El reglamento (UE) 2022/2554 - Digital Operational Resilience Act (DORA) - está en vigor desde enero de 2025. Si usted es un CISO, un responsable de riesgos de TI o un arquitecto de cumplimiento en una entidad financiera regulada, ya está informado. La pregunta que la mayoría de las empresas aún no han respondido es engañosamente específica: ¿qué significa exigencia verificable de integridad de los datos de su pila de TIC? Según una encuesta 96% de las empresas de EMEA consideran insuficiente su nivel actual de resistencia digital.
Aquí puedes reforzar y aprender:
- lo que dice la norma de integridad de DORA, en su propio idioma;
- donde los sistemas estándar se quedan cortos;
- cómo es un control de integridad técnicamente defendible;
- y qué herramientas operativas abordan las obligaciones de disponibilidad y continuidad que la acompañan.
Qué dice realmente el DORA sobre la integridad de los datos
DORA utiliza la integridad como una obligación específica y recurrente, no como un principio general. El artículo 9(2) establece la línea de base:
"Las entidades financieras diseñarán, adquirirán y aplicarán políticas, procedimientos, protocolos y herramientas de seguridad de las TIC... para mantener altos niveles de disponibilidad, autenticidad, integridad y confidencialidad de los datos, ya sea en reposo, en uso o en tránsito"."
El apartado 7 del artículo 12 establece el límite máximo:
"Al recuperarse de un incidente relacionado con las TIC, las entidades financieras realizarán las comprobaciones necesarias, incluidas las comprobaciones y conciliaciones múltiples, con el fin de garantizar el máximo nivel de integridad de los datos."
Esta obligación de conciliación requiere un punto de referencia fijo, una línea de base de integridad verificable de forma independiente con la que puedan cotejarse los datos recuperados. El artículo 18, apartado 1, letra d), vincula la integridad a la clasificación de incidentes. El artículo 30, apartado 2, letra c), amplía la obligación a los contratos de TIC con terceros. La integridad de los datos es un requisito sistémico en todas sus operaciones y su cadena de suministro..
La brecha que la mayoría de las empresas no ha identificado
La mayoría de las entidades reguladas ya tienen SharePoint, Salesforce, Dynamics 365, Google Workspace, Microsoft 365 o plataformas equivalentes que producen registros de acceso, historiales de versiones y marcas de tiempo. Se supone que esto constituye un control de integridad adecuado. Pero no es así.
ENISA'El marco de la Ley de Ciberresiliencia de la UE establece que la integridad de los datos "debe garantizarse utilizando tecnología actual no obsoleta" y que los sistemas deben diseñarse "teniendo en cuenta la protección de las pruebas". si se compromete el acceso a los registros, un atacante puede borrar su rastro.
Un registro interno almacenado en el mismo sistema puede ser alterado. No es a prueba de manipulaciones. Cuando un regulador le pide que demuestre que un archivo existía en un estado específico en un momento específico y que no se ha alterado desde entonces, una marca de tiempo interna no responde a esa pregunta de forma independiente. Artículo 5, apartado 2, del RGPD impone la carga de la prueba al controlador: demostrar el cumplimiento, no afirmarlo.
Cómo es realmente la integridad verificable
El DORA no prescribe un método técnico. Prescribe un resultado: datos auténticos, trazables, inviolables y verificables de forma independiente a lo largo de todo su ciclo de vida.
Una vía técnicamente defendible es el anclaje de hash criptográfico. Se genera una huella dactilar del archivo en el punto de creación o de última modificación autorizada y se ancla a un libro mayor público inmutable. El contenido del documento nunca entra en la cadena: la confidencialidad se preserva por diseño. Cualquier modificación posterior produce un hash diferente. La divergencia es matemáticamente cierta e independientemente verificable sin acceso al contenido sensible.
El Documento de Estabilidad Financiera 2024 del Banco de Inglaterra sobre la resistencia operativa señaló que las empresas financieras "están explorando el potencial de la tecnología de libro mayor distribuido para aportar eficiencia a los procesos y transacciones financieras... es probable que también tenga aplicaciones en el sistema financiero tradicional"."
Truth Enforcer lo hace operativo: anclaje de hash a una cadena de bloques pública, detección instantánea de manipulaciones, verificación independiente sin exposición del contenido e integración con SharePoint, Salesforce, Google Workspace y otros. Convierte la obligación de integridad de DORA de una declaración política en un hecho demostrable y auditable..
Integridad en la resistencia operativa y la gobernanza del riesgo
El artículo 5(2) del DORA sitúa la gobernanza del riesgo de las TIC en el nivel del consejo de administración. El órgano de dirección debe aprobar, supervisar y revisar la política de continuidad de la actividad y los planes de recuperación. Deloitte enmarca directamente el mandato: las empresas deben demostrar que "pueden resistir, responder y recuperarse de todo tipo de perturbaciones y amenazas relacionadas con las TIC"."
Los registros de integridad anclados en hash y los registros de continuidad de sincronización en tiempo real no son preferencias tecnológicas. Son pruebas documentadas del cumplimiento con las obligaciones que el consejo está legalmente obligado a supervisar. El principio de rendición de cuentas del RGPD cierra el argumento: la carga de la prueba recae en su organización, y debe sobrevivir al escrutinio.
La norma de integridad de DORA es directa y ya está en vigor. La mayoría de las entidades financieras disponen de registros de acceso. La mayoría no dispone de registros de integridad verificables de forma independiente y a prueba de manipulaciones. Esa es la brecha.
Su marco de riesgos de TIC debe ser capaz de producir un registro de integridad verificable de forma independiente para un archivo específico en un momento específico, ese es el nivel estándar que desea, el más alto.
.
Póngase en contacto con nosotros para la norma de integridad DORA: https://www.connecting-software.com/truth-enforcer-sign-up/
O
Pruébelo GRATIS:
Verificador de la verdad para creadores de PI: https://truth-verifier.com/landing
Verificador de la verdad para periodistas: https://truthverifier.news/landing
.
Explore Microsoft Synchronization para la continuidad y disponibilidad del negocio: https://www.connecting-software.com/microsoft-synchronization/
Por Francisco RodriguesJefe de producto
"Escribo sobre cómo las integraciones de software pueden adaptarse a los entornos empresariales y responder a las demandas específicas del sector. Quiero mostrar a las empresas el camino para agilizar los procesos, eliminar los cuellos de botella y garantizar el cumplimiento de las normativas dotando a los equipos y a los ejecutivos de la C-suite de las herramientas adecuadas."
Lecturas relacionadas
Integridad de los datos DORA: Qué exige realmente el “estándar más elevado
El problema de la modificación: Norma 613 de la SEC - Cumplimiento de la CAT con datos que se puede demostrar que nunca se tocaron
Reforma de la Ley de Testamentos del Reino Unido en 2025: Preparar la verificación digital independiente antes de que llegue la ley