Tutoriales y Manuales
Entradas Mensuales
-
▼
2025
(Total:
107
)
-
▼
enero
(Total:
107
)
-
Una chica de 28 años se enamora de ChatGPT
-
Copilot+ ya tiene búsqueda local
-
DORA: la normativa europea que obliga a los bancos...
-
Apple desactiva funciones de Apple Intelligence po...
-
La empresa de hosting GoDaddy, obligada a reforzar...
-
Domina los ficheros PDF con dos servicios Docker
-
OpenAI desarrolla una IA para prolongar la vida hu...
-
TikTok cierra en Estados Unidos
-
Vulnerabilidad permite eludir UEFI Secure Boot
-
Normativa Drones España 2025
-
Robados los datos personales de 97.000 aspirantes ...
-
¿Cómo volar un dron de noche? Esta es la normativa...
-
Expuestas 15.000 configuraciones robadas de FortiG...
-
Filtración masiva en China expone 1.500 millones d...
-
Un ciberataque expone la identidad de 160.000 guar...
-
La Policía de España advierte sobre una nueva técn...
-
Microsoft estrena protección del administrador de ...
-
Windows 11 con sólo 184 MB de RAM
-
Evilginx 3 para ataques man-in-the-middle mediante...
-
Cómo Barcelona se convirtió en un centro de empres...
-
El Gobierno de España anuncia la creación de un Ce...
-
RDP Bitmap Forensics para investigaciones DFIR
-
Más de 660.000 servidores Rsync expuestos a ataque...
-
El FBI elimina el malware chino PlugX en 4.250 ord...
-
Hiren's BootCD PE con Windows 11
-
Las chicas del ENIAC y las programadoras de los Co...
-
Trucos de Windows 11
-
Millones de cuentas vulnerables por fallo en OAuth...
-
Si no actualizas a Windows 11, no podrás usar Offi...
-
Jugar al DOOM dentro de un archivo PDF
-
Los mejores procesadores para jugar en 2025, ¿cuán...
-
"Explotación masiva" de los firewalls de Fortinet ...
-
Cómo funciona la sincronización en el almacenamien...
-
Parallels ya permite emular Windows y Linux las Ma...
-
Ransomware en Servidores ESXi: Amenazas, Vulnerabi...
-
Roban información con Infostealer Lumma mediante t...
-
Cómo compartir contraseñas en Google Chrome con "M...
-
El arquitecto jefe de Xeon cambia de Intel a Qualc...
-
Hackean cuentas de Path of Exile 2 tras robar una ...
-
Microsoft consigue que su IA se vuelva experta en ...
-
Cómo instalar Stremio en Raspberry Pi para conecta...
-
"Free our Feeds" quiere evitar que los millonarios...
-
Otra Botnet Mirai para realizar ataques DDoS
-
Telegram comienza a colaborar con las autoridades ...
-
Múltiples vulnerabilidades críticas en productos S...
-
La historia del trabajador número 8 de Apple que l...
-
Descubren cómo hackear el controlador USB-C del iP...
-
¿A qué temperatura empieza la CPU a envejecer?
-
Xiaomi presenta Redmi Note 14
-
La IA comenzará a subtitular los vídeos en VLC
-
Dispositivos Ivanti Connect infectados con malware...
-
Operaciones binarias: cómo funcionan en los ordena...
-
Tu cuenta de Bluesky en Mastodon
-
El Ministerio de Igualdad de España se gastó 211.0...
-
Google mejora la transferencia de archivos en Andr...
-
Así hackearon a Telefónica: un infostealer e ingen...
-
Google Daily Listen, una IA que resume tus noticia...
-
MAGIS TV PRO: cómo descargar BlueStacks 5 para pod...
-
Telefónica sufre la filtración de los datos de su ...
-
OFFAT: OFFensive API Tester OWASP
-
Ejemplos ataques DDoS capa 7 con MHDDoS
-
HDMI 2.2: promete 96 Gbps y el fin de los problema...
-
Jeff Bezos competirá con Elon Musk en España por o...
-
Amenazan con exponer ubicaciones de más de 40 mill...
