeto armonizar la normativa en materia de resiliencia operativa del sector financiero, que abarca 20 tipos diferentes de entidades financieras y terceros proveedores de servicios de TIC.
La DORA es una normativa transformadora diseñada para mejorar la capacidad de su organización para resistir, recuperarse y adaptarse a las interrupciones relacionadas con las TIC. Esto es lo que significa la DORA para su organización:
Tendrá que implementar medidas seguras para proteger su infraestructura digital ante las ciberamenazas y las interrupciones operativas. Las evaluaciones periódicas de los riesgos y las mejoras de la seguridad se convertirán en una parte esencial de sus operaciones.
La DORA sitúa la rendición de cuentas en el nivel de la junta directiva, exigiéndole que alinee su marco de gobernanza con los objetivos de resiliencia digital.
Necesita establecer mecanismos eficientes para detectar, reportar y recuperarse de los incidentes relacionados con las TIC, garantizando un impacto mínimo en las operaciones y en la confianza de los clientes.
La DORA enfatiza la importancia de evaluar y mitigar los riesgos que plantean los terceros proveedores de TIC. Deberá garantizar que sus proveedores cumplen las mismas normas de resiliencia que su organización.
Poner a prueba la gestión del riesgo relacionado con las TIC para identificar cualquier punto débil. El Parlamento Europeo recomienda realizar pruebas anuales de resiliencia operativa digital en sus servicios de TIC. Sin embargo, las pruebas avanzadas sólo son necesarias una vez cada tres años.
Desarrollar un marco para monitorear y gestionar
los riesgos de terceros proveedores de TIC,
que cubra aspectos críticos como las capacidades,
los niveles y las ubicaciones.
Implementar procedimientos uniformes para
monitorear y clasificar los
incidentes relacionados con las TIC y
notificar al respecto a
las autoridades pertinentes.
Garantizar unas relaciones de servicio efectivas
para mejorar la gestión de riesgos.
Los acuerdos de servicio
deben cubrir el monitoreo, los niveles
de servicio y las ubicaciones del
tratamiento de datos.
Facilitar el intercambio de
información sobre amenazas
a la ciberseguridad,
protegiendo al mismo tiempo los
datos confidenciales para
mantenerse informado sobre cualquier
amenaza y riesgo reciente.
El conjunto de soluciones de gestión de TI de ManageEngine puede ayudarle a cumplir los requisitos técnicos de la DORA, apoyando así su cumplimiento de esta normativa.
Si su organización reúne los requisitos para ser considerada una empresa de servicios de inversión pequeña o no interconectada o una entidad de pago exenta en virtud de la Directiva (UE) 2015/2366, entidades exentas en virtud de la Directiva 2013/36/UE, los Artículos 5 a 15 del Reglamento de la DORA no aplican en su caso y puede pasar directamente al Artículo 16. Para obtener más detalles, consulte la guía sobre la DORA o el documento oficial.
Las entidades financieras dispondrán de un marco de gobernanza para gestionar eficazmente el riesgo relacionado con las TIC a fin de garantizar la resiliencia operativa digital.
Ofrece a los administradores visibilidad de alto nivel, control y gobernanza exhaustivos sobre las actividades privilegiadas en toda la empresa.
Proporciona una plataforma unificada, basada en IA y compatible con ITIL para orquestar flujos de trabajo automatizados para la gestión de incidentes, el acceso de usuarios, la gestión de cambios y liberaciones, y la gestión de activos de TI.
Aplique controles de acceso estrictos y mantenga pistas de auditoría —esto proporciona una visibilidad y una transparencia que son esenciales para la gestión del riesgo relacionado con las TIC.
Ofrece un dashboard unificado para monitorear la seguridad, lo que permite supervisar los eventos de seguridad, detectar anomalías y evaluar los riesgos en tiempo real.
Desarrolle sólidas soluciones de gobernanza personalizadas con marcos integrados que permitan a la entidad adherirse fácilmente a las normas de gobernanza globales.
Las entidades financieras establecerán un marco de gestión del riesgo relacionado con las TIC para garantizar la resiliencia operativa digital. Esto incluye estrategias y herramientas para proteger la información y los activos de TIC frente a riesgos como los daños y el acceso no autorizado.
Ofrece amplias funciones de elaboración de informes y detalles sobre los activos de los endpoints para proporcionar información exhaustiva sobre el entorno de los endpoints.
Las funciones de puntuación de confianza dinámica, así como el análisis del comportamiento de los usuarios privilegiados, permiten a las organizaciones implementar la gestión de riesgos en tiempo real.
