La Ley de Resiliencia Operativa Digital (DORA, por sus siglas en inglés) es una propuesta legislativa que aún está en proceso de elaboración y que tiene como objetivo mejorar la resiliencia frente a inminentes ciberataques en el sector financiero. Es importante señalar que esta ley no sustituye a la normativa existente, sino que la complementa proporcionando un marco para la gestión del riesgo operativo en un entorno digital. 

El objetivo del DORA es garantizar que las instituciones financieras sean capaces de resistir los ciberataques mediante la aplicación de las mejores prácticas, como la protección de datos y la planificación de la respuesta a incidentes. Esto significa que las empresas deben tener un plan para cuando se produzca un ataque, de modo que puedan mantener las operaciones mientras se recuperan de cualquier daño causado por un ataque.

Ver: Las nuevas normas de Deloitte para el cumplimiento del DORA

¿Qué significa la Ley de Resiliencia Operativa Digital (DORA) para su empresa?

La Digital Operational Resilience Act (DORA) introducirá cambios significativos en la forma en que las empresas de servicios financieros gestionan sus prácticas de seguridad de datos. En virtud de la DORA, todas las instituciones financieras deben implantar un programa de ciberseguridad que incluya políticas, procedimientos y actividades de gestión de riesgos. Estas políticas deben ser revisadas anualmente por un regulador financiero externo, que evaluará si son adecuadas o no en función de las normas del sector. 

Las instituciones financieras también deben poner en marcha un plan de respuesta a incidentes que describa cómo responderán cuando se produzca una brecha cibernética o cuando haya indicios de que pueda producirse una en un futuro próximo. Este plan debe incluir una estrategia para hacer frente a diferentes tipos de ataques (por ejemplo, estafas de phishing), así como procedimientos para recuperarse de un ataque. 

El DORA plantea determinados supuestos en los que puede ser aplicable: 

Por ejemplo, todas las organizaciones que trabajan directamente con instituciones y empresas financieras como proveedores de servicios, están sujetas a la DORA como obligación y serían supervisadas directamente por una autoridad reguladora financiera.

Esto se haría para determinar si los protocolos y prácticas de seguridad del proveedor se ajustan a las normas especificadas por el DORA y si son capaces de proporcionar un entorno libre de riesgos para el manejo de datos financieros sensibles.

Las organizaciones que no trabajan directamente con ninguna institución financiera pueden optar voluntariamente por lograr el cumplimiento de la ley DORA a través de un auditor independiente. 

Para lograr el cumplimiento de la DORA, es importante que las organizaciones dispongan de un plan de seguridad y gestión de riesgos bien definido. Este plan debe incluir medidas como evaluaciones periódicas de la vulnerabilidad, planes de respuesta a incidentes y programas de formación de los empleados. Una propuesta exhaustiva que describa estas medidas y su aplicación puede ayudar a las organizaciones a lograr el cumplimiento de la DORA y a establecerse como proveedores de servicios fiables en el sector financiero.

La Ley DORA: Principales condiciones y objetivos 

La Ley de Resiliencia Operativa Digital (DORA) garantiza la capacidad del sector financiero para operar de forma segura y resistente. La ley tiene los siguientes requisitos principales:

1. Las empresas deben tener un plan de respuesta a incidentes que incluya una descripción detallada de lo que constituye un ciberataque, cómo deben responder los empleados y cómo se restablecerán las operaciones en caso de que se produzca una infracción.
2. Las empresas deben mantener un programa de ciberseguridad que incluya una evaluación de los riesgos que suponen los ciberataques y un plan de acción para mitigarlos.
3. Las empresas deben mantener controles de seguridad adecuados sobre su infraestructura digital. Estos controles incluyen el cifrado, la autenticación, los controles de acceso, los registros de auditoría, los sistemas de supervisión, los sistemas de gestión de eventos y los planes de respuesta a incidentes.
4. Las empresas deben notificar los incidentes cuando se produzcan para que los reguladores puedan evaluar sus vulnerabilidades y hacer recomendaciones para mejorar su postura de seguridad.
5. Las empresas deben contar con un plan para garantizar la continuidad del servicio durante las interrupciones que puedan producirse.

Un paso más hacia el cumplimiento del DORA con PowerDMARC

Las organizaciones están reforzando su postura de seguridad debido a la ley DORA, que exige seguridad digital, de red y en la nube, así como seguridad del correo electrónico. Dado que el correo electrónico es la base de las comunicaciones actuales y constituye la plataforma de comunicación central de la mayoría de las empresas, proteger su infraestructura de correo electrónico es crucial para cumplir la ley DORA. 

PowerDMARC es una plataforma SaaS multi-inquilino que asegura sus canales de correo electrónico aprovechando una suite de autenticación de correo electrónico de pila completa. Cumplimos con las normas ISO 27001, SOC Tipo 2 y GDPR, y hemos trabajado con éxito con varias organizaciones financieras para proteger sus datos y dominios de correo electrónico contra los riesgos de seguridad. 

Te ayudamos: 

• Proteja sus mensajes de correo electrónico contra la suplantación de identidad con DMARC
• Defiéndase contra las escuchas cibernéticas y los ataques de intermediarios con MTA-STS
• Supervise los resultados de autenticación de su correo electrónico y solucione los incidentes forenses con Informes DMARC
• Manténgase por debajo del límite de búsqueda de SPF para evitar Permerrors con aplanamiento del SPF

Póngase en contacto con nosotros hoy mismo para lograr el cumplimiento de sus correos electrónicos.