Con las entidades financieras adentrándose en la era digital, se enfrentan a constantes amenazas de ataques cibernéticos, interrupciones operativas y violaciones de la seguridad de los datos. Un marco sólido de ciberseguridad es entonces esencial para garantizar la resistencia operativa, salvaguardar la confianza de los clientes y cumplir las expectativas normativas. El sector financiero necesita soluciones que puedan gestionar de forma proactiva los riesgos de las TIC (Tecnologías de la Información y la Comunicación), hacer frente a los incidentes de forma eficiente y mantener la continuidad operativa.
Introducción a la DORA: La Ley de Resiliencia Operativa Digital
Reconociendo la importancia de la ciberseguridad, la Unión Europea introdujo la Ley de Resiliencia Operativa Digital (DORA) el 27 de diciembre de 2022. La DORA pretende reforzar la resiliencia digital de las entidades financieras estableciendo normas unificadas para gestionar los riesgos de las TIC, garantizar la continuidad y responder de forma efectiva a las interrupciones.
A partir del 17 de enero de 2025, la DORA se aplicará a una amplia gama de instituciones financieras de toda Europa.
DORA en cifras: Una mirada a la resiliencia operativa digital en Europa
- 759.000 entidades financieras de toda Europa dependen de sistemas resistentes para prosperar en la era digital..
- El valor de 1 billón de euros generado anualmente por estas entidades financieras subraya su rol fundamental en la economía.
- 6,08 millones de dólares es el costo promedio de una violación de la seguridad de los datos para las entidades financieras en 2024, lo que resalta la importancia crítica de la resiliencia digital.
- 20 tipos de entidades financieras entran en el alcance de aplicación de la DORA, lo que garantiza una cobertura completa del sector.
- 5 pilares que esbozan la hoja de ruta para lograr la resiliencia operativa.
- 63 Artículos de la DORA marcan la dirección de la ciberseguridad
- 10 normas técnicas de regulación e implementación (RTS/ITS) perfeccionarán y guiarán la implementación en todo el sector.
¿Por qué elegir Endpoint Central para el cumplimiento del DORA?
Mantener la ciberhigiene
Endpoint Central le proporciona todas las herramientas que necesita para mantener los más altos estándares de ciberhigiene. Desde el parcheado de dispositivos y el cifrado de datos hasta el bloqueo del escalamiento de privilegios no autorizado, la prevención de filtraciones de datos y la gestión del acceso USB, garantiza un entorno de TI seguro.
Proceso de cumplimiento simplificado
Diseñado para un cumplimiento sin complicaciones, Endpoint Central ofrece informes preparados para auditorías y dashboards dinámicos, que le proporcionan información en tiempo real sobre los riesgos y vulnerabilidades en toda su infraestructura de TI.
Visibilidad integral de TI con Endpoint Central
Obtenga una visibilidad completa de su entorno de TI gracias a las funciones avanzadas de gestión de activos. Endpoint Central también refuerza la seguridad con sólidas funciones antimalware, restauración de datos con un solo clic y cuarentena de endpoints, minimizando las interrupciones y garantizando un funcionamiento sin problemas.
¿Quién queda bajo la jurisdicción del DORA compliance?
Veintiuna categorías de instituciones financieras y proveedores de servicios entran en el alcance de la Ley de Resiliencia Operativa Digital (DORA).
Instituciones financieras: Entidades de crédito, entidades de pago, entidades de dinero electrónico, empresas de inversión y empresas de seguros.
Infraestructura de mercado: Depositarios centrales de valores, contrapartes centrales, centros de negociación y repositorio de operaciones.
Gestión de activos y fondos: Gestores de fondos de inversión alternativos, sociedades gestoras e instituciones de previsión para la jubilación.
Servicios de datos e informes: Agencias de calificación crediticia, proveedores de servicios de información de datos y administradores de puntos de referencia críticos.
Tecnologías emergentes: Proveedores de servicios de criptoactivos y proveedores de servicios de crowdfunding.
Servicios TIC:: Proveedores de servicios TIC de terceros, incluidos los proveedores de servicios tecnológicos esenciales.
Los cinco pilares del cumplimiento DORA
- Gestión de riesgos de las TIC
- Gestión, clasificación y notificación de incidentes relacionados con las TIC
- Pruebas de resiliencia operativa digital
- Gestión del riesgo de terceros en las TIC
- Acuerdos de intercambio de información
Con Endpoint Central, podrá abordar de manera eficiente los requisitos de los dos primeros pilares del DORA compliance.
