/
/

Todo lo que necesitas saber sobre el cumplimiento del DORA en AWS

cumplimiento del DORA en AWS

En esta guía, analizamos el funcionamiento del reglamento DORA en Amazon Web Services (AWS) y la mejor forma de cumplirlo, especialmente para las entidades de servicios financieros de la Unión Europea (UE) que trabajan en estrecha colaboración con proveedores de información y comunicación (TIC).

Ten en cuenta que hemos tratado de mantener esta guía lo más sucinta posible para proporcionar solo una visión general de cómo lograr el cumplimiento del DORA en AWS. Para un análisis más exhaustivo, recomendamos que leas la Guía de usuario de AWS para el Reglamento de Resiliencia Operativa Digital (DORA).

¿Qué es DORA?

DORA, o Reglamento de Resiliencia Operativa Digital, es un marco legislativo introducido como Reglamento 2022/2554. Su objetivo es reforzar las estrategias de resistencia operativa y cibernética, especialmente para las instituciones financieras.

La ley detalla requisitos estrictos para que las organizaciones de TIC de terceros se protejan a sí mismas y a sus usuarios finales de los agentes de amenazas, en particular para resistir, responder y recuperarse rápidamente de ciberataques comunes y amenazas en evolución. Esto incluye la asignación de capital para cubrir posibles pérdidas. También hemos publicado «¿Qué es el cumplimiento del Reglamento de Resiliencia Operativa Digital (DORA)?» a modo de guía. 

¿Por qué es importante? Consulta algunas estadísticas clave de la publicación del Foro Económico Mundial Global Cybersecurity Outlook 2025:

  • El 49 % de las organizaciones del sector público afirman que carecen de los recursos necesarios para cumplir sus objetivos de ciberseguridad, un preocupante aumento desde solo el 33 % en 2024.
  • El 35 % de las pequeñas organizaciones creen que sus estrategias de ciberresiliencia son inadecuadas, lo que supone un aumento de siete veces desde 2022.
  • El 15% de los encuestados europeos y norteamericanos no confían en la capacidad de su país para responder a ciberataques sofisticados.
  • Uno de cada tres directores ejecutivos afirma que la pérdida de propiedad intelectual es su principal preocupación, ya sea por amenazas externas o internas.

El DORA exigía el cumplimiento por parte de las instituciones financieras a partir de del 17 de enero de 2025. Las entidades financieras y sus respectivos terceros en TIC (Registros de información-RoI) deben informar a las autoridades competentes para determinar su nivel de cumplimiento actual y cómo mejorarlo o mantenerlo. El incumplimiento de sus requisitos puede acarrear graves sanciones económicas y consecuencias jurídicas (la lista completa de actualizaciones del DORA puede consultarse en la página web oficial).

Servicios de AWS para el cumplimiento normativo financiero

En respuesta, Amazon publicó una carta en la que se detallaba la seguridad de AWS para los servicios financieros. AWS ayuda a las organizaciones a cumplir estas normas reglamentarias ofreciendo un amplio conjunto de herramientas de seguridad, conformidad y resiliencia, incluidas las pruebas de penetración de tipo threat-led (TLPT) y los informes de incidentes de TIC.

Hablaremos de ello más adelante en «Cómo AWS apoya el cumplimiento del DORA«.

Comprender los requisitos de cumplimiento del DORA

Ya hemos escrito una guía más detallada sobre los 5 pilares del reglamento DORA por aquí te dejamos un resumen:

  1. Gestión de riesgos de las TIC: las organizaciones deben desarrollar un marco sólido de gestión de riesgos de las TIC que incluya estrategias, políticas y herramientas para asegurar todos los activos de las TIC, incluidos el software, el hardware y los servidores informáticos.
  2. Notificación de incidentes: las organizaciones deben notificar todos los incidentes importantes relacionados con las TIC a las autoridades pertinentes. Las entidades financieras también deben mantener un registro detallado de todos los incidentes cibernéticos.
  3. Pruebas de resistencia: las organizaciones deben probar periódicamente la solidez de sus sistemas de TIC para garantizar la continuidad de las actividades y mantener la eficiencia operativa.
  4. Gestión de riesgos de terceros: las entidades financieras deben asegurarse de que sus RoI cumplen los requisitos reglamentarios del DORA.
  5. Intercambio de información: se anima a las organizaciones a colaborar y compartir estrategias de ciberseguridad para aumentar la resistencia colectiva.

