¿De qué sirven los estándares de ciberseguridad si no hay forma de saber si se han cumplido?
Es una pregunta que ha plagado a los reguladores de ambos lados del Atlántico durante décadas, y con casi la mitad (43%) de las empresas del Reino Unido reportando un incidente de seguridad cibernética en los últimos 12 meses, esos estándares son más importantes que nunca.
Esto es particularmente cierto en áreas como las finanzas, donde los ataques cibernéticos están en aumento y alrededor del 61% de las empresas del Reino Unido ahora buscan información y orientación externa.
Ingrese DORA, o la Ley de Resiliencia Operacional Digital (DORA) de la UE. Después de años, DORA finalmente entró en vigor el 17 de enero de 2025, hace más de 6 meses. En esencia, fue diseñado para fortalecer el sector financiero contra la disrupción digital.
Aunque DORA no se aplica directamente a las instituciones financieras del Reino Unido, la gran mayoría hace negocios estrechamente con los estados miembros de la UE, por lo que deben asegurarse de que están preparados para cumplir.
Estratega jefe de seguridad cibernética de Infoblox.
Los bancos, aseguradoras y proveedores de servicios saben que la ley está diseñada para fortalecer al sector contra las perturbaciones relacionadas con las TIC, y pocos cuestionarían la importancia de ese objetivo.
Sin embargo, saber y hacer son cosas muy diferentes. Al igual que con rondas de regulación anteriores, muchas organizaciones están tratando el cumplimiento como una cuestión de marcar casillas en lugar de rediseñar las prácticas.
Según una encuesta de enero de 2025, justo cuando DORA entró en vigor, alrededor del 43% de los bancos del Reino Unido todavía no estaban preparados para ello, lo que los dejó increíblemente vulnerables a pérdidas comerciales y fricciones en el cumplimiento.
La resiliencia operativa, el corazón mismo de DORA, requiere nuevas líneas de base, integradas en sistemas y procesos centrales, que garanticen que la industria pueda resistir las interrupciones sin consecuencias sistémicas.
Eso resultó ser fácil de transferir. El lenguaje de las regulaciones deja mucho espacio para la interpretación, los presupuestos son más ajustados que nunca y los equipos de seguridad y TI están luchando por cómo llevar la política a la práctica, algo que ya está al límite.
El resultado es lo que muchos dentro del sector describen como “ansiedad de auditoría”: un estado de mayor conciencia pero claridad limitada en el camino hacia el verdadero cumplimiento.
Las organizaciones grandes pueden dedicar equipos completos a decodificar el lenguaje regulatorio y alinear los procesos internos, pero las organizaciones más pequeñas a menudo carecen del mismo ancho de banda.
En cualquier caso, el riesgo es el mismo: sin incorporar resiliencia en los servicios críticos que sustentan el financiamiento, el cumplimiento se convierte en un ejercicio administrativo, en lugar de una defensa real contra las perturbaciones.
Las preocupaciones de auditoría son reales
Para las empresas e instituciones financieras, el primer desafío real de DORA no es la tecnología en absoluto: es la interpretación. El lenguaje de la regulación en torno a la gestión de riesgos de TI y los marcos de resiliencia es intencionalmente amplio, pero esa ambigüedad puede hacer que las empresas duden sobre cómo practicar el cumplimiento.
El resultado es lo que los expertos de la industria llaman “ansiedad de auditoría”. Los equipos de TI y seguridad ya enfrentan presupuestos ajustados y el personal reducido ahora debe dedicar un tiempo valioso a decodificar políticas y alinearlas con las operaciones diarias.
Las organizaciones grandes pueden rotar grupos de especialistas en cumplimiento, pero para las organizaciones medianas y pequeñas, la carga a menudo recae en equipos sobrecargados de quienes se espera que mantengan las luces encendidas y entreguen proyectos de transformación al mismo tiempo.
Esa presión crea un escenario bastante peligroso. Muchas organizaciones ya cuentan con herramientas y procesos que pueden respaldar el cumplimiento de DORA (por ejemplo, DNS protector (PDNS), pero debido a la incertidumbre sobre cómo enmarcarlos según las regulaciones, esos recursos están infrautilizados. La brecha entre la conciencia y la ejecución continúa ampliándose.
Sin procesos claros y efectivos para vincular los controles con las operaciones, las empresas corren el riesgo de reducir DORA a un ejercicio de auditoría anual más, exactamente el tipo de comportamiento reactivo y de marcar casillas que la ley fue diseñada para interrumpir.
