Por Dave Dadoun, Director General de Conformidad Regulatoria Global de Servicios Financieros en todo el mundo.
Los bancos, las aseguradoras, las empresas de inversión y otras empresas de la industria global de servicios financieros (FSI) están obteniendo beneficios innovadores al aprovechar la IA y la nube para hacer avanzar sus negocios. Pero a medida que se acelera la dependencia de estas tecnologías críticas, también lo hace la responsabilidad de garantizar que funcionen de manera confiable y segura.
Mantener el sector financiero resistente en un mundo que cambia rápidamente es un desafío global, compartido por empresas líderes, reguladores gubernamentales y proveedores de tecnología como Microsoft. De hecho, es un principio de nuestro trabajo en Microsoft Cloud for Financial Services, y está estrechamente alineado con el compromiso de Microsoft de hacer de la seguridad nuestra principal prioridad en nuestros productos y servicios.
Explore soluciones con Microsoft Cloud for Financial Services
Desde 2020, los funcionarios de la Unión Europea (UE) han estado trabajando en un nuevo conjunto de regulaciones amplias para abordar la creciente dependencia de la industria de la tecnología y mitigar los riesgos asociados. DORA, la Ley de Resiliencia Operacional Digital, entró en vigencia el 16 de enero de 2023 y entra en vigor el 17 de enero de 2025, afectando prácticamente a todas las empresas financieras que operan en la UE y a los muchos proveedores de servicios externos críticos que los respaldan. Microsoft ha participado activamente en el trabajo con reguladores y entidades financieras en relación con el desarrollo de DORA y ahora se centra en ayudar a los clientes a permitir un cumplimiento sin problemas y completo.
¿Qué es DORA?
DORA es una nueva e importante regulación de la UE diseñada para fortalecer la resiliencia operativa de los servicios financieros al garantizar que las empresas mantengan prácticas sólidas de gestión de riesgos y puedan resistir y adaptarse a una amplia gama de amenazas e interrupciones. El Reglamento forma parte de una estrategia más amplia de la UE para mejorar la estabilidad y la seguridad de la industria y armonizar los requisitos en todos los Estados miembros. DORA se aplica a las entidades de servicios financieros que operan en la UE, así como a las empresas de tecnología que les proporcionan servicios de terceros que son críticos para dichas entidades.
Bajo el DORA, las entidades de servicios financieros estarán obligadas a implementar planes sólidos de respuesta a incidentes de ciberseguridad e informar de inmediato a las autoridades sobre las infracciones y otros incidentes e interrupciones cibernéticos. Las empresas deberán crear planes de continuidad del negocio que les permitan seguir operando en caso de una interrupción importante, lo que incluye tener planes de salida para escenarios más graves. Y estarán sujetos a un mayor escrutinio por parte de las autoridades de supervisión financiera, que supervisarán y evaluarán su resiliencia operativa, y tomarán medidas para garantizar el cumplimiento si es necesario.
DORA también impone requisitos para los proveedores de servicios de Tecnología de la Información y la Comunicación (TIC) de terceros, con un enfoque principal (aunque no exclusivo) en las empresas de TIC que proporcionan productos y servicios de computación en la nube que ayudan a respaldar funciones clave. La regulación también crea una nueva designación de proveedores “críticos” (que probablemente incluiría a Microsoft) que estarán sujetos a un nuevo marco de supervisión por parte de las Autoridades Europeas de Supervisión (AES).
El impacto de DORA en los clientes de servicios financieros
Para los servicios financieros, DORA requerirá que las empresas se adhieran a muchos requisitos nuevos o mejorados. Entre ellos:
- Gestión de riesgos de los proveedores de servicios de Tecnología de la Información y Comunicaciones (TIC) Las empresas financieras deberán establecer un marco de gestión integral para los riesgos de TIC, integrado en sus sistemas generales de gestión de riesgos. El marco cubre la tecnología central y las consideraciones de seguridad, incluida la identificación, protección, detección, respuesta y recuperación. También abarca estrategias, políticas, procedimientos y herramientas para garantizar la seguridad y la resiliencia de los sistemas, los activos de información y los datos.
- Administración y notificación de incidentes
Se requerirá que las empresas implementen procesos para detectar, gestionar e informar a las autoridades sobre incidentes importantes relacionados con las TIC en plazos ajustados. Los incidentes como las infracciones de ciberseguridad, las interrupciones del servicio y la pérdida de datos se evaluarán según criterios como el número de clientes afectados, la duración y el impacto económico.
- Pruebas de resiliencia operativa
DORA requerirá que las pruebas operativas digitales, como las pruebas de penetración dirigidas por amenazas (TLPT) y las evaluaciones de vulnerabilidad, se realicen en sistemas y aplicaciones de TIC críticos. Estas pruebas tienen como objetivo garantizar la recuperación oportuna y la continuidad del negocio en caso de interrupciones.
- Compromisos contractuales
DORA exige requisitos contractuales específicos entre proveedores de servicios TIC y entidades de servicios financieros. Estos incluyen requisitos con respecto a la auditoría, la continuidad de negocios, la planificación de salidas y el uso de subcontratistas clave. Además, antes de celebrar contratos con proveedores de TIC, las empresas deben realizar evaluaciones de riesgos precontractuales, incluidas consideraciones tales como la evaluación de las medidas de seguridad del proveedor, el estado de conformidad y la estabilidad financiera.
Cómo está ayudando Microsoft a los clientes a cumplir con DORA
Como un importante proveedor de servicios de TIC, Microsoft ha establecido sólidos procesos de gobierno interno para prepararse y cumplir con todas las disposiciones aplicables como un proveedor de tecnología de terceros crítico, y nos esforzaremos igualmente por apoyar a las instituciones financieras reguladas en el cumplimiento de sus requisitos bajo DORA. Esto incluye alinear las disposiciones contractuales con los mandatos de DORA y proporcionar capacidades integradas de gestión de riesgos de TIC en una amplia gama de ofertas de productos empresariales y en la Microsoft Cloud.
