{"id":452418,"date":"2025-04-14T12:21:23","date_gmt":"2025-04-14T12:21:23","guid":{"rendered":"https:\/\/www.ninjaone.com\/?p=452418"},"modified":"2025-04-30T15:33:51","modified_gmt":"2025-04-30T15:33:51","slug":"5-pilares-del-reglamento-dora","status":"publish","type":"post","link":"https:\/\/www.ninjaonesandbox.dev\/es\/blog\/5-pilares-del-reglamento-dora\/","title":{"rendered":"\u00bfCu\u00e1les son los 5 pilares del reglamento DORA?"},"content":{"rendered":"

El Reglamento de Resiliencia Operativa Digital (DORA<\/a>) de la Uni\u00f3n Europea consolida las normas de seguridad digital para las entidades financieras de sus territorios miembros. Estos se ejemplifican principalmente a trav\u00e9s de las iniciativas clave del marco, tambi\u00e9n conocidas como los\u00a05 pilares de DORA<\/strong>:<\/p>\n

    \n
  1. Gesti\u00f3n de riesgo relacionado con las TIC<\/li>\n
  2. Incidentes relacionados con las TIC<\/li>\n
  3. Pruebas de resiliencia operativa digital<\/li>\n
  4. Gesti\u00f3n del riesgos de terceros relacionados con las TIC<\/li>\n
  5. Intercambio de informaci\u00f3n<\/li>\n<\/ol>\n

    El DORA complementa la Directiva reforzada sobre Seguridad de las Redes y de la Informaci\u00f3n 2 (NIS2<\/a>). Sin embargo, a diferencia del NIS2, el DORA es una normativa de obligado cumplimiento similar al Reglamento General de Protecci\u00f3n de Datos de la UE (RGPD<\/a>). Si trabajas en los sectores financiero y de TI, aqu\u00ed tienes todo lo que necesitas saber sobre los requisitos de ciberseguridad del DORA.<\/p>\n

    Los 5 pilares del reglamento DORA<\/h2>\n

    Las instituciones financieras son conocidas por sus complejas infraestructuras inform\u00e1ticas. Estas tecnolog\u00edas permiten a las organizaciones optimizar el rendimiento y las medidas de seguridad de nuevas formas, pero tambi\u00e9n exigen soluciones de gesti\u00f3n de riesgos m\u00e1s s\u00f3lidas.<\/p>\n

    El DORA pretende cubrir estas lagunas introduciendo una serie de requisitos que eleven el nivel de las normas sobre tecnolog\u00edas de la informaci\u00f3n y la comunicaci\u00f3n (TIC) en todo el sector financiero. En conjunto, la filosof\u00eda y la visi\u00f3n de DORA se resumen en los siguientes pilares:<\/p>\n

      \n
    1. \n

      Gesti\u00f3n de riesgos de las TIC<\/h3>\n<\/li>\n<\/ol>\n

      La gesti\u00f3n de riesgos inform\u00e1ticos<\/a>\u00a0es la piedra angular del marco del DORA. Abarca las estrategias, pol\u00edticas y herramientas necesarias para proteger los datos y activos frente a importantes retos de las TIC.<\/p>\n

      Este pilar garantiza que las instituciones financieras y las distintas partes interesadas controlen, eval\u00faen y contengan con prontitud y precisi\u00f3n las vulnerabilidades relacionadas con las TIC. Tambi\u00e9n cubre c\u00f3mo informan y responden a tales incidentes. Las empresas financieras y sus proveedores de servicios externos asociados deben estar preparados para auditor\u00edas y evaluaciones de seguridad peri\u00f3dicas.<\/p>\n

      Los responsables de TI deben desarrollar un marco integral de gesti\u00f3n de riesgos de TIC para cumplir los requisitos de conformidad del DORA. Esto puede significar aprovechar los protocolos existentes y redefinir determinados objetivos y funciones en la organizaci\u00f3n. Un plan de acci\u00f3n exhaustivo debe incluir un enfoque proactivo y coherente de la gesti\u00f3n de riesgos.<\/p>\n

