Volver
Formación Ciberseguridad | Cyber security para Empresas | MetaCompliance

Productos

Descubra nuestro conjunto de soluciones personalizadas de formación en concienciación sobre seguridad, diseñadas para capacitar y educar a su equipo frente a las ciberamenazas modernas. Desde la gestión de políticas hasta simulaciones de phishing, nuestra plataforma dota a su plantilla de los conocimientos y habilidades necesarios para proteger su organización.

Cyber security eLearning

Ciberseguridad eLearning Explore nuestra galardonada biblioteca de eLearning, adaptada a cada departamento

Automatización de la concienciación sobre la seguridad

Programe su campaña anual de sensibilización en unos pocos clics

Simulación de suplantación de identidad

Detenga los ataques de phishing en seco con el galardonado software de phishing

Gestión de políticas

Centralice sus políticas en un solo lugar y gestione sin esfuerzo los ciclos de vida de las políticas

Gestión de la privacidad

Controle, supervise y gestione el cumplimiento con facilidad

Gestión de incidentes

Tome el control de los incidentes internos y corrija lo que importa

Volver
Industria

Industrias

Explore la versatilidad de nuestras soluciones en diversos sectores. Desde el dinámico sector tecnológico hasta la sanidad, descubra cómo nuestras soluciones están causando sensación en múltiples sectores. 


Servicios financieros

Crear una primera línea de defensa para las organizaciones de servicios financieros

Gobiernos

Una solución de concienciación sobre seguridad para las administraciones públicas

Empresas

Una solución de formación en sensibilización sobre seguridad para grandes empresas

Trabajadores a distancia

Implantar una cultura de concienciación sobre la seguridad, incluso en casa

Sector educativo

Formación en sensibilización sobre seguridad para el sector educativo

Personal sanitario

Vea nuestra concienciación sobre seguridad a medida para el personal sanitario

Industria tecnológica

Transformación de la formación en sensibilización sobre seguridad en el sector tecnológico

Conformidad con NIS2

Apoye sus requisitos de cumplimiento de Nis2 con iniciativas de concienciación sobre ciberseguridad

Volver
Recursos

Recursos

Desde carteles y políticas hasta guías definitivas y casos prácticos, nuestros recursos gratuitos de concienciación pueden utilizarse para ayudar a mejorar la concienciación sobre ciberseguridad dentro de su organización.

Concienciación sobre ciberseguridad para dummies

Un recurso indispensable para crear una cultura de concienciación cibernética

Guía Dummies de Ciberseguridad Elearning

La guía definitiva para implantar un aprendizaje electrónico eficaz sobre ciberseguridad

Guía definitiva del phishing

Educar a los empleados sobre cómo detectar y prevenir los ataques de phishing

Carteles de sensibilización gratuitos

Descargue estos carteles gratuitos para mejorar la vigilancia de los empleados

Política anti-phishing

Crear una cultura consciente de la seguridad y fomentar la concienciación sobre las amenazas a la ciberseguridad

Estudios de caso

Descubra cómo ayudamos a nuestros clientes a impulsar comportamientos positivos en sus organizaciones.

Terminología de ciberseguridad de la A a la Z

Glosario de términos de ciberseguridad

Modelo de madurez conductual en ciberseguridad

Audite su formación en sensibilización y compare su organización con las mejores prácticas

Cosas gratis

Descargue nuestros recursos de concienciación gratuitos para mejorar la concienciación sobre ciberseguridad en su organización

Volver
MetaCompliance | Formación Ciberseguridad para Empresas

Acerca de

Con más de 18 años de experiencia en el mercado de la Ciberseguridad y el Cumplimiento Normativo, MetaCompliance ofrece una solución innovadora para la concienciación del personal en materia de seguridad de la información y la automatización de la gestión de incidentes. La plataforma MetaCompliance fue creada para satisfacer las necesidades de los clientes de una solución única e integral para gestionar los riesgos de las personas en torno a la Ciberseguridad, la Protección de Datos y el Cumplimiento.

