La nueva Ley DORA ya está aquí. La regulación Digital Operational Resilience Act (DORA) ya puede llamar a la puerta de empresas y entidades financieras, y de sus proveedores, y las instituciones competentes tienen luz verde para empezar a comprobar si se cumple con sus requisitos.
A día de hoy, ya no hay ningún profesional del sector que no sea conocedor de lo que implica esta normativa, que se propone establecer un estándar robusto que garantice la continuidad operativa y refuerce la ciberseguridad en el sector financiero y en sus proveedores tecnológicos. En términos generales, se ha creado un modelo de gestión de riesgos que promueve buenas prácticas para fortalecer la resiliencia de las estrategias de ciberseguridad. Para ello, se introducen, por un lado, estrictos requisitos de gestión y supervisión, incluyendo auditorías periódicas y planes detallados de continuidad operativa. Y, por otro lado, las empresas deben responsabilizarse de la seguridad y resiliencia de sus proveedores. Un desafío importante para organizaciones con cadenas de suministro complejas o recursos limitados. Y, por último, también deben implementar las capacidades necesarias con inversiones en infraestructura, formación y monitorización.
Y es que, lo que pretende esta regulación europea es, sin duda, reforzar el concepto de confianza digital, basado en tres pilares: ciberseguridad, privacidad y resiliencia operativa. ¿Cómo? DORA exige a las empresas mejores controles de ciberseguridad para prevenir incidentes. Establece la necesidad de una supervisión exhaustiva de terceros, para asegurar que cumplen con los estándares de seguridad. Y obliga a la realización de simulacros y pruebas regulares de resiliencia. Medidas que están orientadas a generar un entorno donde las empresas, los clientes y sus socios puedan operar con mayor confianza digital y, por tanto, reducir la incertidumbre a la hora de enfrentarse a cualquier incidente o amenaza. No en vano, Europa ha sido la región más afectada por ciberataques en 2024 y España ya es el quinto país más afectado a nivel mundial por el ransomware.
Los desafíos de la ciberseguridad
Sin embargo, ¿cómo se encuentra el sector de la ciberseguridad para poder cumplir con estos estándares? El último informe «Estado de la Ciberseguridad 2024» de ISACA arroja luz sobre los retos a los que se enfrenta el sector en la actualidad. Entre los principales desafíos que destaca el informe es el estancamiento que han vivido los presupuestos en 2024. Por un lado, el 47% de los encuestados cree que los presupuestos aumentarán, el 41% afirma que se estancarán y el 13% espera que se reduzcan el año que viene. Una opinión que ha aumentado de forma progresiva desde 2022. Esta situación, de ser así, podría limitar la capacidad de las empresas para cumplir con los requisitos de DORA.
Por otro lado, este mismo informe apunta a que aún hay una falta de capacitación de los equipos de ciberseguridad en la adopción de la IA. Lo que sin duda también supone un riesgo para la seguridad de las empresas en la actualidad, no sólo porque los ciberdelincuentes se valen de ella para realizar ataques cada vez más avanzados y sofisticados, sino porque la IA tiene un gran potencial para ayudar a los profesionales de ciberseguridad, especialmente en áreas como la automatización de tareas y la detección de amenazas.
Pero, a pesar de estos desafíos a los que hace frente el sector, la implementación de DORA también puede traer consigo beneficios tangibles. Las organizaciones europeas podrán operar bajo un marco común, reduciendo las discrepancias regulatorias entre países. Además, la supervisión obligatoria de terceros y las pruebas de resiliencia fortalecerán las cadenas de suministro. Y, por último, esta ley puede provocar un aumento paulatino de la adopción de soluciones avanzadas en automatización y ciberseguridad, como la IA y el aprendizaje automático.
Por un futuro más resiliente
Pero para poder avanzar en este sentido y construir un futuro más resiliente, objetivo prioritario de este marco normativo, es esencial que las organizaciones españolas adopten un enfoque basado en la inversión en formación, de forma que cuenten con un equipo preparado para cumplir con los nuevos estándares. Del mismo modo que es importante incorporar políticas robustas que alineen la ciberseguridad con los objetivos de negocio, tampoco hay olvidar la necesidad de compartir conocimiento y recursos para fortalecer la resiliencia global del ecosistema.
Hay que ver esta regulación no sólo como una normativa más, sino como una oportunidad para redefinir cómo gestionamos la ciberseguridad y construimos confianza digital. En ISACA Madrid, estamos comprometidos a apoyar a los profesionales en esta transición, asegurando que afronten los desafíos con éxito y lideren el camino hacia un futuro digital más seguro gracias a la formación y capacitación, ya que certificaciones como CISA, CISM op CRISC aportan la base necesaria para afrontar el reto que supone DORA.
Antonio Ramos, miembro de la Junta Directiva ISACA Madrid Chapter
