La inminente aplicación de la Ley de Resiliencia Operativa Digital (DORA), a principios de 2025, está a punto de revolucionar a las entidades financieras. Una ley que se centra específicamente en el sector financiero, por lo que las compañías de seguros, empresas de inversión, entidades de crédito, los bancos y algunos de los proveedores externos, como los centros de datos o los proveedores de software, están obligados a cumplirlas. Y aunque existen algunas superposiciones con otros marcos de seguridad, la misión particular de DORA es fortalecer la resiliencia del sistema financiero europeo. Es una llamada de atención para que las organizaciones adopten prácticas de seguridad fundamentales que ya deberían haber incorporado a sus operaciones.
La Ley DORA está poniendo de relieve las medidas de control de acceso, como el inicio de sesión único (SSO), la autenticación multifactor (MFA) y la gestión del ciclo de vida de la identidad, que ya se consideran las mejores prácticas de seguridad.
Analizando los controles de acceso tradicionales
DORA pone el énfasis en el control de acceso, ya que, en muchas brechas de seguridad, el acceso no autorizado es la primera ficha del dominó que cae, lo que da lugar a filtraciones de datos, ataques de ransomware y otros incidentes costosos. La identidad es el eje aquí, por lo que las autoridades reguladoras buscan salvaguardarla a través de medidas como DORA. De ahí que, al exigir una gestión sólida de SSO, MFA y del ciclo de vida, DORA está obligando a las organizaciones a analizar en profundidad quién tiene acceso a qué, cuándo y cómo. Por eso desde CyberArk hemos analizado los aspectos más importantes a tener en cuenta en la aplicación de DORA:
- No todas las herramientas de gestión de identidad y acceso (IAM) son iguales, por lo que incorporar una detección y respuesta sofisticadas ante amenazas en esos “conceptos básicos” también fortalecerá significativamente la resiliencia.
- Reducir el uso de contraseñas puede ayudar a mitigar los riesgos para los usuarios cuando se trata de identidades federadas. Pero los inicios de sesión únicos (SSO), no son todos iguales, ya que algunas aplicaciones aún requieren un nombre de usuario y una contraseña. Por lo tanto, administrar esas credenciales junto con SSO es aún mejor.
- Para los líderes de seguridad de TI, DORA es una oportunidad para reevaluar y refinar sus estrategias de control de acceso. No se trata de hacer lo mínimo para evitar sanciones, sino de construir una postura de seguridad resistente que pueda soportar las sofisticadas amenazas actuales. Un control de acceso sólido es la columna vertebral de la resiliencia operativa y los requisitos de DORA se alinean estrechamente con lo que los líderes de la industria ya reconocen como esencial.
- Al adoptar los requisitos de DORA de manera temprana, las organizaciones pueden garantizar el cumplimiento normativo y obtener una ventaja estratégica. Por ejemplo, invertir en soluciones de IAM avanzadas cumple con los mandatos de DORA, agilizando las operaciones. Asimismo, la implementación de una MFA sólida evita el acceso no autorizado y genera confianza con los clientes, socios y reguladores.
La entrada 4 aspectos importantes a tener en cuenta en la aplicación de la Ley DORA se publicó primero en Big Data Magazine.