Por qué elegirnos

Sepa por qué Metacompliance es el socio de confianza para la formación en concienciación sobre seguridad

Especialistas en compromiso de los empleados

Facilitamos la participación de los empleados y creamos una cultura de concienciación cibernética

Automatización de la concienciación sobre la seguridad

Automatice fácilmente la formación sobre concienciación en materia de seguridad, phishing y políticas en cuestión de minutos

Liderazgo

Conozca al equipo directivo de MetaCompliance

MetaBlog

Manténgase informado sobre los temas de formación en materia de concienciación cibernética y mitigue el riesgo en su organización.

¿Qué es la Ley de Resiliencia Operativa Digital (DORA)?

DORA

sobre el autor

Compartir esta entrada

El DORA afecta al sector de los servicios financieros de la UE, y esta legislación está a punto de causar estragos en la industria financiera. A continuación, se exponen algunas de las obligaciones del DORA que deben cumplir las entidades financieras.

El sector de los servicios financieros ha sido durante mucho tiempo un innovador de la tecnología y un pionero. Los avances en la banca y las finanzas han hecho que la transformación digital en el sector se haya adelantado. Pero las nuevas tecnologías y las nuevas formas de trabajar atraen a los ciberdelincuentes. El resultado es que los ataques contra el sector financiero se están disparando.

En 2021, la banca experimentó unaumento del1.318% en los ataques de ransomware, y el 65% de las grandes organizaciones financieras sufrieron un ciberataque en 2020. La gravedad de los ciberataques, cada vez más complejos y dañinos, dentro del sector financiero ha hecho que una nueva legislación entre en el léxico de la regulación de los servicios financieros, y su nombre es DORA (Digital Operational Resilience Act).

Conceptos básicos de DORA

El primer proyecto de DORA se publicó el 24 de septiembre de 2020, y el 10 de septiembre de 2022 el Parlamento Europeo lo aprobó. La legislación desempeñará un papel central en el "paquete de finanzas digitales", utilizado para permitir la innovación y la competencia en las finanzas digitales, al tiempo que se mitigan los riesgos derivados de la digitalización del sector.

El artículo 114 del Tratado de Funcionamiento de la Unión Europea (TFUE) se utiliza como base jurídica del DORA; la legislación se centra en la armonización de las directrices de ciberseguridad en todo el sector. 

A la UE le gusta utilizar medios normativos para consolidar y armonizar las mejores prácticas; el RGPD es un ejemplo de reglamento armonizado sobre la privacidad de los datos; el DORA es el intento de la UE de consolidar y mejorar la gestión de los riesgos de las TIC en todo el sector financiero, y el DORA afecta a las empresas de servicios financieros de la UE y a sus proveedores de TIC (críticos).

El DORA exigirá a las empresas del sector financiero que apliquen medidas que las protejan contra los riesgos relacionados con las TIC: como tal, el DORA amplía los requisitos para incluir a terceros, como los proveedores de la nube.

¿Qué obligaciones exige el DORA al sector financiero?

El objetivo es crear un entorno resistente en todo el ecosistema de servicios financieros. El marco subyacente del DORA se basa en un conjunto de normas diseñadas para ayudar a las instituciones financieras a desarrollar procesos sólidos de gestión de riesgos. Algunos de los requisitos básicos y la cobertura del DORA son los siguientes:

Alcance del DORA

Casi todos los tipos de entidades financieras entrarán en el ámbito del DORA. Entre las entidades cubiertas se encuentran las entidades de crédito, las entidades de pago, las entidades de dinero electrónico, las empresas de inversión, los proveedores de servicios de criptoactivos, los fondos de inversión alternativos, los gestores de seguros, etc. La excepción son los auditores, que actualmente no están sujetos a las normas del DORA, pero es probable que esto cambie en futuras versiones de la Ley. Para una lista completa de las entidades cubiertas, véase el artículo 2 del DORA.

Los proveedores de TIC que prestan servicios a las entidades cubiertas por la DORA también deben adherirse a la Ley. Los proveedores de TIC se consideran fundamentales para el sector financiero y, como tales, están sujetos a normas estrictas en virtud de la DORA. Los proveedores de servicios TIC con sede en países no pertenecientes a la UE que prestan servicios a entidades financieras en la UE deben establecer una filial en la UE.