Gestiona los riesgos de los dominios proporcionando visibilidad, identificando las amenazas, garantizando la validez de SSL y monitoreando la caducidad.
Cree dashboards de gestión de riesgos para monitorear el acceso de los usuarios, supervisar el estado de los activos y analizar las puntuaciones de riesgo para mejorar la conformidad.
Identifica los riesgos de seguridad en AD y Microsoft 365 y detecta las amenazas internas. Protege los recursos con una MFA segura.
Automatiza las respuestas a incidentes, la gestión de cambios de TI, y el inventario y la gestión de activos de TI para mitigar los riesgos de forma efectiva. Incluye la orquestación e información basada en IA.
Ofrece un servicio de auditoría de seguridad para auditar firewalls, que incluye los informes necesarios y mejoras de la postura de seguridad.
Utiliza análisis de comportamiento y detección de anomalías para identificar actividades sospechosas como el escalamiento de privilegios, los intentos de acceso no autorizado y la exfiltración de datos.
Desarrolle soluciones personalizadas de mitigación y disuasión de riesgos que permitan a la entidad financiera protegerse y blindarse frente a daños y accesos no autorizados.
Las entidades financieras actualizarán periódicamente los sistemas de TIC para gestionar los riesgos, garantizar la fiabilidad, hacer frente al aumento de la demanda durante los periodos pico y garantizar la resiliencia cuando operan en situaciones adversas.
Proporciona un modo FIPS 140-2 con algoritmos aprobados para una mayor seguridad. Su diseño multi inquilino permite incorporar fácilmente nuevos endpoints.
Garantiza un monitoreo y una prestación de servicios fiables, incluso durante la máxima demanda y la evolución de los retos tecnológicos.
Desarrolle soluciones personalizadas de gestión del riesgo relacionado con las TIC que tengan una alta disponibilidad y persistencia.
Las instituciones financieras revisarán y documentarán regularmente todas las funciones, roles y activos de TIC empresariales, identificando los riesgos potenciales como las ciberamenazas. Evaluarán los cambios en la infraestructura de red o en los sistemas heredados y mantendrán un inventario actualizado de la información crítica y de las dependencias de terceros.
Recopila detalles exhaustivos del inventario de su entorno de TI y proporciona una gestión continua de las vulnerabilidades a través de una única interfaz.
Las pistas de auditoría de PAM360 registran automáticamente todas las actividades de las cuentas con privilegios, incluidos los intentos de inicio de sesión y las ejecuciones de tareas, proporcionando una visibilidad clara para las auditorías e investigaciones internas.
Descubre todos los dispositivos de red, ofrece gestión de las configuraciones de red para gestionar los cambios, mejorando la seguridad y el rendimiento de la red.
Obtenga información detallada sobre el estado de los activos, los registros de cambios, la actividad de las cuentas con privilegios y las puntuaciones de riesgo en dashboards consolidados.
Detecta los riesgos de seguridad de AD y Microsoft 365, monitorea la actividad sospechosa, ayuda a gestionar y certificar los derechos y ofrece información detallada.
Permite supervisar y controlar los activos de hardware y software, tanto on-premise como remotos. La CMDB optimiza el mapeo de la infraestructura para los equipos de TI, identificando los riesgos durante las respuestas a incidentes y las implementaciones de cambios.
Garantiza una gestión proactiva de la red y un restablecimiento eficiente del servicio fusionando la información detallada sobre el rendimiento de los dispositivos en tiempo real con la visualización de la dependencia del servicio, algo crucial para mantener la estabilidad de la infraestructura.
Monitorea la infraestructura de red y los sistemas heredados en busca de vulnerabilidades, errores de configuración y cambios no autorizados.
Desarrolle y mantenga un repositorio que pueda servir como inventario actualizado de la información crítica, los activos de TIC y las dependencias de terceros.
Las entidades financieras realizarán un seguimiento y un control permanentes de la seguridad de sus sistemas de TIC para minimizar los riesgos. Los objetivos clave de la seguridad de las TIC incluyen asegurar la resiliencia, la continuidad y la disponibilidad de los sistemas, en particular de aquellos que sustentan funciones esenciales, así como mantener elevados niveles de disponibilidad, autenticidad, integridad y confidencialidad de los datos.
Mejora la seguridad con DLP, antivirus, parches, cifrado y sólidos controles de administración para los dispositivos.
Bóveda centralizada para gestionar información confidencial, como contraseñas, certificados, claves y documentos de datos.
Proporciona un análisis de seguridad exhaustivo, correlacionando las vulnerabilidades de los activos, el cumplimiento de los parches y los riesgos potenciales con dashboards procesables.
