Toda entidad financiera que opere en la Unión Europea debe cumplir con la Ley de Resiliencia Operativa Digital (DORA). DORA se centra en si los sistemas pueden resistir, responder y recuperarse de las interrupciones relacionadas con las TIC y si esto puede demostrarse con pruebas.
Para los equipos de ingeniería, seguridad y riesgos, esto introduce un requisito práctico. La resiliencia operativa debe ser observable en sistemas en vivo, probada continuamente y rastreable a lo largo del tiempo.
Este artículo explica las expectativas técnicas de DORA y cómo Aikido Security apoya su implementación.
TL;DR
DORA exige a las entidades financieras de la UE que demuestren resiliencia operativa en la práctica. Aikido Security apoya la ejecución técnica de DORA al proporcionar visibilidad continua de vulnerabilidades, validación de explotabilidad, pruebas de resiliencia y evidencia lista para el cumplimiento en entornos de código, nube y tiempo de ejecución.
De qué trata DORA
DORA se aplica desde el 17 de enero de 2025 a bancos, aseguradoras, empresas de inversión, proveedores de pagos y otras entidades financieras reguladas en la UE.
Se introdujo para abordar las interrupciones repetidas de las TIC causadas por vulnerabilidades de software, fallos de terceros y una gestión inconsistente de incidentes entre los estados miembros. DORA establece un marco único y específico del sector centrado en resultados medibles.
Los reguladores esperan que las organizaciones demuestren que pueden:
- Detectar incidentes de TIC rápidamente
- Responder y recuperarse eficazmente
- Proporcionar pruebas de que los controles funcionan en condiciones operativas
Los cinco pilares de DORA
Desde una perspectiva técnica, DORA se estructura en torno a cinco pilares:
- Gestión de Riesgos TIC: Saber qué sistemas ejecuta, dónde están sus riesgos y cómo los gestiona día a día.
- Informes de Incidentes: Detectar incidentes rápidamente e informarlos dentro de plazos regulatorios estrictos.
- Pruebas de Resiliencia Operativa Digital: Probar regularmente la capacidad de sus sistemas para resistir y recuperarse de las interrupciones.
- Gestión de Riesgos de Terceros TIC: Comprender y gestionar los riesgos introducidos por proveedores, suministradores y dependencias.
- Intercambio de Información: Compartir inteligencia de amenazas para fortalecer la resiliencia en todo el ecosistema financiero.
Cada pilar tiene implicaciones directas en cómo se construyen, monitorizan y prueban los sistemas.
Lo que DORA significa para los equipos de ingeniería
Prácticas de desarrollo seguro
El Artículo 9(4)(e) exige a las organizaciones documentar las prácticas de seguridad, rastrear las vulnerabilidades y demostrar cómo se integra la resiliencia en la entrega de software. Los controles de seguridad deben integrarse en los flujos de trabajo de desarrollo y en los pipelines de CI/CD.
Responsabilidad de las dependencias
Según el Artículo 28, las dependencias de terceros y de código abierto están totalmente incluidas en el ámbito. Si una dependencia causa una interrupción o exposición, la responsabilidad recae en la entidad financiera. Los equipos deben saber qué dependencias están en uso, dónde se ejecutan y con qué rapidez se pueden abordar los problemas.
Trazabilidad y evidencia
Los equipos de ingeniería deben poder demostrar qué se desplegó, cuándo entró en producción, qué controles de seguridad se ejecutaron y quién aprobó el cambio. Los registros de compilación, el control de versiones y las herramientas de seguridad deben producir un rastro auditable.
Qué significa DORA para los equipos de seguridad y riesgos
Visibilidad de riesgos continua
DORA exige un conocimiento continuo de lo que se está ejecutando en producción, qué vulnerabilidades existen y qué riesgos son explotables en un momento dado. Las evaluaciones periódicas son insuficientes.
Gestión automatizada de vulnerabilidades
El seguimiento manual no es escalable. Los plazos de detección, priorización y remediación deben ser respaldados por sistemas automatizados con una propiedad clara.
Documentación alineada con la realidad
Cuando ocurren incidentes, las organizaciones deben demostrar cuándo se detectó el problema, cómo se evaluó, quién lo gestionó y con qué rapidez se resolvió. La evidencia debe reflejar el comportamiento real del sistema.
En qué se diferencia DORA de otros marcos
DORA no sustituye a ISO 27001, NIS2 o SOC 2. Introduce requisitos más estrictos y específicos del sector, centrados en los resultados operativos.
DORA actúa como lex specialis, lo que significa que si DORA y NIS2 entran en conflicto, por ejemplo, DORA prevalece. Las reglas están adaptadas específicamente a los riesgos del sector financiero y son más estrictas de lo que se vería en otros marcos regulatorios.
Por qué el cumplimiento de DORA es difícil en la práctica
Las bases de código grandes y de rápido movimiento dificultan el seguimiento de cada cambio y aprobación. Las aplicaciones modernas dependen de cientos de dependencias, a menudo sin una visibilidad clara de su despliegue y exposición. Las herramientas de seguridad están fragmentadas, produciendo datos a través de múltiples sistemas que deben correlacionarse durante las auditorías.
Cómo Aikido Security apoya los requisitos técnicos de DORA
Aikido Security es una plataforma impulsada por IA que centraliza la visibilidad de la seguridad en el código fuente, las dependencias, la infraestructura en la nube, los contenedores y los entornos de ejecución.
Aikido no sustituye a los marcos de gobernanza, los procedimientos de respuesta a incidentes ni los informes regulatorios. Proporciona las señales técnicas y la evidencia en las que se basan esos procesos.
Pruebas de Resiliencia Operativa Digital y Aikido Security
DORA exige a las organizaciones probar la resiliencia operativa en condiciones realistas. Identificar vulnerabilidades por sí solo es insuficiente.
Aikido apoya las pruebas de resiliencia mediante:
- DAST continuo en aplicaciones en producción
- Pruebas de seguridad de contenedores y seguridad Kubernetes
- Aikido Attack, que utiliza pruebas de penetración impulsadas por IA para simular rutas de ataque realistas y validar la explotabilidad
- AutoFix and Auto Triage para reducir el tiempo de remediación y rastrear la efectividad de la recuperación
Apoyando a DORA en la práctica
DORA exige una resiliencia operativa demostrable respaldada por evidencia. Aikido Security proporciona la visibilidad técnica, las capacidades de prueba y los datos listos para auditoría que ayudan a las organizaciones a cumplir estas expectativas en todos los sistemas en producción.
La gobernanza, la respuesta a incidentes y el compromiso regulatorio siguen siendo esenciales. Aikido garantiza que estos procesos se basen en datos técnicos precisos y actualizados.
También le podría interesar:
- ¿Por qué las empresas europeas eligen Aikido como su socio de ciberseguridad?
- Cumpliendo con la Ley de Ciberresiliencia (CRA) utilizando Aikido Security
- Cómo Aikido y Deloitte están llevando la seguridad centrada en el desarrollador al ámbito empresarial
- Cómo cumplir con la Ley de Ciberseguridad y Resiliencia del Reino Unido: una guía práctica para equipos de ingeniería modernos
