La Ley de Resiliencia Operativa Digital (DORA) introduce un mandato de alto riesgo para los servicios financieros que operan en la UE: demostrar que sus operaciones -y sus defensas de ciberseguridad- pueden soportar incluso las perturbaciones más graves.
Para los CISO, no se trata sólo de actualizaciones tecnológicas. Se trata de construir un nuevo tipo de resiliencia en el que la identidad desempeñe un papel central. Este blog proporciona un manual práctico para los CISO y los líderes de IAM que deseen alinear la estrategia de identidad con DORA antes de que entren en vigor los plazos de 2025.
Empiece por la visibilidad. Asigne sus sistemas y políticas de identidad actuales a las áreas centrales de DORA:
- Control de acceso y gobernanza
- Autenticación y seguridad de las credenciales
- Continuidad operativa de los servicios de identidad
- Detección y respuesta a incidentes
¿Dónde están las lagunas? ¿Dónde depende de procesos manuales o herramientas heredadas? Utilice esta auditoría para priorizar las áreas de riesgo y las necesidades de modernización.
Las políticas estáticas son demasiado contundentes para las amenazas actuales. DORA espera controles más inteligentes que se ajusten al contexto. Implemente el acceso adaptativo mediante:
- Análisis del comportamiento de los usuarios
- Evaluaciones de la postura de los dispositivos
- Geolocalización y señales horarias
- Patrones históricos de acceso
RSA Risk AI habilita estas capacidades, permitiendo tomar decisiones en tiempo real que reducen los falsos positivos a la vez que detienen las amenazas reales.
Sus sistemas IAM son fundamentales. Pero, ¿pueden sobrevivir a una interrupción?
El DORA exige a las instituciones que demuestren la continuidad de los sistemas TIC críticos. Eso incluye su plataforma de identidad.
Conmutación por error híbrida de RSA garantiza que la autenticación pueda continuar incluso si su nube, centro de datos o red se ven comprometidos.
La AMF resistente al phishing ya no es opcional. RSA ofrece una gama de soluciones sin contraseña, incluyendo:
- Llaves hardware con certificación FIDO2 (iShield)
- Mobile Lock para dispositivos no fiables
- Fichas OTP y push
Impleméntelos en las identidades de empleados y clientes para cumplir las expectativas de DORA y detener el robo de credenciales.
Las campañas manuales de certificación y las revisiones de derechos ya no son escalables, ni pueden gestionar adecuadamente el creciente número de usuarios, dispositivos, derechos y entornos. DORA requiere una supervisión continua.
Con Gobernanza y ciclo de vida de RSA, puedes:
- Automatizar los procesos de unión, traslado y cese
- Aplicación de privilegios mínimos mediante aprovisionamiento basado en políticas
- Proporcione informes listos para auditoría con unos pocos clics
DORA separará lo preparado de lo reactivo. No basta con disponer de una IAM: debe ser inteligente, resistente y rigurosamente controlada.
Con RSA, los CISO obtienen las herramientas no sólo para cumplir con DORA, sino para construir una infraestructura de identidad que respalde la excelencia operativa a largo plazo.
El momento de actuar es ahora: el cumplimiento de la normativa es una realidad en 2025, y su empresa corre un riesgo real de multas cuantiosas si no la cumple. Utilice este manual para reforzar su posición antes de que los reguladores -o los atacantes- pongan a prueba su resistencia.
Vea el seminario web de RSA, DORA & Digital Risk: Strengthening Identity Security in Financial Services (DORA y riesgo digital: refuerzo de la seguridad de la identidad en los servicios financieros), para saber qué significa realmente el cumplimiento de DORA para la seguridad de la identidad, las mejores prácticas para prepararse para las auditorías de DORA y las principales obligaciones de cumplimiento relacionadas con la autorización de usuarios, el acceso, la autenticación y la continuidad del negocio.
