DORA, riesgo digital y el nuevo mandato de identidad en los servicios financieros

Cuando la UE aprobó la Ley de Resiliencia Operativa Digital (DORA), se produjo un cambio fundamental en la forma en que las entidades financieras deben abordar la ciberseguridad, la gestión de riesgos y la continuidad operativa. Por primera vez, los reguladores no se limitaron a mencionar la seguridad de la identidad de pasada, sino que la integraron directamente en la estructura del cumplimiento.

Esta evolución reconoce una realidad que muchos profesionales de la seguridad conocen desde hace años: que la identidad es la base de la seguridad digital y el eje de la resiliencia operativa. Veamos qué ha cambiado, el impacto que tendrá el DORA en la seguridad de la identidad, los retos a los que se enfrentan las instituciones financieras y cómo deben prepararse los CISO para garantizar que sus organizaciones cumplen los requisitos del DORA antes de la fecha límite de 2025.

En virtud de la DORA, todas las operaciones digitales de una entidad financiera -desde los pagos hasta la incorporación de clientes y los sistemas de negociación- deben ser seguras, resistentes y estar disponibles de forma continua. Y eso sitúa la seguridad de la identidad en primer plano. Porque si no se puede verificar quién accede a qué, cuándo y desde dónde, la estrategia de identidad se viene abajo.

En la nueva realidad normativa del DORA, la identidad ha dejado de ser una función de TI administrativa. Ahora es un imperativo estratégico que incumbe por igual a los responsables de riesgos, a los responsables de cumplimiento y a los ejecutivos de las empresas.

Varios artículos del DORA exigen directa o implícitamente sólidas capacidades de gestión de identidades y accesos (IAM). Por ejemplo:

• Control de acceso y gobernanza: DORA exige que las instituciones gestionen los derechos de acceso de los usuarios en tiempo real y realicen revisiones periódicas de los accesos para evitar la acumulación de privilegios y los accesos no autorizados.
• Requisitos de autenticación: Se espera que los métodos de autenticación fuerte, como la autenticación multifactor (MFA), protejan los sistemas de accesos no autorizados.
• Continuidad operativa: Las instituciones deben garantizar que las funciones críticas sigan estando disponibles durante incidentes cibernéticos, cortes o interrupciones. Esto incluye el mantenimiento de los servicios de identidad bajo coacción.
• Supervisión y detección de anomalías: Las organizaciones deben detectar, responder y recuperarse rápidamente de los incidentes cibernéticos. Las anomalías relacionadas con la identidad, como los patrones de acceso inusuales, son indicadores cruciales.

Estos requisitos subrayan la necesidad de un programa de seguridad de identidad moderno y consciente de los riesgos.

2025 marca el año en el que el cumplimiento pasa a las fases de ejecución, lo que significa que las organizaciones que no cumplan con la DORA se enfrentan a multas de 2% del volumen de negocios medio global o de 1% del volumen de negocios medio diario, con la adición de multas diarias impuestas a las organizaciones incumplidoras hasta que logren el cumplimiento. Es mucho lo que está en juego.

A pesar del aumento de las inversiones en seguridad, muchas instituciones financieras siguen luchando contra las lagunas relacionadas con la identidad en sus funciones operativas y de seguridad, entre otras:

• Sistemas IAM heredados que carecen de adaptabilidad y visibilidad
• Herramientas de identidad aisladas en entornos locales y en la nube
• Métodos de autenticación débiles que son vulnerables al phishing
• Procesos manuales de gobernanza que hacen que los informes de cumplimiento sean lentos y propensos a errores

Estos retos dejan a las organizaciones expuestas, no sólo a los atacantes, sino también al escrutinio normativo y a las multas por incumplimiento.

Los CISO del sector financiero deben liderar la alineación de la estrategia de identidad con el DORA. Esto significa:

• Adoptar acceso basado en el riesgo modelos que ajustan los controles en función del contexto y el comportamiento
• Garantizar continuidad de las actividades con conmutación por error híbrida para autenticación y acceso
• Fortalecimiento gobernanza con aprovisionamiento automatizado, revisiones y certificación de acceso
• Abrazar autenticación sin contraseña eliminar los vectores de ataque habituales

En RSA, ayudamos a las instituciones financieras a hacer operativa la identidad como pilar de la resiliencia. Nuestra plataforma de identidad que da prioridad a la seguridad, RSA ID Plus, está diseñado para entornos regulados como el financiero.

• RSA Risk AI analiza las señales contextuales y de comportamiento para aplicar políticas de acceso adaptables
• Cerradura móvil RSA protege el acceso en dispositivos no gestionados o comprometidos
• RSA iShield Clave 2 Serie los autenticadores permiten la autenticación FIDO y OTP a prueba de suplantación de identidad
• Gobernanza y ciclo de vida de RSA automatiza la gobernanza del acceso y los flujos de trabajo de conformidad
• Conmutación por error híbrida RSA garantiza la autenticación ininterrumpida durante las interrupciones de servicio

Juntas, estas soluciones proporcionan los controles necesarios para ajustarse a la DORA y reforzar su organización más allá del cumplimiento.

DORA marca un punto de inflexión para la identidad en los servicios financieros. Eleva la IAM de una preocupación técnica a un mandato normativo y a un factor estratégico de resiliencia operativa.

Las instituciones financieras que adopten estrategias de seguridad que den prioridad a la identidad no sólo cumplirán los requisitos de la DORA, sino que también obtendrán una ventaja competitiva en seguridad, agilidad y confianza de los clientes. Ahora es el momento de replantearse su postura de identidad antes de que comience la aplicación de la DORA.