-
¿Qué es Netflow e IPFIX? Monitoreo y Análisis de T...
-
Activar SATA Link Power Management en OPNsense
-
Más de 4.000 puertas traseras usando webshells reg...
-
Automatizar copias de seguridad en OPNsense
-
Optimizar rendimiento de OPNsense: Tunables
-
Microsoft Phi-4, su IA más poderosa que ahora es d...
-
Corsair Xeneon Edge, una pantalla táctil de 14,5" ...
-
Raspberry Pi 5 con 16GB
-
Establecer un clúster OPNsense HA (Alta Disponibil...
-
El fin del soporte para Windows 10 en octubre de 2...
-
Comando netsh en Windows: ejemplos de uso
-
Los cambios en la moderación de Meta permiten llam...
-
AMD anuncia sus nuevos procesadores gaming de sobr...
-
Los nuevos procesadores Core Ultra 200 de Intel de...
-
Razer presenta un prototipo de silla con calefacci...
-
¿Quieres un adaptador de cassette con Bluetooth? ¡...
-
Megafiltración de datos en call center expone a 7 ...
-
Túnel SSH port forwarding: Local, remote y dynamic
-
Herramientas de IA gratuitas que debes conocer
-
ChatGPT reconoce que pierden dinero incluso con la...
-
Hackean los datos de los miembros de la argentina ...
-
Publicar automáticamente de un Feed RSS a Telegram...
-
¿Qué es un webhook?
-
Nvidia presenta las nuevas tarjetas gráficas GeFor...
-
Qué es el rate limit y por qué debes limitar petic...
-
Monitorización HDD y SSD con SMART en OPNsense con...
-
¿Qué es la tecnología HARM de discos duros? ¿Qué i...
-
Alternativas gratuitas al Escritorio Remoto: RustD...
-
Uptime Kuma, monitoreo de servicios y más
-
El CAPTCHA de DOOM
-
La importancia de la pasta térmica del procesador
-
Intel XMP VS AMD EXPO
-
Vulnerabilidad crítica en Nuclei que permite ejecu...
-
Detenido un soldado estadounidense de 20 años que ...
-
DoubleClickjacking: la nueva amenaza de los dobles...
-
OPNsense IPv6 tunnel con Hurricane Electric Tunnel...
-
-
▼
enero
(Total:
107
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Microsoft ha tomado una estrategia más agresiva para obligar a sus usuarios a actualizarse a Windows 11. La compañía reveló que Windows 1... -
%20-%20Escalado%20(85%20_).png)
Hiren's BootCD PE (Entorno de preinstalación) es una edición restaurada de Hiren's BootCD basada en Windows 11 PE x64. Dada la ausen... -
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
DORA: la normativa europea que obliga a los bancos a blindarse de los ciberataques
Las entidades financieras, aseguradoras y cualquier otra empresa relacionada con el sector financiero, tienen desde hoy un nuevo marco legal europeo que aplicar: la Ley DORA (Digital Operational Resilience Act). ¿Su objetivo? Asegurar la resiliencia y protección de todos ellos ante ciberataques a través de una respuesta armonizada ante una interrupción operativa grave.
Pese a que la Ley DORA entró en vigor hace dos años, el 16 de enero de 2023, se concedió el habitual periodo de adaptación de dos años, que concluía ayer. Desde hoy, el sector financiero tiene que disponer de una serie de medidas ya en funcionamiento orientadas a mejorar su protección frente a posibles ciberataques y amenazas cibernéticas graves.
Este nuevo Reglamento de la UE busca mejorar la seguridad informática de las entidades financieras, como bancos, aseguradoras o empresas de inversión, y garantizar a todos los clientes de la Unión Europea que todos ellos van a mantener su resiliencia operativa frente a perturbaciones operativas graves. Es decir, la UE busca que los bancos puedan continuar ofreciendo sus servicios con cierta normalidad, incluso cuando están siendo atacados. Se estima que se va a aplicar hasta a 20 tipos diferentes de entidades financieras y proveedores externos de servicios TIC, consolidando un importante punto de inflexión en el sector.
