Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Mastering DORA: Estrategias prácticas para garantizar la resiliencia operativa en el sector financiero
La reciente entrada en vigor de DORA (Digital Operational Resilience Act) está representando un reto muy importante para muchas organizaciones del sector financiero y asegurador. Este reglamento europeo exige un compromiso de la organización en la gestión del riesgo tecnológico, la continuidad operativa y la recuperación efectiva frente a incidentes relacionados con las TIC.
Tuve la oportunidad de participar recientemente en el evento Cybersecurity Bank & Finance 2025 (CBIF), junto a Amanda Bertucci de Commvault, para compartir experiencias prácticas y recomendaciones sobre cómo implementar efectivamente los requisitos de esta nueva regulación desde Govertis, part of Telefónica Tech.
DORA exige un compromiso riguroso en la gestión del riesgo tecnológico, la continuidad operativa y la recuperación efectiva frente a incidentes TIC.
¿Qué implica DORA en términos concretos?
DORA exige a las entidades financieras un nivel más avanzado de preparación y respuesta frente a incidentes tecnológicos, centrado especialmente en cinco pilares fundamentales:
- Gestión del riesgo TIC: implementar marcos sólidos para identificar, evaluar y mitigar los riesgos tecnológicos que podrían afectar la operación del negocio.
- Respuesta y gestión de incidentes: contar con procedimientos claros y eficaces que permitan detectar incidentes rápidamente, notificarlos oportunamente a las autoridades pertinentes y responder con agilidad para minimizar impactos.
- Pruebas de resiliencia operativa: realizar pruebas periódicas que validen de forma práctica los planes de continuidad y recuperación, demostrando así su eficacia real ante escenarios críticos.
- Gestión proactiva del riesgo con proveedores terceros: supervisar estrechamente a los proveedores críticos, asegurando que estos gestionan adecuadamente los riesgos tecnológicos que podrían impactar la operación.
- Intercambio seguro y efectivo de información: fomentar activamente la colaboración entre entidades para compartir información relevante sobre amenazas, fortaleciendo así la capacidad global del sector frente a incidentes cibernéticos.
Las entidades financieras deben realizar pruebas periódicas de resiliencia operativa para validar la eficacia real de sus planes de continuidad y recuperación.
Aplicación práctica de DORA en clientes reales
Desde Govertis, hemos trabajado estrechamente con diferentes organizaciones financieras y aseguradoras que se enfrentan a estos desafíos. Durante el evento CBIF destacamos algunas experiencias clave:
- Pruebas periódicas y entornos aislados: una de las demandas más frecuentes es la generación de evidencias auditables y fiables sobre la capacidad real de recuperación. En este contexto, mencionamos cómo soluciones tecnológicas avanzadas, como el Cleanroom Recovery de Commvault, permiten realizar pruebas seguras y auditables, cumpliendo plenamente con lo que exige DORA.
- Generación y gestión de evidencias auditables: otro aspecto crítico es la gestión efectiva de incidentes. En nuestra experiencia, es esencial contar con plataformas integradas tipo SIEM y SOAR que facilitan tanto la detección temprana de incidentes como la generación automática de evidencias necesarias para cumplir con las obligaciones de notificación a las autoridades competentes.
- Protección activa y continua de activos críticos: la mayoría de nuestros clientes destacan la necesidad de proteger activamente sistemas clave como el Active Directory. Durante la sesión, compartimos ejemplos reales sobre cómo una monitorización continua y soluciones especializadas pueden reducir significativamente los riesgos operativos asociados a amenazas comunes como el ransomware.
- Supervisión activa y alerta temprana en la gestión de riesgos con terceros: finalmente, destacamos cómo organizaciones clientes han mejorado notablemente su gestión del riesgo tecnológico mediante sistemas avanzados de monitorización continua de sus proveedores críticos. La implementación de alertas tempranas y planes rápidos de respuesta ha demostrado ser esencial para minimizar impactos negativos derivados de terceros.
Es imperativo supervisar estrechamente a los proveedores críticos para asegurar que gestionen adecuadamente los ciberriesgos que podrían impactar la operación del negocio.
La importancia de un enfoque integral, realista y proactivo
En Govertis, part of Telefónica Tech, creemos firmemente en un enfoque integral que combina procesos claros y definidos, experiencia práctica y soluciones tecnológicas avanzadas. La implementación efectiva de DORA requiere entender las necesidades operativas específicas de cada organización, ofreciendo soluciones reales que aseguren no solo el cumplimiento normativo, sino también una mejora tangible en la resiliencia operativa frente a futuros incidentes tecnológicos.
