El sector financiero encara el sprint final para cumplir con Dora, una normativa que aborda con una visión de 360 grados la ciberseguridad de las entidades con foco en la cadena de valor íntegra. Entrará en vigor el próximo 16 de enero en bancos, aseguradoras, gestoras y casi todas las compañías del sector financiero, que han tenido dos años para trasponerla. Pero su adopción ha sido complicada por la propia complejidad de una norma que hasta hace poco ha ido incorporando aclaraciones.
La industria la recibe de forma positiva porque ayudará a anticiparse y gestionar el flujo creciente de ataques cibernéticos y otros incidentes, reforzando la seguridad que requiere el sector por su propio negocio y afianzando, por derivada, la confianza del cliente, pero también entrada retos adicionales para las entidades de menor tamaño donde habría que clarificar criterios de proporcionalidad, implica costes de adopción y el reto de cómo supervisar o responsabilizarse del servicio que presta no solo el directo proveedor, sino también el "proveedor de mi proveedor".
Son algunas de las grandes conclusiones vertidas en la mesa de debate de la I Jornada Regulación Financiera: La Importancia de la Ciberresiliencia en el Sector Financiero y la llegada de DORA organizada por elEconomista.es. Ha contado con la participación de Laura Burillo, responsable de Normativa de Ciberseguridad de Izertis; Laia Porcar, CIO de MyInvestor; Alberto Grande, responsable de IT de Miraltabank; Daniel Cano, Head of IT Infrastructure & Operations de Generali e Iván Sánchez, CISO de Rural Servicios Informáticos.
"Dora es compleja, es una normativa que bebe de diferentes fuentes", explicó la responsable de Normativa de Ciberseguridad de Izertis en alusión al abanico de directivas previas del que también se nutre, lo que advirtió que "puede resultar complejo para organizaciones pequeñas que, a lo mejor, no cuentan con unos presupuestos y unos recursos óptimos para lograr el cumplimiento".
Como positivo destacó que exige "una implicación de la alta dirección, que para mí es fundamental, porque es en ese momento donde tú creas esa, esa concienciación" y "aliciente" que precisa para su adopción.
Desde MyInvestor, entidad que gestiona un patrimonio de 7.000 millones y opera con 350.000 clientes, su CIO Laia Porcar refrendó el desafío por el tamaño y por ser un banco "puro digital", sin oficinas. "Nuestros clientes esperan de nosotros que estemos 24 x 7, que nuestro dato, además de íntegro y confidencial, se encuentre disponible en todo momento y eso creo que es parte de la de la dificultad y de la oportunidad que nos da Dora, pero la recibimos con los brazos abiertos porque, a pesar de ser muchísimo trabajo, la verdad es que pone unas bases muy claras, unos estándares muy claros y nos da visibilidad a nivel de consejo de administración de lo que es importante y lo que se espera también de un banco como el nuestro", compartió.
Para Miraltabank y según su responsable de IT, Alberto Grande, la regulación es "bastante positiva" porque "nos facilita bastante ciertas tipo de actuaciones, incluso por diseño, pues ya estamos preparados para ello". "Lo vemos como una oportunidad", refirió en alusión a que dar el respaldo de actuaciones en materia tecnológica y sobre seguridad que ya estaban impulsado desde el departamento técnico y porque la regulación plantea que "no solo son útiles, sino que, incluso, los niveles directivos son capaces de entender para qué sirven, cuál es su utilidad y de alguna forma empoderan a ciertas áreas de seguridad o ciertas áreas de arquitectura a que realicen este tipo de prácticas", dotándolas de "más poder, más presupuesto" que permite hacer grandes cosas para robustecer la ciberresiliencia operativa.
"Desde Generali Dora es un proyecto que está alineado con la estrategia que tenemos de ser partner de nuestros clientes. Lo más importante que tenemos proviene de los datos de nuestros clientes, la confianza que nos depositan nuestros clientes en nosotros, y, por tanto, nosotros vemos el proyecto como un proyecto de negocio, de ser socios de por vida de nuestros clientes", agregó Daniel Cano, Head of IT Infrastructure & Operations de Generali e Iván Sánchez, CISO de Rural Servicios Informáticos.
"El regulador ha colocado la regulación al mismo nivel de otras de otros riesgos financieros, como Solvencia, y creo que es un acierto. Lo hemos acogido con ilusión porque es una oportunidad y sabiendo que es algo que reporta a nuestros clientes", añadió. Se trata de una visión que refrendó Iván Sánchez, CISO de Rural, Servicios Informáticos, quien citó entre los desafíos que plantea la normativa la relación con proveedores. Impone mayores exigencias a las entidades sobre los servicios externos que le suministran y su resiliencia.
"Si ya es complicado mantener el entorno de control adecuado, se complica al añadir ya no las terceras partes, es que ya estamos empezando a hablar de cuartas partes. Ya hemos tenido conversaciones también donde se plantea ¿bueno, cuál es el proveedor de mi proveedor? Esto es un árbol que no acaba nunca", indicó en alusión a la complejidad de elaborar estrategias sobre esos servicios y sobre eventuales planes de contingencia. "Lleva su tiempo porque no es únicamente nuestro entorno de control, sino cómo extenderlo a terceros y también cómo la regulación y el regulador en concreto nos ayudan con esta tarea porque son decisiones de negocio al fin y al cabo: con quién trabajo, con quién no trabajo", compartió.