Un marco legal que se adecúa al creciente número de ciberamenazas
La entrada en vigor de la Ley DORA es una muy buena noticia para todos los clientes, ofreciendo una respuesta al aumento de las amenazas y los riesgos que se encuentran actualmente en el ámbito digital. Durante los últimos meses, hemos sido testigos de cómo las distintas amenazas a las que están expuestas las entidades bancarias han dejado sin servicio de forma temporal a gran parte de sus clientes. Con las consecuencias que ello puede llegar a provocar si tenemos en cuenta la sensibilidad de la información con la que trabajan las empresas de este sector.
La Unión Europea ha buscado la forma de ofrecer una respuesta conjunta a los clientes cuando sus entidades se ven atacadas. Y, para ello, establece una serie de acciones de obligado cumplimiento:
- Las entidades financieras están obligadas a reforzar sus sistemas de seguridad para disuadir y estar prevenidas ante cualquier intento de ataque.
- Si se produce, deberán informar a sus clientes sin demora.
- No solo se debe actuar de forma proactiva, sino que se deben realizar pruebas de manera preventiva que pongan a prueba la resistencia de los sistemas diseñados para su protección.
- Se debe mejorar la coordinación entre las entidades y las autoridades de supervisión de la gestión de incidentes.
Un sistema de sanciones disuasorio
Como cualquier otro marco legal, el incumplimiento del mismo también acarreará un sistema de sanciones que variará en función de la gravedad y de la afectación del ataque en cuestión. Pese a que no se contempla la cuantía, puesto que se deberán estudiar de forma personalizada cada caso, sí que se afirma que las sanciones serán efectivas, proporcionadas y disuasorias, como es habitual en los procesos sancionadores que fija la Unión Europea en otros muchos ámbitos.
Europa se encuentra ahora ante el primer marco legal en común para proteger al sistema bancario de uno de los grandes riesgos a los que se ha tenido que enfrentar durante los últimos años, como son los ciberataques. Las bandas criminales, conscientes del rédito que pueden sacar de sus bases de datos, tienen en este sector uno de sus grandes objetivos, por lo que aumentar la seguridad de todos los agentes de este ámbito y proteger la resiliencia de los mismos era un paso necesario para diseñar la infraestructura bancaria europea del futuro.
Desde el INCIBE se recuerda que están obligados a acatarla e implementarla:
- Bancos: tanto bancos comerciales como bancos de inversión.
- Compañías de seguros: compañías que ofrecen servicios de seguros de diferentes tipos.
- Gestores de fondos: entidades que administran y gestionan fondos de inversión.
- Sociedades de valores: empresas que ofrecen servicios de intermediación y negociación de valores.
- Plataformas de negociación: plataformas electrónicas que facilitan la compra y venta de instrumentos financieros.
- Proveedores de servicios de compensación y liquidación de valores: entidades encargadas de la compensación y liquidación de transacciones de valores.
- Agencias de calificación crediticia: entidades que emiten evaluaciones y calificaciones sobre la solvencia crediticia de entidades financieras y emisores de valores.
Principales medidas de ciberseguridad
Los valores fundamentales de la legislación del DORA consisten en mantener sistemas de TIC resistentes. Para lograrlo, se han establecido las siguientes directrices:
Gestión de riesgos y resiliencia
El núcleo del DORA son las directrices de gestión de riesgos para ayudar al sector de los servicios financieros a construir infraestructuras más resistentes. Los programas y evaluaciones de gestión de riesgos resultantes se utilizan como base para las pruebas de resistencia. Además, la legislación prevé que se lleven a cabo análisis de impacto empresarial basados en escenarios de "interrupción grave del negocio".
Se espera que las pruebas de resistencia y vulnerabilidad sean llevadas a cabo por expertos independientes e incluyan pruebas de penetración periódicas dirigidas a las amenazas. Es importante que todos los sistemas críticos de TIC se prueben anualmente.
Medidas de protección (véase también el artículo 8)
Algunos ejemplos de medidas de protección necesarias son:
- Utilizar políticas adecuadas y completas para los parches y las actualizaciones.