He aquí un desglose detallado de cómo Endpoint Central ayuda a las entidades financieras a lograr el cumplimiento del DORA.
Normas técnicas de regulación e implementación
Las Autoridades Europeas de Supervisión (ESA), incluidas la Autoridad Bancaria Europea (EBA), la Autoridad Europea de Seguros y Pensiones de Jubilación (EIOPA) y la Autoridad Europea de Valores y Mercados (ESMA) están elaborando conjuntamente las normas técnicas de regulación (RTS) y las normas técnicas de implementación (ITS). Estas proporcionarán orientaciones detalladas sobre la implementación de los requisitos del cumpliento DORA. Se distribuirán en dos tandas.
La primera RTS, ya finalizada y aceptada por la Comisión Europea, se centra en las herramientas, métodos, procesos y políticas de gestión de riesgos de las TIC, así como en el marco simplificado de gestión de riesgos de las TIC.
Haga clic aquí para conocer cómo Endpoint Central cumple de forma integral con los requisitos descritos en esta RTS.
DORA, NIS2 y GDPR: la trifecta de la ciberseguridad en Europa
Si bien el DORA compliance es una directiva exhaustiva sobre ciberseguridad para las entidades financieras, muchas organizaciones de la Unión Europea están obligadas a cumplir otras normativas y legislaciones importantes. He aquí un repaso muy básico de DORA, NIS2 y GDPR y de cómo se complementan entre sí
| Descripción | DORA (Ley de Resiliencia Operativa Digital) | NIS 2 (Seguridad de las Redes y de la Información 2) | GDPR (Reglamento General de Protección de Datos) |
|---|---|---|---|
| Scope | Se extiende a todas las entidades financieras de la UE | Se extiende a las entidades esenciales e importantes de la UE (Ref Artículo 3) | Se extiende a todas las organizaciones del mundo que manejan datos personales de ciudadanos europeos |
| Propósito | Como su nombre indica, se trata de reforzar la resiliencia de la ciberseguridad en todo el sector financiero | Esta directiva pretende elevar los estándares de ciberseguridad en toda la UE | El GDPR se basa en el Derecho a la Privacidad, que está ampliamente reconocido como un derecho fundamental en todo el mundo |
| Relación con la DORA | --- | Según las directrices de la Comisión sobre los apartados 1 y 2 del artículo 4 de la Directiva NIS 2, las reglas de ciberseguridad y notificación de incidentes de la Directiva NIS 2 no se aplican a los sectores ya cubiertos por leyes sectoriales específicas. Para las entidades financieras, la ley DORA (Ley de Resiliencia Operativa Digital) actúa como una ley específica del sector. Esto significa que las organizaciones cubiertas por la DORA no están sujetas a los requisitos de ciberseguridad e información de la Directiva NIS 2 | El marco de ciberseguridad de la DORA se solapa con los requisitos del GDPR, ayudando a las organizaciones a trabajar hacia el cumplimiento del GDPR de manera más efectiva. |
| Sanciones | La Ley DORA no especifica explícitamente las sanciones. Sin embargo, las autoridades reguladoras de la UE y sus Estados miembros tendrán autoridad para hacerlas cumplir e imponerlas. | Las entidades esenciales pueden enfrentarse a multas de hasta 10 millones de euros o el 2% de la facturación mundial, mientras que las entidades importantes se arriesgan a multas de hasta 7 millones de euros o el 1,4% de la facturación mundial. | Infracciones graves: Hasta 20 millones de euros o hasta el 4% de su facturación global total del ejercicio fiscal anterior. Infracciones menos graves: Hasta 10 millones de euros o hasta el 2% de su facturación global total del ejercicio fiscal anterior. |
Lecturas/enlaces recomendados:
- El cumplimiento de las normas ISO, más fácil con Endpoint Central
- Cumplir los requisitos de PCI DSS ya no es un reto para las instituciones financieras.
Cumplimiento en acción: Casos reales de éxito con Endpoint Central
"En el Banco de Holden hemos cumplido con la gestión de parches y los controles de seguridad requeridos para el Cumplimiento Federal mediante la implementación de ManageEngine Endpoint Central. Nuestras estaciones de trabajo están ahora más organizadas, manejables y seguras de lo que nunca hubiéramos imaginado posible"
Steven Deines,
Banco de Holden