        \n
      1. \n

        Notificaci\u00f3n de incidentes relacionados con las TIC<\/h3>\n<\/li>\n<\/ol>\n

        En virtud del DORA, las organizaciones deben colaborar con las autoridades competentes para hacer frente a incidentes graves relacionados con las TIC.<\/p>\n

        Los incidentes tambi\u00e9n deben clasificarse inmediatamente en funci\u00f3n de su impacto y potencial para perturbar los niveles de servicio. Tambi\u00e9n deben notificarse a las autoridades pertinentes utilizando\u00a0los estrictos plazos de notificaci\u00f3n<\/a>\u00a0de DORA y las plantillas est\u00e1ndar.<\/p>\n

        Dado el mayor \u00e9nfasis en la notificaci\u00f3n de incidentes de TIC, los responsables de TI deber\u00edan estudiar el refuerzo de los procedimientos internos de revisi\u00f3n y documentaci\u00f3n. Una forma de conseguirlo es mediante la automatizaci\u00f3n.<\/p>\n

        La automatizaci\u00f3n puede aplicar un plan de gesti\u00f3n de riesgos m\u00e1s completo y conectado. Para empezar, un\u00a0software de supervisi\u00f3n avanzada<\/a>\u00a0puede ayudar a las organizaciones a anticiparse a posibles problemas con supervisi\u00f3n, detecci\u00f3n de amenazas y respuesta en tiempo real. Al mismo tiempo, este enfoque moderno puede reforzar las pr\u00e1cticas de copia de seguridad y recuperaci\u00f3n.<\/p>\n

          \n
        1. \n

          Pruebas de resiliencia operativa digital<\/h3>\n<\/li>\n<\/ol>\n

          DORA tambi\u00e9n aboga firmemente por la comprobaci\u00f3n peri\u00f3dica de las medidas de resistencia digital. En otras palabras, se espera que las organizaciones analicen el impacto de escenarios espec\u00edficos e interrupciones significativas en su negocio. En relaci\u00f3n con esto, puede exigirse a las grandes instituciones que sigan protocolos de pruebas m\u00e1s exhaustivos y frecuentes.<\/p>\n

          Algunas medidas proactivas que pueden organizar los inform\u00e1ticos son pruebas de seguridad de la red y diversas evaluaciones de vulnerabilidad. Tambi\u00e9n deber\u00edas organizar evaluaciones peri\u00f3dicas de las amenazas para ayudar a identificar las lagunas en el proceso y reforzar los esquemas de seguridad y los planes de correcci\u00f3n existentes. Las entidades financieras tambi\u00e9n deben incluir a terceros de TIC en programas de formaci\u00f3n sobre resiliencia de ciberseguridad como parte de los requisitos.<\/p>\n

            \n
          1. \n

            Gesti\u00f3n del riesgo de las TIC frente a terceros<\/h3>\n<\/li>\n<\/ol>\n

            Uno de los puntos cruciales del marco del DORA se refiere a la gesti\u00f3n de los riesgos de terceros y el cumplimiento de la normativa.<\/p>\n

            Desde una perspectiva m\u00e1s amplia, hace realidad la responsabilidad ampliada de las organizaciones financieras de los territorios miembros de adherirse a las disposiciones y leyes de la UE en materia de TIC.<\/p>\n

            En virtud de esta directriz, las entidades financieras deben garantizar que los contratos con terceros proveedores de servicios de TIC, incluso los de fuera de la UE, definan con claridad y precisi\u00f3n las obligaciones y derechos de ambas partes. Tambi\u00e9n deben supervisar y evaluar peri\u00f3dicamente el cumplimiento por parte de terceros.<\/p>\n

            Las empresas financieras no pueden depender en gran medida de un \u00fanico proveedor para sus funciones b\u00e1sicas e infraestructuras inform\u00e1ticas cr\u00edticas. Por lo tanto, deben tomar la iniciativa de diversificar las infraestructuras inform\u00e1ticas y desarrollar protocolos estrictos para mantener el cumplimiento en todos los \u00e1mbitos.<\/p>\n

