En los servicios financieros, el cumplimiento suele considerarse una carga necesaria, una serie de casillas que hay que marcar para evitar multas o daños a la reputación. Pero la Ley de Resiliencia Operativa Digital (DORA) no es solo otro ejercicio de marcar casillas. Representa un cambio más profundo en la forma en que los reguladores esperan que las organizaciones europeas gestionen el riesgo digital.
Para los CISO y los responsables de identidad, el DORA es una oportunidad para convertir el cumplimiento de las normativas en un motor de reducción de riesgos y resiliencia a largo plazo. Para aprovechar esa oportunidad, tendrán que empezar por la identidad.
Toda transacción digital en una entidad financiera comienza con una pregunta básica de seguridad: ¿quién solicita el acceso? En un entorno cada vez más híbrido, conectado a la nube y remoto, verificar y controlar la identidad es más complejo -y más crítico- que nunca.
DORA reconoce que sin sistemas de identidad seguros y resistentes, ninguna organización puede mantener la continuidad operativa durante una crisis. Si se pierde el control de la identidad, se pierde el control del negocio.
Los sistemas de identidad tradicionales no se diseñaron para el panorama actual de amenazas ni para las expectativas normativas. A menudo son reactivos, se basan en políticas y dependen en gran medida de contraseñas y procesos manuales.
Las lagunas más comunes son:
- Políticas de acceso estáticas que no tienen en cuenta el riesgo contextual
- Falta de visibilidad en el comportamiento de la identidad en tiempo real
- Lenta respuesta a los incidentes debido a herramientas de identidad aisladas
- Sin estrategia de copia de seguridad si los sistemas IAM se desconectan
El DORA espera más. Espera que las entidades gestionen de forma proactiva el riesgo de identidad como parte de su programa de resistencia operativa. Las entidades financieras que operan en la UE deben ahora cumplir estos requisitos, ya que el 17 de enero de 2025 comenzó la fase de aplicación del DORA.
La gestión del riesgo de identidad va más allá de aplicar controles de acceso. Significa evaluar continuamente el riesgo que plantean los usuarios, los dispositivos y los intentos de acceso, y adaptar dinámicamente las respuestas de seguridad.
Por ejemplo:
- ¿Se conecta un usuario desde una ubicación conocida en un dispositivo de confianza?
- ¿Es su comportamiento coherente con las pautas históricas?
- ¿Existe un aumento de las solicitudes al servicio de asistencia técnica que podría indicar ingeniería social?
Estas señales ayudan a crear un perfil de riesgo en tiempo real que orienta las decisiones de autenticación y acceso.
La plataforma de identidad de RSA está diseñada específicamente para cumplir los requisitos de riesgo de identidad de DORA.
- IA de riesgo analiza las señales de comportamiento para detectar y bloquear los accesos de riesgo
- Help Desk Live Verify previene los ataques de ingeniería social en el punto de interacción humana
- Soluciones sin contraseña (incluidas las soluciones certificadas por FIDO2, OTP, biométricas, etc.) reducen las infracciones relacionadas con las credenciales
- Gobernanza y ciclo de vida de RSA agiliza la aplicación de las políticas y los informes de cumplimiento
- Conmutación por error híbrida garantiza que la autenticación continúe incluso cuando los sistemas no funcionan
Juntas, estas herramientas permiten a las entidades gestionar la identidad como una función de riesgo dinámica y basada en datos.
El cumplimiento de la normativa es el punto de partida. Pero las entidades que vayan más allá de los requisitos mínimos del DORA desarrollarán operaciones más seguras, ágiles y fiables.
Al invertir ahora en la gestión del riesgo de identidad, los CISO pueden:
- Reducir la probabilidad y el impacto de las infracciones
- Reducir el coste y la complejidad de las auditorías
- Mejore la experiencia del usuario mediante un acceso adaptable y sin contraseña
- Crear una resistencia duradera en todas las operaciones digitales
DORA es una llamada de atención para replantearse la identidad. No solo como guardián del acceso, sino como señal de riesgo crítico y piedra angular de la resiliencia.
Con RSA, las instituciones financieras pueden hacer frente a ese reto y utilizar la identidad no sólo para cumplir, sino para liderar.
Vea el seminario web de RSA, DORA & Digital Risk: Strengthening Identity Security in Financial Services (DORA y el riesgo digital: reforzar la seguridad de la identidad en los servicios financieros), para saber qué significa realmente el cumplimiento de DORA para la seguridad de la identidad, las mejores prácticas para prepararse para las auditorías de DORA y las obligaciones clave de cumplimiento relacionadas con la autorización de usuarios, el acceso, la autenticación y la continuidad empresarial.