Cómo AWS apoya el cumplimiento del DORA

AWS opera siguiendo un modelo de responsabilidad compartida, lo que significa que mientras AWS gestiona la seguridad de su infraestructura en la nube, los clientes son responsables de asegurar sus propios datos dentro de la misma.

Aunque esto está alineado con los requisitos reglamentarios del DORA, también significa que cada institución financiera y su RoI deben realizar los cambios necesarios por su cuenta. Se recomienda a los clientes de AWS que se pongan en contacto con su equipo de cuentas para discutir los requisitos específicos de conformidad con el DORA.

  • TLPT: AWS puede ayudar a los clientes con sus requisitos de TLPT para DORA. Toda la información sensible se comparte únicamente en base a la necesidad de conocimiento con las autoridades relevantes.
  • Informes sobre incidentes TIC: AWS no tiene una visibilidad completa de los datos cargados en la cuenta de un cliente debido a su modelo de responsabilidad compartida. Aun así, AWS puede ayudar a los clientes a gestionar de forma segura la información confidencial y sus informes.

Cabe señalar que AWS sigue perfeccionando los requisitos del DORA con las Autoridades Europeas de Supervisión (AES), ya que algunas disposiciones requieren una mayor elaboración. Por ejemplo, el equipo de gestión de AWS ha sugerido que se aclare la definición de «subcontratista de TIC» para evitar malentendidos y sanciones injustas a miles de subcontratistas.

En cualquier caso, AWS ofrece varios documentos prescriptivos para la preparación del DORA, como la formación de los clientes en la creación de un marco de ciclo de vida de resiliencia.

💡AWS cuenta con varias certificaciones de seguridad y cumplimiento reconocidas internacionalmente, como ISO 27001, SOC 2GDPR, que respaldan los requisitos relacionados con el DORA.

Servicios de AWS para el cumplimento del DORA

Buscar servicios de ayuda con el»Digital Operational Resilience Act AWS» arrojará los siguientes resultados:

Gestión de riesgos y resiliencia

  • AWS Security Hub proporciona una ubicación central para administrar la seguridad y la conformidad y ayuda a las organizaciones a detectar las vulnerabilidades de seguridad en tiempo real.
  • AWS Config realiza un seguimiento continuo de los cambios de configuración en los recursos de AWS.
  • AWS Backup permite automatizar las políticas de copia de seguridad, lo que mejora la resiliencia frente a la pérdida de datos.

Notificación de incidentes y supervisión

  • AWS CloudTrail registra las llamadas a la API de AWS y te ayuda a rastrear los accesos no autorizados y los cambios en los entornos de nube.
  • Amazon GuardDuty utiliza aprendizaje automático para analizar las actividades en la nube y detectar comportamientos sospechosos.
  • AWS Audit Manager evalúa tu postura de conformidad automatizando la recopilación de pruebas y agilizando las auditorías.

Pruebas de resiliencia

  • AWS Resilience Hub ayuda a las organizaciones a identificar los puntos débiles de sus planes de copia de seguridad y recuperación ante desastres.
  • AWS Fault Injection Simulator crea experimentos de ingeniería del caos controlados para que puedas probar cómo responden tus aplicaciones a los fallos.

