DORA, una ley necesaria para la ciberresiliencia
En un mundo cada vez más digitalizado, la seguridad de los datos y la protección contra las amenazas digitales se han convertido en las prioridades de las entidades financieras. Los recientes ciberataques en diversos ámbitos han mostrado los grandes desafíos a los que se enfrenta el sector financiero.
Podemos tomar como ejemplo la brecha de seguridad en AirEuropa, donde se han visto comprometidos los datos sensibles de más de 100.000 clientes. Este ataque, además de haber puesto en riesgo información crítica, como los números de tarjeta de los usuarios y sus códigos CVV, también nos hace ver la sofisticación con la que actúan los ciberdelincuentes.
El cibercrimen es un negocio en constante crecimiento y ninguna empresa, independientemente de su tamaño o sector, está exenta de convertirse en un objetivo. Las entidades financieras, junto con otros sectores como la sanidad y la educación, son especialmente atractivas debido a la gran cantidad de información sensible que manejan y la perspectiva de lucrativos ataques.
En respuesta a este escenario, Bruselas ha presentado la Ley de Resiliencia Operativa Digital, conocida como DORA por sus siglas en inglés, que entrará en vigor el 17 de enero de 2025. Esta nueva regulación tiene como principal objetivo unificar y elevar los estándares de ciberseguridad en el sector financiero. Además, el incumplimiento de esta norma supondrá sanciones financieras significativas: las entidades podrían enfrentar multas que representen hasta el 1% de su promedio diario de facturación a nivel mundial.
Uno de los puntos críticos de esta ley, el artículo 25, pone en tela de juicio la dependencia excesiva de los proveedores cloud y de las nubes públicas, planteando interrogantes como las siguientes: ¿cómo pueden las instituciones financieras gestionar la movilidad de datos entre diferentes proveedores de nube de manera rápida y segura? O, ¿cómo pueden repatriarlos a sus propios centros de datos?
Desde una perspectiva tecnológica, para adaptarse a la nueva normativa y asegurar su ciberresiliencia, las entidades bancarias necesitan soluciones tecnológicas avanzadas. Las herramientas de gestión de datos que permiten su movilidad entre diversos entornos, de forma fluida, tanto en la nube como en infraestructuras locales, se vuelven cruciales para conseguir la capacidad de reacción exigida por DORA.
Además, la posibilidad de utilizar análisis avanzados y aprendizaje automático para identificar patrones inusuales de acceso a datos se erige como un recurso clave para la detección proactiva de actividades anómalas, cumpliendo así con los requisitos de la legislación.
Es esencial destacar que las regulaciones como DORA demandan un enfoque integral. La colaboración entre instituciones financieras y proveedores tecnológicos se vuelve indispensable, no solo para la implementación de soluciones, sino también para la educación continua, garantizando que todos los actores involucrados comprendan las amenazas cibernéticas y estén capacitados para responder efectivamente.
Indudablemente, esta ley facilitará la cooperación entre entidades bancarias y proveedores, pero también incrementará el número de requisitos y desafíos a los que se enfrentarán. No obstante, esta regulación es necesaria para fortalecer nuestra ciberseguridad y garantizar que las entidades financieras estén preparadas para las amenazas de este mundo digital en constante cambio.
DORA representa un compromiso para garantizar la seguridad y la resiliencia en el este sector a nivel europeo, y supone, claramente, un paso en la dirección correcta. En su adaptación a la normativa, por otro lado, las organizaciones financieras necesitan apoyarse en soluciones y en proveedores de confianza, que les permitan desarrollar unos planes de continuidad del negocio realmente efectivos y garantizar una recuperación eficiente.
En definitiva, esta norma está transformando el panorama regulatorio en la Unión Europea y más allá. Cumplir con la ley es un imperativo absoluto para la seguridad de las operaciones en un entorno digital cada vez más complejo.
Los proveedores que llevamos años trabajando en la vanguardia tecnológica en la accesibilidad, gestión y la seguridad de los datos empresariales, nos encontramos en una posición única para apoyar a las entidades financieras en este viaje y asegurarles un futuro ciberresiliente.
***José Luis Álvarez es executive architect de NetApp para EMEA y LATAM.