El número de ciberataques no deja de crecer desde hace años. Sin embargo, el principal de los problemas no se encuentra en la cantidad, sino, sobre todo, en la sofisticación de estos.
Los ciberdelincuentes tienen en el punto de mira tanto a usuarios como a organizaciones. En este sentido, las compañías que conforman el sector financiero en las que se incluyen bancos, aseguradoras, brokers de seguros fondos de inversión o los proveedores de servicios digitales que trabajan con ellos, son unas de las predilectas para recibir ciberataques, bien sea para obtener recursos económicos o datos comprometidos.
Ante esta situación, el Consejo Europeo puso en marcha el denominado Reglamento sobre la resiliencia operativa digital, también conocido como Reglamento DORA y que entró en vigor el pasado enero. DORA tiene como objetivo que el sector financiero y los proveedores TIC puedan seguir funcionando de forma resiliente en el caso de que sufran una grave perturbación operativa.
Europa es consciente de que el sector financiero es uno de los que más invierten en ciberseguridad, pero también es uno de los más sensibles para el funcionamiento global de la economía en el caso de que un ciberataque tenga éxito.
Por este motivo, el Reglamento DORA proporciona una serie de requisitos uniformes con el fin de fortalecer la seguridad de las redes y de los sistemas de las organizaciones del sector, además de aquellas empresas que les presten servicios tecnológicos. De esta forma, a partir del 17 de enero de 2025, todas ellas deben certificar que son capaces de resistir y responder a cualquier tipo de ciberataque y recuperarse en el caso de que éste tenga éxito.
Es decir, DORA pretende prevenir y mitigar las amenazas que puedan sufrir las empresas del sector financiero, mejorando la normativa existente hasta el momento y, lo que es más importante, haciendo que el modelo de notificación de incidentes sea más estandarizado.
¿Quién, cómo y cuándo se debe implementar DORA?
DORA afecta a una totalidad de 20 tipologías de empresas que conforman el sector financiero. Entre otras entidades de pago y de préstamo, compañías que ofrezcan servicios de inversión, sociedades de gestión, aseguradoras, agencias de calificación crediticia y también aquellas organizaciones que provean servicios de criptoactivos.
Asimismo, DORA también repercute a empresas del sector TIC como proveedores cloud, proveedores de soluciones de medios de pago o empresas que ofrezcan servicios de datos. Todas ellas tendrán que implementar DORA antes de enero de 2025, no siendo necesario que pase por ningún trámite parlamentario al ser DORA un reglamento.
A pesar de la inquietud de tener que incorporar un nuevo reglamento a la operativa de una organización, en este caso se trata de una normativa que no debería suponer ningún problema para las empresas del sector financiero si ya emplean el marco de las tres líneas de defensa. Se trata de un enfoque que ya es utilizado de forma amplia por una gran parte de las organizaciones del sector y se basa en la división de responsabilidades y funciones entre diferentes áreas de la compañía.
Protocolos de seguridad
Para la mayoría de ellas, DORA no supondrá un importante impacto, debido al hecho de que ya emplean protocolos de seguridad para mejorar la gestión de los riesgos a los que están expuestas. No obstante, tendrán que realizar nuevas pruebas de resiliencia con un incremento en el número de evaluaciones que efectúan, perfeccionar las metodologías e incorporar buenas prácticas en materia de control y monitorización de los sistemas.
Y es que DORA exige que se realicen pruebas de resiliencia operativa, para que la capacidad de recuperación de las entidades afectadas esté asegurada y las deficiencias puedan ser subsanadas a tiempo. En el caso de no subsanarse, las empresas que incurran en el incumplimiento se verán expuestas a sanciones similares a las de no cumplir con el GDPR: se les multará con un porcentaje de la facturación.
Por otro lado, las empresas tendrán que empezar a incorporar en su organigrama una nueva figura ya que DORA va más allá de la labor que realizan CIOs, CISOs, responsables de tecnología o CDOs.
El responsable de los riesgos
Se trata del Chief Technology Risk Officer (CTRO), que será la persona encargada de vigilar el cumplimiento de los riesgos tecnológicos a los que se enfrenta una organización. Esta nueva figura puede ser un empleado interno o una empresa externa
Como consecuencia, contar con el partner adecuado para implementar el Reglamento DORA es fundamental para incorporarla dentro la estrategia de ciberseguridad, ya que las organizaciones del sector financiero y los proveedores TIC se asegurarán la gestión del cumplimiento de la norma, lo que mejorará su resiliencia.
Una de las grandes ventajas de una solución GRC como GlobalSuite® es que posibilitan que la adecuación de DORA pueda ser automatizada, lo que hace que sea mucho más sencilla la implementación. Asimismo, la herramienta realiza evaluaciones de riesgos de forma estructurada y sistemática.
Gracias a ello, la organización financiera podrá identificar y evaluar los riesgos digitales asociados a sus sistemas, procesos y servicios críticos. Por otro lado, gestiona la planificación de la continuidad del negocio IT y resiliencia operativa digital, y con ello, el departamento de TI puede diseñar planes de continuidad del negocio IT tanto para los sistemas y procesos, como para los servicios críticos.
Con nuestra solución de GRC, proporcionamos una serie de características que ayudarán a las organizaciones a incorporar DORA sin dificultad alguna y en un proceso muy sencillo. Al ser una plataforma centralizada, somos capaces de elaborar una eficaz gestión de incidentes, detectarlos de forma rápida y reaccionar de forma casi inmediata en el momento que se produzca un ciberataque o cualquier otro evento que puedan afectar la resiliencia digital. Así como realizar una completa monitorización y evaluación de proveedores de tecnología que trabajen con la entidad y asegurar, de esta forma, que ellos también están cumpliendo con el Reglamento DORA.
Con ello, la organización financiera puede realizar un seguimiento en la gestión de la conformidad con las normas y regulaciones, lo que supone un apoyo para las organizaciones que quieren mantener el cumplimiento continuo de DORA.
En definitiva, con la implementación de una solución GRC de estas características, las empresas financieras y los proveedores de servicios digitales podrán resistir y recuperarse de interrupciones operativas, en un contexto en el que el sector financiero está cada vez más interconectado y es más dependiente de las tecnologías de la información y, de esta forma, hacer que salga fortalecido ante cualquier evento de ciberseguridad que pueda producirse.
Relacionados
- La Justicia libra al Madrid y Barcelona de pagar 3,5 millones a Hacienda por excederse en las inspecciones
- La OLAF y los Registradores se alían en la lucha contra el fraude
- La Audiencia archiva el espionaje al móvil de Sánchez por falta de colaboración de Israel
- Ley de Inteligencia Artificial: permitirá cribar candidatos a un puesto y decidir a quién financiar