La ciberseguridad se ha encaramado a la primera línea en las preocupaciones del sector financiero y el regulador quiere su máxima involucración para evitar riesgos. El nuevo Reglamento Europeo de Resiliencia Operativa Digital (DORA, por sus siglas en inglés), que entrará en vigor en 2025 y obliga a todo el espectro financiero (bancos, aseguradoras, gestoras, entidades de pagos, etc.), exigirá a las entidades evidencias de que evalúan las potenciales vulnerabilidades frente a riesgos tecnológicos, se realizan los controles necesarios para resolverlas y disponen de planes de contingencia para evitar problemas si se materializasen.
Los últimos responsables serán sus consejos de administración y gestores, empujando así a formar a sus cúpulas en la materia. "Es muy complicado que haya comités de alta dirección en España y en el mundo que entiendan la tecnología, que comprendan su potencia y su fragilidad, que son dos caras de la misma moneda", explica Julio San José, managing director en Alvarez & Marsal de Global Cyber Risk Services, en alusión al desafío que representa porque exigirá a las cúpulas entender y gestionar los riesgos y convertirse, a la postre, en los primeros impulsores de un cambio que será cultural en las organizaciones.
El reglamento, que entrará en vigor directamente y sin necesidad de trasposición nacional al no ser directiva, establece un catálogo de exigencias sobre cómo gestionar estos riesgos y la ciberseguridad, lo que obligará a establecer protocolos o reglas internas de actuación y podría ser susceptible de elevar a niveles altos de la estructura organizativa a los responsables más íntimamente ligados a los riesgos o, incluso, incorporar nuevos perfiles en los consejos de administración.
"Lo que de verdad es DORA es un cambio para los directivos. El regulador, sigue diciendo: no es un tema tecnológico, la parte más importante es cambiar el gobierno (governance) para que Tecnología no externalice algo en otra empresa sin que haya un análisis de riesgos, que lo hay siempre, pero que esté formalizado y que un tercero lo pueda ver", subraya.
Europa persigue con la regulación establecer un marco único que homogenice cómo las entidades deben gestionar el riesgo digital con una visión que exigirá establecer controles a toda la cadena de suministro -proveedores de servicios y subcontratas-. Capacita además a los supervisores financieros a vigilar y analizar, incluso, las prestaciones de los servicios por parte de empresas externas como los gigantes tecnológicos, que pueden verse así sometidos a algún tipo de supervisión.
El supervisor vigilará a los proveedores
Y a las entidades no les bastará con decir que cumplen, sino que deberán demostrar que evalúan eventuales vulnerabilidades con pruebas para demostrar la resiliencia de sus sistemas y su capacidad para recobrarse de un ataque o incidente sin que sufra el negocio o su actividad.
"Esto no va de duplicar sistemas, de comprar más tecnología, va de revisar los procedimientos en todo para que la compañía subsista, porque se está poniendo en el peor escenario", explica San José. "¿A qué te obliga DORA? A cambiar el pensamiento del: "A mí no me va a pasar", que ya no vale, a "cuándo me va a pasar y cuánto me va a costar". Todo puede ocurrir y cuando ocurra tu planteamiento debería ser: "Bien, la tecnología ha fallado, pero estamos preparados para hacer frente a este fallo".
Uno de los puntos más complicados a su juicio será definir qué es servicio crítico y cuándo es esencial porque exige definir quién tomó la decisión sobre ellos, cómo se tomó y bajo qué criterios. "Otro de los puntos que te pide y que va a ser complicado es la relación con los proveedores, las estrategias de contingencia y los procedimientos de salida", agrega.
Según el experto, la nueva regulación "obligará a balancear" entre proveedores tecnológicos, a analizar la relación con ellos y es esperable que se vaya a una mayor diversificación. "Te obliga a replanteártelo todo, desde el número de proveedores que tienes a como si todos deben estar en todos los sitios. Inclusive hay alguna que otra entidad que está planteándose ya para cumplir con DORA, con un nivel de exigencia muy alto, en los canales o cables por donde circulan los proveedores críticos y si cada proveedor debe a ir por una red distinta", apunta.