Realiza copias de seguridad de AD, Microsoft 365 y mucho más de manera segura. Utiliza MFA, detecta los riesgos, previene las infracciones y revisa el acceso con regularidad.
Gestiona el acceso con la sincronización de roles automatizada y la gestión de acceso masiva. Protege los datos y los recursos con métodos de MFA seguros.
Ayuda a proteger los servicios y activos de TIC con flujos de trabajo proactivos para la respuesta a incidentes de ciberseguridad, flujos de trabajo personalizados para la gestión de solicitudes de cambio y flujos de trabajo sólidos para la gestión de cambios.
Monitorea los dispositivos de red, las aplicaciones y los servicios 24/7, garantizando la resiliencia del sistema y la disponibilidad de las funciones críticas. Las alertas en tiempo real y la visibilidad integral permiten detectar las amenazas oportunamente y responder más rápido a los incidentes.
Proporciona monitoreo de seguridad, detección de amenazas y respuesta a incidentes de forma permanente para proteger los sistemas TIC. Garantiza la resiliencia del sistema, la disponibilidad y la integridad de los datos mediante análisis de log en tiempo real, controles de acceso y detección de anomalías.
Los datos almacenados en AppCreator se cifran en reposo con estándares de cifrado de nivel industrial, de conformidad con las normativas mundiales en materia de seguridad de datos.
Las entidades financieras detectarán rápidamente las anomalías de las TIC (de conformidad con el Artículo 17) y realizarán pruebas periódicas (de conformidad con el Artículo 25). Establecerán múltiples niveles de control y alertas automatizadas de incidentes, dedicarán recursos para el seguimiento de la actividad de los usuarios y las ciberamenazas, y se asegurarán de que los servicios de notificación de datos puedan verificar la integridad de los informes de operaciones y gestionar los errores.
Notifica al SOC y a los administradores de TI para aislar el sistema durante un ataque de malware. El sistema puede recuperarse tras un análisis forense.
Ofrece monitoreo en tiempo real, detección de anomalías, y umbrales personalizables y dinámicos para agilizar las operaciones de TI.
La detección de anomalías basada en IA, las alertas en tiempo real y el análisis predictivo basado en ML detectan las actividades anómalas y previenen posibles amenazas.
Detecta los riesgos de seguridad en entornos híbridos con informes de evaluación de riesgos y utiliza el UBA para investigar y mitigar las amenazas maliciosas.
Detecta alertas y alarmas de diferentes herramientas de gestión de alertas de TI, ITOM y SIEM, y las convierte en incidentes que se clasifican y escalan a los responsables de la respuesta a incidentes adecuados.
Un motor de detección de anomalías, basado en ML, identifica las desviaciones del rendimiento de referencia y permite detectar rápidamente las anomalías de las TIC.
Ofrece alertas en tiempo real para los incidentes de seguridad, accesos no autorizados y anomalías del sistema. Permite configurar alertas personalizadas basadas en la gravedad de los eventos, lo que ayuda a los equipos de seguridad a priorizar las amenazas y responder de forma proactiva.
Las entidades financieras aplicarán una política global de continuidad de la actividad en materia de TIC como parte de su marco de gestión del riesgo para garantizar las funciones críticas y la respuesta ante incidentes. Establecerán y auditarán los planes de respuesta y recuperación en materia de TIC, comprobando regularmente las funciones externas.
Protege los endpoints frente al ransomware con respaldos inalterables y funciones de cuarentena.
La arquitectura escalable admite varios servidores de aplicaciones al tiempo que depende de un único grupo de disponibilidad SQL, clúster o RDS en la nube para el backend.
Garantiza la continuidad del negocio mediante el monitoreo en tiempo real, las alertas automatizadas y las pruebas periódicas del plan de respuesta.
Detecte de forma preventiva los indicadores de peligro y automatice el análisis de causa raíz para agilizar la respuesta a los incidentes y su resolución.
Realiza copias de seguridad de AD, Microsoft 365, entre otros, como versiones cifradas inmutables. Protege el acceso a los datos con MFA.
Permite a los equipos de respuesta a incidentes detectar y registrar incidentes, activando flujos de trabajo predefinidos para la respuesta a incidentes que automatizan las notificaciones, la asignación, los escalamientos y la recuperación.
Garantiza la continuidad de las operaciones de TIC a través del monitoreo y failover en tiempo real, mientras que los flujos de trabajo automatizados y los respaldos de configuración permiten recuperar rápidamente y proteger los datos con el fin de garantizar la recuperación efectiva en caso de desastres relacionados con las TIC.