            En este sentido, los terceros proveedores de servicios TIC de operaciones esenciales o cruciales tambi\u00e9n estar\u00e1n sujetos a la supervisi\u00f3n directa de las Autoridades Europeas de Supervisi\u00f3n (AES) pertinentes.<\/p>\n

              \n
            1. \n

              Intercambio de informaci\u00f3n e inteligencia<\/h3>\n<\/li>\n<\/ol>\n

              Tambi\u00e9n se anima a las instituciones a participar en iniciativas de intercambio de informaci\u00f3n para elevar colectivamente las normas del sector. Adem\u00e1s de mejorar el proceso de elaboraci\u00f3n de informes, la documentaci\u00f3n y la colaboraci\u00f3n interfuncional dentro de la empresa, los responsables de las TIC deben aprovechar la colaboraci\u00f3n con las autoridades y los proveedores de servicios externos.<\/p>\n

              Consecuencias del DORA para las empresas<\/h2>\n

              El objetivo principal del DORA es mejorar la seguridad inform\u00e1tica y la resistencia operativa del sector financiero.<\/p>\n

              Las empresas que est\u00e1n al frente de esta iniciativa son entidades bancarias y de cr\u00e9dito, empresas de inversi\u00f3n, compa\u00f1\u00edas de seguros y proveedores de servicios de procesamiento de pagos.<\/p>\n

              Adem\u00e1s, los proveedores de servicios en la nube y las empresas de an\u00e1lisis de datos que gestionan servicios esenciales para las entidades financieras pueden clasificarse como proveedores terceros cr\u00edticos y estar sujetos a disposiciones y leyes rigurosas similares.<\/p>\n

              Para prepararse para la implantaci\u00f3n del DORA, las organizaciones deben comprender el alcance y los requisitos que el DORA les impone a ellas y a sus socios comerciales. Tambi\u00e9n se beneficiar\u00e1n de trabajar con proveedores de servicios externos que ya respetan las directrices NIS2, GDPR y DORA.<\/p>\n

              Para los responsables y el personal de TIC, el cumplimiento de la normativa debe tratarse como un proceso y no como un proyecto. Los protocolos TIC ajustados deben ser adaptables, especialmente a medida que se disponga de nueva informaci\u00f3n. El planteamiento global debe ser continuo, y todos los implicados deben estar preparados para la colaboraci\u00f3n y la formaci\u00f3n peri\u00f3dica.<\/p>\n

              Buenas pr\u00e1cticas para cumplir el reglamento DORA<\/h2>\n

              Diversifica las infraestructuras inform\u00e1ticas<\/h3>\n

              Una forma de crear una infraestructura inform\u00e1tica s\u00f3lida es diversificarla. Hay muchas formas de llevar a cabo esta iniciativa, pero la mayor\u00eda de las empresas pueden plantearse en primer lugar la modernizaci\u00f3n de algunos componentes y la\u00a0automatizaci\u00f3n de TI<\/a>. La supervisi\u00f3n y el mantenimiento a distancia pueden contribuir a mejorar la eficacia<\/a> y la seguridad en tiempo real.<\/p>\n

              Potencia los canales internos para una formaci\u00f3n y colaboraci\u00f3n interfuncional<\/h3>\n

              Las carencias en TIC no son exclusivas del departamento de TI. La empresa necesita un enfoque global para identificar vulnerabilidades y reforzar protocolos. Los canales de comunicaci\u00f3n que abarcan diferentes departamentos y unidades de negocio son importantes para aumentar la concienciaci\u00f3n y el cumplimiento en toda la organizaci\u00f3n.<\/p>\n