DNS: punto ciego de “Nivel 0”
Uno de los componentes de la resiliencia digital que más se pasa por alto se encuentra en la base misma de Internet: el Sistema de Nombres de Dominio (DNS). A menudo considerado como una utilidad en segundo plano que “simplemente funciona”, DNS es en realidad un servicio de “Nivel 0”: si falla, todos los demás servicios fallan con él.
No se pueden procesar transacciones, no se pueden realizar comunicaciones con los clientes y no se puede acceder a aplicaciones críticas.
Esto hace que la resiliencia del DNS sea fundamental para el enfoque de continuidad operativa de DORA, incluso si muchas organizaciones aún no lo reconocen.
La propiedad operativa es algo que muchas organizaciones deben evaluar de cerca, ya que los equipos de seguridad generalmente tienen una visibilidad limitada de los procesos DNS, y aquellos que tienen visibilidad están más preocupados por su funcionalidad que por su potencial de seguridad.
Y lo que está en juego es mayor que el de cualquier organización por sí sola. En un ecosistema financiero altamente interconectado, una interrupción en la infraestructura DNS de una empresa puede extenderse rápidamente entre socios, proveedores y clientes.
Lo que parece ser un problema técnico aislado puede convertirse en una perturbación sistémica que socava la confianza y la estabilidad en todo el sector.
Al elevar el DNS de una función secundaria a una defensa de primera línea, las empresas no sólo pueden fortalecer su propia resiliencia sino también contribuir a la mayor estabilidad que DORA está diseñada para proteger.
Mandatos superpuestos y complejidad creciente
DORA no es el único marco al que tienen que enfrentarse las instituciones financieras. Al mismo tiempo que trabajan para lograr la resiliencia operativa según la legislación de la UE, también se espera que las empresas cumplan con los requisitos de otros mandatos como NIS2.
Cada uno tiene su propio lenguaje, alcance y obligaciones de presentación de informes, lo que crea una red superpuesta de cumplimiento que puede abrumar a los equipos de seguridad y TI, que ya están sobrecargados.
En lugar de un objetivo único y claro, las organizaciones enfrentan el desafío de hacer malabarismos con múltiples lentes regulatorios, cada uno de los cuales construye resiliencia en términos ligeramente diferentes.
Esta complejidad sólo se ve agravada por la naturaleza interrelacionada de las finanzas modernas. Una falla en la infraestructura de una organización, como una interrupción del DNS, puede afectar rápidamente a todo el ecosistema más amplio de proveedores, socios y clientes.
Retrasar la inversión en resiliencia sólo hace que este problema sea más difícil de gestionar. Los actores de las amenazas continúan evolucionando, surgen nuevos riesgos y el alcance regulatorio puede ampliarse como respuesta.
Sin un enfoque estratégico y de múltiples marcos, las empresas corren el riesgo de caer en un ciclo perpetuo de revisiones reactivas, corriendo de una fecha límite de cumplimiento a la siguiente sin fortalecer los servicios centrales diseñados para proteger a DORA y sus afiliados.
Un camino estratégico hacia adelante
La forma más eficaz de superar esta complejidad es pensar en el cumplimiento como una forma de pensar y no como una serie de obligaciones discretas. En lugar de abordar cada mandato de forma aislada, las instituciones financieras pueden alinearse con marcos establecidos que abarcan múltiples regulaciones.
El NIST SP 800-81 actualizado, por ejemplo, proporciona mejores prácticas detalladas para la seguridad y resiliencia del DNS. Como ya se especifica en NIS2, su adopción puede ayudar a las empresas a consolidar un servicio de Nivel 0 y satisfacer requisitos superpuestos.
Este enfoque de “un esfuerzo, muchos resultados” reduce la duplicación, reduce los costos e incorpora la resiliencia en los sistemas que más preocupan a los reguladores.
En última instancia, DORA es más que simplemente otro obstáculo de cumplimiento; Esta es una oportunidad para fortalecer la base financiera. Al elevar el DNS y otros servicios de Nivel 0 de utilidades pasadas por alto a pilares críticos de resiliencia, las organizaciones pueden ir más allá de las preocupaciones de auditoría y las prácticas de marcar casillas.
En otras palabras, las empresas deben dejar de pensar en el cumplimiento como una forma de “evitar sanciones” y construir una infraestructura capaz de resistir las perturbaciones sin propagar la inestabilidad internamente y en todo el ecosistema financiero en general.
Visto de esta manera, el cumplimiento se convierte en aquello para lo que siempre fue diseñado: un modelo para la fortaleza operativa a largo plazo.
Hemos presentado el mejor software de cifrado.
Este artículo se creó como parte del canal Expert Insights de TechRadarPro, donde destacamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