Estas son tres formas importantes en que estamos ayudando a los clientes a enfrentar los desafíos de DORA:
1. Para ayudar a los clientes a cumplir con éxito sus compromisos contractuales en virtud de DORA, ahora estamos trabajando estrechamente para actualizar los términos del contrato según lo requiera y aplique la nueva regulación. Esto incluye garantizar evaluaciones de riesgos precontractuales fluidas de los productos y servicios de Microsoft, y definir completamente los aspectos específicos de sus obligaciones que encajan con nuestras ofertas. También estamos trabajando con los clientes para obtener información para actualizar nuestros contratos, según sea necesario, para que sigan siendo aptos para el propósito bajo el marco de DORA.
2. Para ayudar a los clientes a gestionar los riesgos de las TIC y establecer un marco interno de gobierno y control, proporcionamos en nuestros productos y servicios un amplio conjunto de capacidades integradas de gestión de riesgos de las TIC requeridas por DORA. Por ejemplo, en aspectos relacionados con las preocupaciones de protección de la información, Microsoft Defender for Cloud realiza una evaluación, detección y respuesta continuas de amenazas, y Microsoft Secure Score ayuda a evaluar y mejorar la postura de seguridad en todas las cargas de trabajo. Del mismo modo, para otros aspectos, como la administración de incidentes, las pruebas de resiliencia y el intercambio de información de incidentes, la funcionalidad vital es proporcionada por las ofertas correspondientes de Microsoft, que incluyen Microsoft Purview, el panel de control de Microsoft 365 Service Health y Azure Service Health.
3. Para ayudar a los clientes con la administración, clasificación y notificación de incidentes, nuestras ofertas de seguridad y conformidad proporcionan capacidades sofisticadas para respaldar los requisitos de gestión de incidentes, incluidas herramientas y servicios para la detección e investigación eficientes de incidentes, así como para garantizar la notificación y respuesta oportunas de incidentes según sea necesario. Azure Security Center, por ejemplo, garantiza la detección y respuesta oportunas, y el panel de Microsoft 365 Health y Microsoft Defender trabajan juntos para proporcionar un abordaje integral hacia la administración, la clasificación y los informes de incidentes.
Por qué es importante DORA para los servicios financieros globales
DORA representa un importante paso adelante en el fortalecimiento de la resiliencia operativa del sector de servicios financieros. Al estandarizar la forma en que las entidades administran, informan y trabajan juntas para minimizar los riesgos de las TIC, DORA tiene como objetivo proteger el sistema financiero de una amplia gama de amenazas e interrupciones.
DORA no es simplemente un nuevo marco regulatorio para la UE. Más bien, es un hito importante en el camino hacia una mayor resiliencia de los servicios financieros en todo el mundo, fomentando un énfasis importante en el intercambio de información, la transparencia y la responsabilidad colectiva que prometen liberar todo el potencial de la nube y la IA, al mismo tiempo que mantienen a las empresas y a sus clientes más seguros.
El compromiso de Microsoft de garantizar la conformidad con DORA
Microsoft está trabajando intensamente con nuestros clientes de servicios financieros para garantizar un camino fluido y productivo hacia el cumplimiento de DORA, al mismo tiempo que se prepara para cumplir con los requisitos de DORA que se aplicarían a Microsoft sobre la base de nuestra designación como proveedor de servicios de TIC críticos.
Esto es solo una continuación de las inversiones que hemos realizado durante más de una década trabajando con agencias reguladoras para abordar necesidades y desafíos comunes, y creando productos para ayudar a las empresas de servicios financieros a fortalecer la resiliencia cibernética en un entorno regulatorio en evolución.
Vemos a DORA como un paso natural para avanzar en la resiliencia operativa en los servicios financieros, y continuaremos trabajando con los reguladores en otras jurisdicciones como el Reino Unido, que están implementando medidas que armonizan con DORA.
Microsoft Cloud para Servicios Financieros
Libere el valor de negocios y profundice en las relaciones con los clientes en la era de la IA.
Para obtener más información sobre DORA y sobre cómo Microsoft puede ayudar con la resiliencia cibernética en los servicios financieros, consulte estos recursos:
- Para obtener información sobre cómo los productos y servicios de Microsoft se asignan a los requisitos de DORA, consulte la Guía de regulación de productos de Microsoft de acuerdo a DORA para clientes.
- Visite nuestro sitio web para obtener más información sobre cómo Microsoft empodera a las empresas de servicios financieros para que logren más.
- Para obtener más información sobre el compromiso de Microsoft con el avance de la IA ética, consulte el estándar de IA responsable de Microsoft.
- Descubra más información sobre cómo Microsoft aborda la administración de amenazas y vulnerabilidades.
Dave Dadoun
Director General de Conformidad Regulatoria Global, Servicios Financieros Mundiales.
Dave Dadoun es responsable de impulsar el compromiso de Microsoft con los reguladores de servicios financieros, ayudando a las instituciones a satisfacer sus necesidades de conformidad regulatoria. Se centra en la modernización de la regulación en la intersección de las tendencias tecnológicas emergentes. En Microsoft, ha sido un líder sénior en muchos esfuerzos pioneros para abordar requisitos regulatorios complejos a escala global.
Ver más artículos de este autor
The post 3 formas en que Microsoft está ayudando a la industria financiera a prepararse para las nuevas regulaciones DORA appeared first on Blogs de Industria de Microsoft.