Cómo los equipos de Ingeniería y Seguridad pueden cumplir con los requisitos técnicos de DORA

Todas las entidades financieras que operan en la Unión Europea deben cumplir con la Ley de Resiliencia Operativa Digital (DORA). La DORA se centra en si los sistemas pueden soportar, responder y recuperarse de las interrupciones relacionadas con las TIC y si esto puede demostrarse con pruebas.

Para los equipos de ingeniería, seguridad y riesgos, esto introduce un requisito práctico. La resiliencia operativa debe ser observable en los sistemas en funcionamiento, sometida a pruebas continuas y trazable a lo largo del tiempo.

Este artículo explica las expectativas técnicas de DORA y cómo Aikido Security su implementación.

TL;DR

La DORA exige a las entidades financieras de la UE que demuestren su resiliencia operativa en la práctica. Aikido Security apoya la ejecución técnica de DORA proporcionando visibilidad continua de las vulnerabilidades, validación de la explotabilidad, pruebas de resiliencia y pruebas de conformidad en entornos de código, nube y tiempo de ejecución.

¿Qué es DORA?

La DORA se aplica desde el 17 de enero de 2025 a bancos, aseguradoras, empresas de inversión, proveedores de servicios de pago y otras entidades financieras reguladas de la UE.

Se introdujo para hacer frente a las repetidas interrupciones de las TIC causadas por vulnerabilidades de software, fallos de terceros y la inconsistencia en la gestión de incidentes entre los Estados miembros. La DORA establece un marco único y específico para el sector, centrado en resultados medibles.

Los reguladores esperan que las organizaciones demuestren que pueden:

• Detectar rápidamente los incidentes relacionados con las TIC.
  
• Responder y recuperarse de manera eficaz
  
• Proporcionar pruebas de que los controles funcionan en condiciones operativas.
  

Los cinco pilares de DORA

Desde un punto de vista técnico, DORA se estructura en torno a cinco pilares:‍‍

1. Gestión de riesgos de las TIC: saber qué sistemas utiliza, dónde están los riesgos y cómo los gestiona en el día a día.
2. Notificación de incidentes: Detectar incidentes rápidamente y notificarlos dentro de los plazos reglamentarios estrictos.
   
3. Pruebas de resiliencia operativa digital: compruebe periódicamente la capacidad de sus sistemas para soportar y recuperarse de las interrupciones.
   
4. Gestión de riesgos de terceros en las TIC: comprender y gestionar los riesgos introducidos por los proveedores, los distribuidores y las dependencias.
5. Intercambio de información: Compartir inteligencia de amenazas fortalecer la resiliencia en todo el ecosistema financiero.

Cada pilar tiene implicaciones directas en cómo se construyen, supervisan y prueban los sistemas.

¿Qué significa DORA para los equipos de ingeniería?

Prácticas de desarrollo seguro

El artículo 9(4)(e) exige a las organizaciones que documenten las prácticas de seguridad, realicen un seguimiento de las vulnerabilidades y demuestren cómo se integra la resiliencia en la entrega de software. Los controles de seguridad deben integrarse en los flujos de trabajo de desarrollo y en los procesos de CI/CD.

Responsabilidad por dependencia

En virtud del artículo 28, las dependencias de terceros y de código abierto están totalmente incluidas en el ámbito de aplicación. Si una dependencia provoca una interrupción o una exposición, la responsabilidad recae en la entidad financiera. Los equipos deben saber qué dependencias se utilizan, dónde se ejecutan y con qué rapidez se pueden resolver los problemas.

Trazabilidad y pruebas

Los equipos de ingeniería deben poder mostrar qué se implementó, cuándo se puso en marcha, qué comprobaciones de seguridad se realizaron y quién aprobó el cambio. Los registros de compilación, el control de versiones y las herramientas de seguridad deben generar un rastro auditable.

Qué significa DORA para los equipos de seguridad y riesgos

visibilidad de riesgos continua visibilidad de riesgos

DORA espera un conocimiento continuo de lo que se está ejecutando en producción, qué vulnerabilidades existen y qué riesgos son explotables en un momento dado. Las evaluaciones periódicas son insuficientes.

Gestión automatizada de vulnerabilidades

El seguimiento manual no es escalable. Los plazos de detección, priorización y corrección deben estar respaldados por sistemas automatizados con una responsabilidad clara.

Documentación acorde con la realidad

Cuando se producen incidentes, las organizaciones deben indicar cuándo se detectó el problema, cómo se evaluó, quién lo gestionó y con qué rapidez se resolvió. Las pruebas deben reflejar el comportamiento real del sistema.

En qué se diferencia DORA de otros marcos

DORA no sustituye a las normas ISO 27001, NIS2 ni SOC 2. Introduce requisitos más estrictos y específicos para cada sector, centrados en los resultados operativos.

La DORA actúa como lex specialis, lo que significa que , si la DORA y la NIS2 entran en conflicto, por ejemplo, prevalece la DORA. Las normas se adaptan específicamente a los riesgos del sector financiero y son más estrictas que las que se pueden encontrar en otros marcos normativos.

Por qué el cumplimiento de la normativa DORA es difícil en la práctica

Los códigos base grandes y en constante evolución dificultan el seguimiento de cada cambio y aprobación. Las aplicaciones modernas dependen de cientos de dependencias, a menudo sin una visibilidad clara de la implementación y la exposición. Las herramientas de seguridad están fragmentadas, lo que genera datos en múltiples sistemas que deben correlacionarse durante las auditorías.

Cómo el Aikido respalda los requisitos técnicos de DORA

Aikido Security una plataforma basada en inteligencia artificial que centraliza la visibilidad de la seguridad en el código fuente, las dependencias, la infraestructura en la nube, los contenedores y los entornos de ejecución.

El aikido no sustituye los marcos de gobernanza, los procedimientos de respuesta ante incidentes ni los informes reglamentarios. Proporciona las señales técnicas y las pruebas en las que se basan esos procesos.

Pruebas de resiliencia operativa digital y Aikido Security

La DORA exige a las organizaciones que comprueben su resiliencia operativa en condiciones realistas. No basta con identificar las vulnerabilidades.

Aikido admite pruebas de resiliencia a través de:

• DAST continuo DAST aplicaciones en vivo
  
• seguridad Kubernetes de contenedores y seguridad Kubernetes
  
• Aikido Attack, que utiliza pruebas de penetración basadas en inteligencia artificial para simular rutas de ataque realistas y validar la explotabilidad.
  
• AutoFix y Auto Triage para reducir el tiempo de reparación y realizar un seguimiento de la eficacia de la recuperación.
  

Apoyo a DORA en la práctica

DORA exige una resiliencia operativa demostrable y respaldada por pruebas. Aikido Security la visibilidad técnica, las capacidades de prueba y los datos listos para auditorías que ayudan a las organizaciones a cumplir estas expectativas en todos los sistemas en funcionamiento.

La gobernanza, la respuesta ante incidentes y el cumplimiento normativo siguen siendo esenciales. Aikido garantiza que estos procesos se basen en datos técnicos precisos y actualizados.

También te puede interesar:

• ¿Por qué las empresas europeas eligen Aikido como su socio de ciberseguridad?
• Cumplimiento de la Ley de Ciberresiliencia CRA) utilizando Aikido Security
• Cómo el aikido y Deloitte llevando seguridad centrada en el desarrollador la empresa
• Cómo cumplir con la Ley de Ciberseguridad y Resiliencia del Reino Unido: una guía práctica para equipos de ingeniería modernos