- Implantar políticas y protocolos para mecanismos de autentificación fuertes
- Seguir un enfoque basado en el riesgo para establecer una gestión sólida de la red y la infraestructura
- Aplicar políticas que limiten el acceso físico y virtual a los recursos y datos del sistema TIC
- Evitar la fuga de información
Gestión de incidentes de las TIC
El artículo 15 contiene detalles sobre los requisitos para gestionar y controlar los incidentes de seguridad, incluidos los procedimientos para "detectar, gestionar y notificar los incidentes relacionados con las TIC y establecerá indicadores de alerta temprana como alertas".
Notificación de incidentes de ciberseguridad
Las entidades cubiertas deben proporcionar un medio para supervisar, describir y notificar cualquier incidente significativo basado en las TIC a las autoridades pertinentes. Las normas de notificación son estrictas para los proveedores de TIC críticas. Incluyen la realización de una notificación inicial a más tardar al final del día hábil, o si el incidente significativo se produjo más tarde de 2 horas antes del final del día hábil, a más tardar 4 horas desde el comienzo del siguiente día hábil.
A partir de ahí, se requiere un informe intermedio a más tardar una semana después de la notificación inicial; a éste le sigue un informe final cuando se ha completado el análisis de la causa raíz a más tardar un mes después de enviar el informe inicial.
Responsabilidad en materia de gestión y seguridad
El DORA sitúa la responsabilidad de los riesgos de las TIC y las ciberamenazas en la puerta del grupo directivo de los servicios financieros. Impartir una formación de concienciación sobre la seguridad ayudará a garantizar que el nivel C y toda la empresa se centren en la seguridad.
El DORA también cubre aspectos esenciales de la gestión de la ciberseguridad y la respuesta, como el intercambio de información (véase el artículo 40).
DORA frente a NIS 2
La DORA es una de las varias directivas de la UE relacionadas con la ciberresiliencia y la seguridad digital. La normativa revisada sobre redes y sistemas de información (NIS 2) se solapa en gran medida con el cumplimiento de la DORA, lo que puede hacer que algunos se pregunten qué directrices tienen que seguir.
En septiembre de 2023, la Comisión Europea aclaró la relación entre ambas legislaciones. Fundamentalmente, la DORA es específica del sector y afecta sobre todo a las organizaciones de servicios financieros. NIS 2, en cambio, es un marco normativo más amplio que abarca infraestructuras críticas, como la energía y el transporte.
Según los apartados (1) y (2) del Artículo 4 de la directiva NIS, se aplicarán las disposiciones de la DORA en lugar de las de NIS 2. Esto significa que la DORA tiene prioridad para las entidades financieras, al menos en lo que respecta a la gestión de riesgos de las ICT, la notificación de incidentes y las pruebas de resistencia.
Preparación para el cumplimiento de la DORA
La DORA pone el listón muy alto para la gestión de riesgos, lo que significa que cumplir sus requisitos no será fácil. Afortunadamente, hay un camino claro que puede seguir para empezar:
- Análisis de las deficiencias: Un análisis inicial de las deficiencias implica evaluar el perfil completo de la empresa de arriba abajo, definir su estado de madurez cibernética y comprender su marco de gestión de riesgos existente. Este ejercicio le ayudará a determinar en qué medida deben actualizarse sus procesos y procedimientos actuales.
- Mandato de capacitación en ICT: Lo mejor es crear un programa de capacitación continua para todos los empleados, incluidos los directivos. Los líderes son responsables del incumplimiento de la DORA, así que asegúrese de que todos se mantengan informados y estén atentos a las últimas amenazas contra la seguridad de las ICT.
- Auditoría de contratos con terceros: Profundizar en los acuerdos contractuales puede ayudar a comprender las dependencias de los proveedores de ICT. A su vez, puede identificar y priorizar las medidas de seguridad para proteger estas conexiones. Realice un inventario de todos los contratos, incluidos los proveedores de servicios en la nube, los proveedores de software y otros sistemas de ICT. A continuación, asegúrese de que contengan disposiciones acordes con los requisitos de la DORA.
Fuentes:
https://www.adslzone.net/noticias/fintech/normativa-europea-financiera-dora/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.