Proveedores de TIC y DORA

La gestión de riesgos de terceros es una parte fundamental del DORA. La atención a los proveedores de TIC es una reacción al aumento de los ataques a la cadena de suministro, como la actualización del software SolarWinds Orion. La Agencia de Ciberseguridad de la Unión Europea (ENISA) informó del aumento de la sofisticación y el volumen de los ataques a la cadena de suministro, con atacantes dirigidos a la cadena de suministro para robar datos y activos financieros. El DORA coordina los requisitos utilizando los marcos existentes, como las directrices de subcontratación de la Autoridad Bancaria Europea (ABE). (Véase también el artículo 14 del DORA)

En virtud del DORA, las empresas financieras pueden definir a algunos proveedores de TIC como "críticos". Como tal, un proveedor de TIC crítico que preste servicios a una entidad cubierta por el DORA estará sometido a normas estrictas que se aplicarán a través de un compromiso directo con las autoridades de servicios financieros de la UE.

Principales medidas de ciberseguridad

Los valores fundamentales de la legislación del DORA consisten en mantener sistemas de TIC resistentes. Para lograrlo, se han establecido las siguientes directrices:

Gestión de riesgos y resiliencia

El núcleo del DORA son las directrices de gestión de riesgos para ayudar al sector de los servicios financieros a construir infraestructuras más resistentes. Los programas y evaluaciones de gestión de riesgos resultantes se utilizan como base para las pruebas de resistencia. Además, la legislación prevé que se lleven a cabo análisis de impacto empresarial basados en escenarios de "interrupción grave del negocio".

Se espera que las pruebas de resistencia y vulnerabilidad sean llevadas a cabo por expertos independientes e incluyan pruebas de penetración periódicas dirigidas a las amenazas. Es importante que todos los sistemas críticos de TIC se prueben anualmente.

Medidas de protección (véase también el artículo 8)

Algunos ejemplos de medidas de protección necesarias son:

  • Utilizar políticas adecuadas y completas para los parches y las actualizaciones.
  • Implantar políticas y protocolos para mecanismos de autentificación fuertes
  • Seguir un enfoque basado en el riesgo para establecer una gestión sólida de la red y la infraestructura
  • Aplicar políticas que limiten el acceso físico y virtual a los recursos y datos del sistema TIC
  • Evitar la fuga de información

Gestión de incidentes de las TIC

El artículo 15 contiene detalles sobre los requisitos para gestionar y controlar los incidentes de seguridad, incluidos los procedimientos para "detectar, gestionar y notificar los incidentes relacionados con las TIC y establecerá indicadores de alerta temprana como alertas".

Notificación de incidentes de ciberseguridad

Las entidades cubiertas deben proporcionar un medio para supervisar, describir y notificar cualquier incidente significativo basado en las TIC a las autoridades pertinentes. Las normas de notificación son estrictas para los proveedores de TIC críticas. Incluyen la realización de una notificación inicial a más tardar al final del día hábil, o si el incidente significativo se produjo más tarde de 2 horas antes del final del día hábil, a más tardar 4 horas desde el comienzo del siguiente día hábil.

A partir de ahí, se requiere un informe intermedio a más tardar una semana después de la notificación inicial; a éste le sigue un informe final cuando se ha completado el análisis de la causa raíz a más tardar un mes después de enviar el informe inicial.

Responsabilidad en materia de gestión y seguridad

El DORA sitúa la responsabilidad de los riesgos de las TIC y las ciberamenazas en la puerta del grupo directivo de los servicios financieros. Impartir una formación de concienciación sobre la seguridad ayudará a garantizar que el nivel C y toda la empresa se centren en la seguridad.

El DORA también cubre aspectos esenciales de la gestión de la ciberseguridad y la respuesta, como el intercambio de información (véase el artículo 40).

¿Qué sigue para DORA?

El reglamento tiene un periodo de aplicación de 24 meses para las entidades financieras y sus proveedores de servicios críticos a partir de la entrada en vigor de la legislación. Por lo tanto, se aconseja a las entidades cubiertas que utilicen los 24 meses entre la fecha de entrada en vigor de la legislación y la aplicación de las medidas de cumplimiento para realizar un análisis de las deficiencias: de lo contrario, medidas como las pruebas de penetración dirigidas a las amenazas y las normas estrictas de notificación podrían quedar fuera de ese plazo.

Cyber Security Awareness para Dummies | Formación de concienciación sobre la seguridad para proveedores de terceros

Cyber Security Awareness Training – Otros artículos que podría encontrar interesantes