Los mecanismos automatizados de respuesta y recuperación ante incidentes ayudan a minimizar la inactividad y garantizan la continuidad del negocio. Log360 permite la detección de amenazas en tiempo real, los flujos de trabajo de reparación automatizados y el análisis forense para contener los incidentes de seguridad de forma eficiente.
Se puede desarrollar y mantener un repositorio de interrupciones, con registros, para facilitar el acceso y la consulta en el futuro.
Las entidades financieras crearán y documentarán políticas de respaldo y recuperación para minimizar la inactividad.
Protege los endpoints frente al ransomware con respaldos instantáneos y pone en cuarentena los que son sospechosos para realizar un análisis forense.
Cuando falla un servidor, los usuarios pueden hacer una nueva instalación de PAM360 y restaurar la base de datos con la ayuda del archivo de respaldo y la clave maestra en menos de 15 minutos.
Realiza copias de seguridad de AD, Microsoft 365 y mucho más con cifrado, recuperación rápida, MFA e inmutabilidad para la protección de datos.
Automatiza el respaldo de las configuraciones de los dispositivos de red (routers, switches, firewalls) y verifica la conformidad para garantizar la rápida restauración y la continuidad del negocio.
Permite almacenar a largo plazo los logs de seguridad, garantizando que los datos críticos estén disponibles para el análisis forense y las auditorías de cumplimiento.
Las organizaciones financieras evaluarán las ciberamenazas, revisarán los incidentes, supervisar las tendencias del riesgo y proporcionarán formación sobre seguridad al personal y a terceros para mejorar la madurez cibernética y adaptarse a los cambios.
Registra y resume todos los detalles de la respuesta a incidentes para las revisiones posteriores a los incidentes a fin de promover el conocimiento y el aprendizaje compartido.
Agrega y analiza los datos de eventos de seguridad de todo el entorno de TI, lo que permite a las organizaciones identificar vulnerabilidades, evaluar las ciberamenazas y perfeccionar las estrategias de gestión de riesgos.
Las entidades financieras dispondrán de planes de comunicación de crisis para divulgar los incidentes o vulnerabilidades de las TIC a clientes, contrapartes y al público, tal y como exige el Apartado 1 del Artículo 6. Esto implica políticas tanto para las partes interesadas internas como externas, con una persona designada encargada de gestionar las consultas de los medios de comunicación.
Permite a las organizaciones alertar a los responsables de la respuesta a incidentes, a los equipos internos, a las autoridades competentes y a cualquier parte interesada externa en cada fase del flujo de trabajo de la respuesta a incidentes.
Las Autoridades Europeas de Supervisión (AES) y la ENISA han establecido normas técnicas de regulación a fin de mejorar la seguridad de las TIC en las entidades financieras. Estas normas cubren la seguridad de la red, la integridad de los datos, la gestión del acceso, la respuesta a incidentes, los planes de continuidad y la gestión del riesgo relacionado con las TIC. También han sido adoptadas por la Comisión Europea.
Ayuda a las empresas a cumplir las RTS para la gestión del riesgo relacionado con las TIC y mejora los marcos optimizando la gestión de los privilegios de los endpoints.
Protege las redes empresariales con MFA resistente al phishing, supervisa los riesgos y revisa periódicamente los permisos de acceso.
Automatiza la gestión de acceso y utiliza MFA para proteger los datos, los activos y toda la red empresarial.
Garantiza que todas y cada una de las acciones de respuesta a incidentes, impactos, CI, conversaciones y notas se registren y resuman para generar revisiones detalladas posteriores al incidente que faciliten el intercambio de conocimientos y el aprendizaje colectivo.
Refuerza el cumplimiento de las normas de las AES y la ENISA por parte de las entidades financieras mediante controles de acceso granulares y la detección proactiva de dispositivos maliciosos, garantizando una sólida seguridad de las TIC y la resiliencia operativa.
Permite a las instituciones financieras gestionar eficazmente los privilegios de acceso y monitorear la autenticación de usuarios, el acceso basado en roles y la detección de anomalías en cumplimiento de las normas reglamentarias.
Las organizaciones establecerán un marco de gestión del riesgo relacionado con las TIC con un plan claro, supervisarán de manera permanente los sistemas y responderán rápidamente a los riesgos. Reconocerán su dependencia de terceros proveedores y desarrollarán planes de continuidad de la actividad con medidas de respaldo.
Nota: Este artículo sólo aplica para las pequeñas empresas no interconectadas, tal y como se describe arriba. Puede consultar el reglamento de la DORA para obtener más detalles.
