Hackeo a servicios informáticos

Hackeo a servicios informáticos iStock- Sashkinw Omicrono

Europa

DORA ya es realidad: el sector financiero estrena su propia ley contra los ciberataques

Mañana se cumple el plazo dispuesto por Europa para que los actores de la industria adopten las disposiciones de la norma. 

Más información: Europa se blinda ante los ciberataques en el sector financiero con DORA: "Estaremos preparados"

Publicada
Actualizada

La regulación del ecosistema digital ha sido el mantra que ha guiado las acciones de la Unión Europea en los últimos años. En este período, las entidades legislativas de la región han definido, debatido y dado forma a normas que afectan desde la protección de los derechos de los usuarios en los entornos online hasta el despliegue de la inteligencia artificial. 

Tras ejercicios de intensa formulación y aprobación, el año que acaba de comenzar y los siguientes se anticipan como el espacio de tiempo en el que dichas leyes entrarán en vigor o se empezarán a aplicar de forma efectiva. Entre ellas, la Ley de Resiliencia Operativa, conocida como DORA por sus siglas en inglés, el documento que busca garantizar el funcionamiento de la industria financiera europea en caso de "grave perturbación operativa", es decir, ante posibles ciberataques. 

Así, esta ley define un marco normativo homogéneo para todos los estados miembros de la UE con el que se asegura que todas las firmas que participan en este ecosistema puedan resistir y responder cualquier tipo de amenaza y recuperarse de ella. Para ello, el reglamento establece requisitos uniformes para garantizar la seguridad de las redes y los sistemas de información de empresas y organizaciones que operan en el sector financiero, además de los terceros que les presten servicios relacionados con las TIC (por ejemplo, las plataformas en la nube o los intermediarios de seguros, auditores legales o agencias de calificación).

Más de cuatro años después de la primera concepción de esta norma, hoy, 16 de enero se cumple el plazo dispuesto por los legisladores para que las empresas y entidades afectadas apliquen los preceptos incluidos en la normativa, ya que a partir de mañana, 17 de enero, esta será de obligado cumplimiento. 

Esta fecha, que quedará marcada en el calendario europeo y nacional, es el culmen al trabajo realizado no solo por los legisladores para confeccionar este respaldo normativo, sino también de las empresas y actores del sector, que han tenido que adaptar sus servicios y sistemas a los requisitos dispuestos en ella, un camino que no ha estado exento de retos. 

Una ley de impacto positivo

La concepción de DORA empezó hace casi un lustro, cuando en Europa se empezó a reflexionar sobre la necesidad de contar con un cuerpo normativo que apoyase la innovación y la adopción de nuevas tecnologías financieras, pero que, a la vez, protegiese a los actores del ecosistema. Tras un período intenso de negociación en el que esta ley atravesó los cauces legales comunitarios pertinentes, la norma se convirtió en realidad el 16 de enero de 2023, día tras el cual empezó la cuenta atrás para su adopción efectiva. 

En este período, las entidades han tenido que adaptarse a los preceptos contenidos en la norma, a la que, generalmente, han recibido de forma positiva, reconociendo su necesidad y utilidad para fortalecer la resiliencia operativa frente a los riesgos digitales, según expone un informe de AFI (Analistas Financieros Internacionales), realizado en colaboración con Kyndryl. En él, representantes de la industria celebran esta ley, que provee un entorno regulador coherente para proteger la infraestructura digital crítica. 

Aún así, en el mismo estudio también se destacan algunos de los desafíos asociados a su implementación, entre ellos, los relacionados con la gobernanza, como la definición de los roles enfocados en la gestión de los riesgos TIC, la integración de nuevos procesos en los modelos operativos y los cambios en la cultura organizacional para adecuarse a lo descrito en la legislación, la evaluación de las estrategias de las empresas para reaccionar ante posibles incidentes o la definición de nuevos protocolos. 

También, mencionan los dedicados íntegramente a la supervisión, donde se enumeran algunos como la necesidad de invertir en formación y recursos para mejorar la capacidad de supervisión sin que esto perturbe la actividad diaria de la entidad, la adaptación de la regulación a las necesidades o a las características de cara empresa o el diseño de pruebas exhaustivas requeridas por los reguladores. 

Por otro lado, incluyen los que afectan a la gestión de terceros, es decir, de proveedores externos, para lo que se deben destinar recursos adicionales que deriven en una mejor evaluación de los riesgos, así como a la revisión de contratos y cláusulas o en la monitorización de las medidas de seguridad. A estos se suman los relativos a la cooperación y coordinación entre los diferentes agentes involucrados, donde no solo se debe mejorar la comunicación, sino la forma de compartir información y la seguridad de estos procesos. 

Por último, el informe incluye otros desafíos como asegurar un balance entre la resiliencia y la competitividad y la capacidad innovadora o hacer frente a los costes derivados, especialmente en el caso de las firmas de menor tamaño. 

Claves para su adopción

El informe elaborado por AFI en colaboración con Kyndryl también analiza algunos aspectos imprescindibles que deben tener en cuenta las entidades financieras en su estrategia para incorporar DORA para garantizar una buena implantación y gestión de los preceptos de la norma. 

En primer lugar, el estudio señala que es importante definir la entidad mínima viable, es decir, identificar los servicios críticos, su tolerancia realista al impacto y clasificar los activos esenciales; en segundo, clasificar los datos, teniendo controlado su procedencia y el flujo de información, así como la gestión de acceso a los mismos; y en tercero, actualizar el sistema de gestión de riesgos, marcando las amenazas que puedan afectar a la integridad o confidencialidad de los datos. 

Mientras, en cuarto lugar, el informe subraya la necesidad de diseñar, implantar y probar un entorno de ciberrecuperación; por último, en quinto lugar, se insiste en la importancia de tener planes de pruebas de resiliencia operativa frente a las ciberamenazas, incluyendo test de recuperación, un aspecto esencial en el proceso de mejora. 

Bien recibida por el sector

A medio camino de la obligatoriedad de aplicar DORA, algunos de los principales directivos de las entidades bancarias explicaron a DISRUPTORES sus impresiones respecto a esta ley, que hoy ya es realidad. 

Por ejemplo, el CIO de Revolut, Felipe Peñacoba, destacó el carácter positivo de la norma para el sector financiero, ya que en sus propias palabras, ahonda en la necesidad de mejorar la capacidad de los bancos para continuar operando en caso de eventos disruptivos de cualquier naturaleza, algo de especial relevancia ante los conflictos que se están viviendo actualmente a nivel global, que también se reflejan en el plano virtual. 

Por su parte, Jaime Castro, CISO de EVO Banco, señaló que DORA ayudará a estandarizar las capacidades de resiliencia operativa del sector, reforzando aspectos que ya se llevaban trabajando y evolucionando desde un punto de vista "más completo y exigente". Mientras, desde BBVA coincidieron en que la incorporación de esta legislación ayudará a reforzar la confianza de los clientes e inversores al asegurar un elevado nivel de seguridad.