Gestión de riesgos de terceros

  • AWS Marketplace puede ayudarte a cumplir el DORA, proporcionándote una selección de soluciones de seguridad de terceros verificadas.
  • AWS Control Tower puede ayudarte a mantener las mejores prácticas de seguridad mientras utilizas AWS a gran escala.

Implementación del cumplimiento del DORA en AWS

Estas recomendaciones te ayudarán a aplicar los requisitos del DORA en AWS.

⚠️ Ten en cuenta que todavía no hay reglas exactas a seguir, ya que AWS sigue perfeccionando los requisitos de conformidad del DORA. Los pasos que se indican a continuación son simples recomendaciones. Habla con tu Account Manager de AWS para obtener instrucciones más específicas. 

  1. Evalúa tu postura actual en materia de seguridad:  realiza un análisis exhaustivo de las deficiencias para identificar cualquier punto débil en materia de seguridad y las deficiencias normativas. Es una buena idea comparar tus controles de seguridad actuales con los requisitos del DORA.
  2. Implementa controles de seguridad según sea necesario:  AWS proporciona varios servicios para ayudarte a aplicar controles de seguridad, como AWS Key Management Service y AWS Identity and Access Management. Para reforzar aún más la seguridad, recomendamos implantar la autenticación multifactor (MFA) y aplicar políticas de acceso de mínimo privilegio .
  3. Configura la monitorización de incidencias y la generación de informes: utiliza AWS CloudTrail y Amazon GuardDuty para monitorizar continuamente tu entorno de AWS. Al automatizar la notificación de incidentes, se garantiza el cumplimiento de los estrictos plazos de notificación del DORA.
  4. Realiza pruebas de resiliencia periódicamente:  considera la posibilidad de realizar pruebas periódicas de penetración, simulacros de recuperación ante desastres y mecanismos automatizados de conmutación por error para garantizar que tu organización siga operativa incluso ante un ciberataque o un fallo del sistema.
  5. Gestiona el riesgo de terceros:  AWS Control Tower puede ayudarte a estandarizar prácticas en varias cuentas de AWS, mientras que AWS Audit Manager puede optimizar y simplificar las auditorías de terceros.
  6. Automatiza la supervisión del cumplimiento:  es muy recomendable que aproveches la automatización para reducir la carga de las comprobaciones manuales del cumplimiento y garantizar que tus controles de seguridad sigan siendo eficaces. Considera la posibilidad de utilizar AWS Config y AWS Audit Manager para ayudarte a hacer cumplir los requisitos normativos automáticamente.

Desafíos el cumplimiento del DORA en AWS y resolución de problemas

Gestión de entornos multi-nube e híbridos

En la actualidad, la mayoría de las entidades financieras utilizan una combinación de proveedores de nube, infraestructura local y soluciones de nube híbrida, lo que puede dificultar la gestión de riesgos de las TIC. Para resolver esto, recomendamos garantizar políticas de seguridad uniformes y marcos de gobernanza estándar en todas las plataformas.

Garantizar pruebas de resiliencia en AWS de extremo a extremo para DORA

Las pruebas de resistencia deben abarcar todos los aspectos de tu entorno TIC; sin embargo, realizar estas pruebas en múltiples sistemas puede resultar complejo. Para solucionarlo, considera la posibilidad de desarrollar un marco de seguridad estructurado para simular interrupciones de forma eficaz. También puedes usar AWS Resilience Hub para obtener un enfoque unificado de las pruebas de resiliencia.

Gestión de riesgos de terceros

Una parte importante de los requisitos reglamentarios del DORA tiene que ver con los proveedores de servicios a terceros. Esta segmentación de las entidades puede dificultar el cumplimiento del DORA. Recomendamos utilizar AWS Audit Manager y AWS Marketplace para ayudar a supervisar la conformidad de terceros. Te animamos a realizar evaluaciones exhaustivas de los riesgos de los proveedores para minimizar los riesgos de forma eficaz.

