En la actualidad, el mundo se encuentra inmerso en una era digital que ha transformado drásticamente la forma en que interactuamos, trabajamos y realizamos transacciones financieras. Esta creciente dependencia de la tecnología de la información y comunicación (TIC) ha generado una serie de desafíos y riesgos cibernéticos que afectan a todos los sectores, pero ninguno se ve tan expuesto como el sector financiero. Es por ello que se ha vuelto crucial establecer regulaciones efectivas que promuevan la resiliencia operativa digital en este sector.
La Digital Operational Resilience Act (DORA)
Tras años de regulaciones desiguales impulsadas por los Estados miembros de la UE, DORA (Digital Operational Resilience Act) está consolidando esfuerzos para instaurar un marco universal que gestione y reduzca el riesgo de TIC en el sector financiero. Esta regulación de la Unión Europea, se ha convertido en un punto de referencia en materia de ciberseguridad y resiliencia operativa digital, y su adopción se ha vuelto una prioridad para las instituciones financieras en toda la UE.
El propósito fundamental de DORA es establecer un conjunto unificado de normativas y mejores prácticas que permitan a las organizaciones financieras afrontar, responder y recuperarse eficazmente de incidentes relacionados con TIC. De esta manera, se busca minimizar los riesgos tanto para los clientes como para el sistema financiero en su totalidad en un entorno digital en constante crecimiento.
Esta regulación es un reflejo del firme compromiso de la UE de preservar la integridad y estabilidad de su sector financiero en un contexto cada vez más marcado por la digitalización.
Los Cinco Pilares de DORA
Para comprender mejor cómo DORA aborda los desafíos cibernéticos en el sector financiero, es esencial explorar los cinco pilares fundamentales que constituyen esta regulación.
1. Gestión de Riesgos de TIC
Ámbito de Aplicación
DORA establece un marco de gobierno sólido y actividades asociadas de gestión de riesgos de TIC. Esto incluye:
- Identificación
- Protección y prevención
- Detección
- Respuesta y recuperación
- Aprendizaje y evolución
- Comunicación de crisis
Importancia de la Gestión de Riesgos de TIC
La gestión de riesgos de TIC es esencial para garantizar la resiliencia digital en el sector financiero. La identificación de posibles amenazas, la protección de activos críticos y la capacidad de respuesta ante incidentes son elementos clave para mantener la integridad y seguridad de las operaciones financieras.
En este sentido, las organizaciones financieras deben desarrollar y mantener un sólido marco de gestión de riesgos de TIC que abarque todas las áreas mencionadas en DORA. Esto implica la participación activa de la alta dirección en la toma de decisiones relacionadas con la ciberseguridad y la adopción de medidas proactivas para mitigar los riesgos.
Cómo te puede ayudar un asesor en ciberseguridad
La consultoría especializada desempeña un papel fundamental. Las organizaciones financieras pueden contar con expertos en ciberseguridad y gestión de riesgos de TIC para garantizar el cumplimiento de los principios de gobierno y riesgo establecidos en DORA. Estos expertos pueden ayudar en la identificación y mitigación de estos riesgos TIC, basándose en la apetencia al riesgo de la organización y el impacto que este pueda tener en caso de interrupciones en las TIC.
2. Reporte de Incidentes de TIC
Ámbito de Aplicación
DORA establece una clasificación estandarizada de incidentes y requisitos obligatorios de incidentes en toda la UE.
Importancia del Reporte de Incidentes de TIC
El reporte de incidentes TIC es fundamental para la detección temprana y la respuesta efectiva ante posibles amenazas cibernéticas. Una clasificación estandarizada y la notificación obligatoria permiten a las autoridades y a las organizaciones financieras tomar medidas rápidas para mitigar el impacto de los incidentes.
En un entorno digital, donde las amenazas pueden evolucionar rápidamente, la capacidad de identificar y notificar incidentes es crucial para mantener la seguridad y la continuidad de las operaciones financieras. Las organizaciones financieras deben estar preparadas para reportar incidentes de manera oportuna y precisa.