Ayuda a cumplir las RTS para la gestión del riesgo relacionado con las TIC respecto a las herramientas, los métodos, los procesos, las políticas y el marco simplificado.
Detecta los riesgos de AD y Microsoft 365, evita las infracciones y realiza copias de seguridad de los datos inmutables para una rápida recuperación.
Ayuda a las pequeñas empresas no interconectadas a mejorar la gestión de riesgos con las mejores prácticas de ITIL, incluyendo la gestión de incidentes, solicitudes de servicio, cambios y activos de TI.
Mantiene la integridad de la red y simplifica la gestión del riesgo relacionado con las TIC para garantizar la continuidad del negocio. Los respaldos automatizados y el monitoreo del firewall en tiempo real garantizan el cumplimiento de las normas y una rápida respuesta a los riesgos.
Las entidades financieras gestionarán los incidentes relacionados con las TIC detectándolos, registrándolos y monitoreándolos. Los pasos clave incluyen establecer indicadores de alerta temprana, asignar roles, planificar la comunicación con las partes interesadas, notificar los incidentes graves a la alta dirección y desarrollar procedimientos de respuesta para restablecer el servicio de manera oportuna.
Proporciona datos clave a los administradores de red o al equipo del SOC, como la hora de detección, el estado de los ataques, las acciones de los agentes y los detalles de los endpoints para eventos sospechosos como malware o ransomware.
Detecta incidentes, gestiona las respuestas y notifica a las partes interesadas con herramientas de monitoreo en tiempo real y elaboración de informes detallados.
Utilice la IA para detectar indicadores con antelación y automatizar los flujos de trabajo para notificar a las partes interesadas y abordar los incidentes con rapidez.
Ayuda a acelerar la respuesta a incidentes mediante flujos de trabajo visuales de respuesta a incidentes, triaje inteligente, resumen potenciado por GenAI y sólidos informes y análisis.
Los dashboards en tiempo real y las alertas ajustables sirven de alerta temprana. Simplifique el seguimiento, el monitoreo y la elaboración de informes de incidentes para una pronta recuperación del servicio con protocolos de respuesta preestablecidos.
Optimiza la detección, clasificación y resolución de incidentes para las entidades financieras con sus funciones de SOAR.
Desarrolle un repositorio de los incidentes relacionados con las TIC y las ciberamenazas. Genere informes para las partes interesadas a fin de ayudar en las evaluaciones de impacto y los esfuerzos de mitigación.
Las entidades financieras clasificarán los incidentes relacionados con las TIC según el impacto y la pérdida de datos. Las normas reglamentarias aclararán la información sobre las amenazas importantes para la ciberseguridad, lo que ayudará a las pequeñas empresas.
Proporciona funciones de clasificación de incidentes basadas en condiciones y en IA, a partir de las cuales se pueden activar flujos de trabajo de respuesta a incidentes.
Las entidades financieras notificarán los incidentes graves relacionados con las TIC a una autoridad designada, proporcionando información detallada para evaluar los posibles efectos transfronterizos. Para ello, se utilizarán las plantillas del Artículo 20.
Ayuda a las organizaciones financieras a notificar a tiempo a las autoridades y a las partes interesadas durante la respuesta a incidentes.
Consulte a la infografía para ver cómo los productos de ManageEngine pueden ayudar con los diversos requisitos para el cumplimiento de la DORA.
Para obtener información más detallada, descargue la guía.
Consulte nuestra guía descargable para obtener información de alto nivel sobre la DORA y sobre cómo ManageEngine puede ayudarle a implementar la mayoría de los controles de cumplimiento de la DORA.
La plena implementación de la DORA requiere una serie de controles de procesos, políticas, personas y tecnologías. Las soluciones mencionadas son algunas de las formas en que las herramientas de gestión de TI pueden ayudar a cumplir los requisitos de la DORA. Junto con otras soluciones, procesos, personas y políticas adecuadas, las soluciones de ManageEngine ayudan a las organizaciones a adherirse a la DORA. Las organizaciones deben evaluar de forma independiente las funciones de ManageEngine y en qué medida pueden ayudarles a cumplir esta directiva. Este material se proporciona únicamente con fines informativos y no debe considerarse como asesoramiento legal para garantizar el cumplimiento de la DORA. ManageEngine no ofrece ninguna garantía, expresa, implícita o legal, en cuanto a la información contenida en este material. Póngase en contacto con su asesor jurídico para saber cómo afecta la DORA a su organización y qué debe hacer para cumplirla.