Automatizar el cumplimiento sin perder el control

Aunque la automatización puede optimizara el cumplimiento, siempre existe el riesgo de que se pasen por alto lagunas de seguridad o errores de configuración, sobre todo si tu empresa depende demasiado de herramientas automatizadas. Es una buena idea centrarse en un enfoque más estratificado, combinando comprobaciones de cumplimiento automatizadas con auditorías de seguridad manuales. AWS Config y AWS Security Hub también pueden resultar útiles en este caso.

Preguntas más frecuentes (FAQ)

1. ¿Proporciona AWS conformidad inmediata con DORA?

En la actualidad, AWS no dispone de herramientas específicas para DORA, pero proporciona muchas otras herramientas que pueden ayudar a mejorar la postura de seguridad.

2. ¿En qué se diferencia AWS de otros proveedores de la nube en términos de conformidad con el DORA?

AWS es comparable a otros proveedores de servicios en la nube. Como se ha detallado anteriormente, ofrece un amplio conjunto de servicios de seguridad y cumplimiento. Al igual que otros proveedores de nube, AWS ha realizado importantes esfuerzos para alinearse con el DORA. Una comparación dependería de los servicios específicos, las necesidades de los clientes y factores similares.

3. ¿Cuáles son las sanciones por incumplimiento del DORA?

El incumplimiento puede acarrear sanciones económicas y consecuencias legales. Según Infosecurity Europe, el incumplimiento del DORA puede acarrear una multa de hasta el 2 % de la facturación anual global de una empresa o 10 millones de euros, la cantidad que sea mayor.

Garantizar el cumplimiento del DORA en AWS

Las entidades financieras que operan en la UE deben cumplir el DORA. Dicho esto, como es relativamente nuevo, todavía hay incertidumbres sobre cómo afecta a los usuarios de AWS. Amazon Web Services dispone de un sólido conjunto de herramientas que pueden ayudarte a cumplir estas disposiciones de manera eficiente, pero aun así se recomienda que hables con tu equipo de cuentas especializado para saber exactamente qué hacer para crear un entorno en la nube seguro y conforme a las normas.

Quizá también te interese…

¿Listo para simplificar los aspectos más complejos de las TI?
×

¡Vean a NinjaOne en acción!

Al enviar este formulario, acepto la política de privacidad de NinjaOne.

Términos y condiciones de NinjaOne

Al hacer clic en el botón «Acepto» que aparece a continuación, estás aceptando los siguientes términos legales, así como nuestras Condiciones de uso:

  • Derechos de propiedad: NinjaOne posee y seguirá poseyendo todos los derechos, títulos e intereses sobre el script (incluidos los derechos de autor). NinjaOne concede al usuario una licencia limitada para utilizar el script de acuerdo con estos términos legales.
  • Limitación de uso: solo podrás utilizar el script para tus legítimos fines personales o comerciales internos, y no podrás compartirlo con terceros.
  • Prohibición de republicación: bajo ninguna circunstancia está permitido volver a publicar el script en ninguna biblioteca de scripts que pertenezca o esté bajo el control de cualquier otro proveedor de software.
  • Exclusión de garantía: el script se proporciona «tal cual» y «según disponibilidad», sin garantía de ningún tipo. NinjaOne no promete ni garantiza que el script esté libre de defectos o que satisfaga las necesidades o expectativas específicas del usuario.
  • Asunción de riesgos: el uso que el usuario haga del script corre por su cuenta y riesgo. El usuario reconoce que existen ciertos riesgos inherentes al uso del script, y entiende y asume cada uno de esos riesgos.
  • Renuncia y exención: el usuario no hará responsable a NinjaOne de cualquier consecuencia adversa o no deseada que resulte del uso del script y renuncia a cualquier derecho o recurso legal o equitativo que pueda tener contra NinjaOne en relación con su uso del script.
  • CLUF: si el usuario es cliente de NinjaOne, su uso del script está sujeto al Contrato de Licencia para el Usuario Final (CLUF).