3. Pruebas de Resiliencia Operativa Digital
Ámbito de Aplicación
DORA requiere un programa de pruebas completo con un enfoque en pruebas técnicas a gran escala realizadas por organizaciones independientes cada tres años.
Importancia de las Pruebas de Resiliencia Operativa Digital
Las pruebas de resiliencia operativa digital son esenciales para evaluar la capacidad de una organización financiera para resistir y recuperarse de posibles incidentes cibernéticos. Las pruebas periódicas realizadas por terceros independientes garantizan la objetividad y la eficacia de estas evaluaciones.
Estas pruebas permiten a las organizaciones identificar posibles debilidades en sus sistemas y procesos, y tomar medidas correctivas antes de que ocurra un incidente real. Además, el enfoque en pruebas técnicas a gran escala (ej.: hacking ético) asegura que las organizaciones estén preparadas para enfrentarse a las amenazas más sofisticadas.
4. Compartir Información e Inteligencia
Ámbito de Aplicación
DORA proporciona directrices sobre acuerdos de intercambio de información para amenazas cibernéticas y vulnerabilidades.
Importancia del Intercambio de Información e Inteligencia
El intercambio de información e inteligencia sobre amenazas cibernéticas es crucial para mantenerse al tanto de las últimas tendencias y amenazas en el ciberespacio. Esto permite a las organizaciones financieras fortalecer sus defensas y prepararse para posibles ataques.
El intercambio de información y la colaboración entre organizaciones financieras y autoridades es esencial para garantizar una respuesta eficaz ante amenazas cibernéticas. DORA promueve la cooperación y la transparencia en este sentido.
5. Gestión de Riesgos TIC de Terceros
Ámbito de Aplicación
DORA establece una estrategia de políticas y registro estandarizado de información para la evaluación previa al contrato, su contenido, la terminación y salida de este.
Importancia de la Gestión de Riesgos de Terceros de TIC
La gestión de riesgos TIC de terceros es esencial ya que muchas organizaciones financieras dependen de proveedores externos para comercializar servicios. Evaluar y gestionar adecuadamente los riesgos asociados con terceros garantiza la continuidad de las operaciones financieras.
En la era digital, las organizaciones financieras a menudo colaboran con proveedores externos para brindar servicios esenciales, como servicios en la nube o sistemas de procesamiento de pagos. Sin embargo, esta colaboración también introduce riesgos, ya que los proveedores de terceros pueden convertirse en puntos de entrada para amenazas cibernéticas. Por lo tanto, es fundamental que las organizaciones financieras evalúen y gestionen adecuadamente estos riesgos a lo largo de toda la relación contractual.
El Camino hacia DORA
La Comisión Europea propuso Digital Operational Resilience Act (DORA) en septiembre de 2020 como parte de un paquete más amplio que también incluye una Estrategia de Finanzas Digitales con propuestas legislativas sobre criptoactivos y resiliencia digital. El Consejo de la Unión Europea y el Parlamento Europeo adoptaron formalmente DORA en noviembre de 2022, y las Autoridades Europeas de Supervisión (AES) están redactando las Normas Técnicas Regulatorias (NTR) y las Normas Técnicas de Aplicación (NTA) que allanarán el camino para su cumplimiento. Estas normas, junto con un marco de supervisión para los proveedores TIC críticos, se espera que alcancen su forma definitiva en 2024.
DORA está transformando la forma en que las organizaciones financieras abordan la ciberseguridad y la resiliencia operativa digital en la Unión Europea. Los cinco pilares de DORA proporcionan un marco sólido y coherente que aborda los desafíos cibernéticos y establece estándares para garantizar la seguridad y la estabilidad de los sistemas financieros en la era digital.
Cumplir con DORA no es solo un requisito regulatorio, sino una inversión en la seguridad y la confianza de los clientes. Las organizaciones financieras deben tomar medidas para cumplir con esta importante regulación, lo que incluye la implementación de políticas, la realización de pruebas de resiliencia operativa digital y la colaboración en el intercambio de información.