              Colabora con las partes interesadas externas<\/h3>\n

              Los 5 pilares del reglamento DORA ya han destacado la importancia de la colaboraci\u00f3n, y aqu\u00ed queremos resaltarla a\u00fan m\u00e1s. Tu organizaci\u00f3n deber\u00eda mantener la cooperaci\u00f3n con los organismos reguladores para obtener la interpretaci\u00f3n m\u00e1s precisa y actualizada del DORA. Del mismo modo, deber\u00edas exigir lo mismo a los proveedores, especialmente a los que prestan servicios a los sectores cr\u00edticos de tu empresa. Por lo tanto, incluye tambi\u00e9n a las partes interesadas externas en la formaci\u00f3n sobre las TIC y el DORA siempre que sea posible.<\/p>\n

              Implementa el modelo GRC en tu estrategia<\/h3>\n

              El modelo GRC<\/a> (Governance, Risk, and Compliance) puede ayudar a posicionar a la plantilla para lograr el cumplimiento del DORA de forma colaborativa. En esencia, el marco GRC elimina las barreras tradicionales entre las unidades de negocio, suprime los procesos inconexos y las redundancias, y alinea las TI con los objetivos empresariales.<\/p>\n

              El marco de GRC puede ser especialmente eficaz para cumplir las normativas industriales y gubernamentales y gestionar los riesgos. Para que tenga \u00e9xito, esta iniciativa necesita un fuerte apoyo de todos los sectores, especialmente de los dirigentes. Encontrar el software adecuado para consolidar los esfuerzos de GRC tambi\u00e9n puede crear retos \u00fanicos para la empresa.<\/p>\n

              Prepara a tu organizaci\u00f3n para el cumplimiento del DORA<\/h2>\n

              El reglamento DORA es relativamente nuevo, pero sus disposiciones est\u00e1n en su mayor\u00eda unificadas a partir de\u00a0las normas de cumplimiento de TI<\/a>\u00a0existentes como GDPR y NIS2. De ah\u00ed que debas aprovechar esos recursos para fortificar y establecer tu propio plan de gesti\u00f3n de riesgos, componentes inform\u00e1ticos y programas de formaci\u00f3n. Si bien las iniciativas del DORA plantean muchos retos nuevos, los responsables de cumplimiento y los profesionales de TI deber\u00edan aprovechar la oportunidad para alinear su estrategia de TIC y presionar a los responsables de la toma de decisiones para que actualicen las infraestructuras de TI con beneficios y ramificaciones tanto inmediatas como a largo plazo.<\/p>\n","protected":false},"excerpt":{"rendered":"

              El Reglamento de Resiliencia Operativa Digital (DORA) de la Uni\u00f3n Europea consolida las normas de seguridad digital para las entidades financieras de sus territorios miembros. Estos se ejemplifican principalmente a trav\u00e9s de las iniciativas clave del marco, tambi\u00e9n conocidas como los\u00a05 pilares de DORA: Gesti\u00f3n de riesgo relacionado con las TIC Incidentes relacionados con las […]<\/p>\n","protected":false},"author":161,"featured_media":444689,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[4366,4357],"tags":[],"class_list":["post-452418","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguridad","category-operaciones-de-ti"],"acf":[],"modified_by":"Karina PicoCatala","_links":{"self":[{"href":"https:\/\/www.ninjaonesandbox.dev\/es\/wp-json\/wp\/v2\/posts\/452418","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaonesandbox.dev\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaonesandbox.dev\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaonesandbox.dev\/es\/wp-json\/wp\/v2\/users\/161"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaonesandbox.dev\/es\/wp-json\/wp\/v2\/comments?post=452418"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaonesandbox.dev\/es\/wp-json\/wp\/v2\/posts\/452418\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaonesandbox.dev\/es\/wp-json\/wp\/v2\/media\/444689"}],"wp:attachment":[{"href":"https:\/\/www.ninjaonesandbox.dev\/es\/wp-json\/wp\/v2\/media?parent=452418"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaonesandbox.dev\/es\/wp-json\/wp\/v2\/categories?post=452418"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaonesandbox.dev\/es\/wp-json\/wp\/v2\/tags?post=452418"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}