El reglamento DORA, que entró en vigor hace solo unas semanas, supone un punto de inflexión para la fortaleza del sistema financiero frente a las ciberamenazas pero también está implicando preparación y medios por parte de las entidades, ya sean bancos, aseguradoras, gestoras de activos o entidades de gestión patrimonial. Los expertos reconocen que su implementación ayudará a construir un sector más protegido frente a los ciberataques y el robo de datos, y con una mejor gestión de riesgos derivados de la digitalización y los proveedores tecnológicos y, por tanto, que genere más confianza.
Pero también reconocen retos y desafíos, como las capacidades y recursos en las entidades de menor tamaño, los costes de implementación, las sanciones a las que se enfrentan las empresas y, sobre todo, el paso del tiempo, pues los expertos defienden la necesidad de un enfoque de supervisión e innovación constantes para luchar contra las nuevas formas de ataque.
«La implementación del reglamento DORA (Digital Operational Resilience Act) representa un paso importante hacia el fortalecimiento de la resiliencia operativa del sector financiero en Europa. En un entorno cada vez más digitalizado, donde los ciberincidentes son cada vez más frecuentes y sofisticados, DORA busca abordar el desafío de los riesgos asociados a la ciberseguridad y garantizar la estabilidad y confianza del sistema financiero. Este marco regulatorio permitirá a las entidades financieras disponer de procedimientos claros para la gestión de incidentes y su notificación al órgano regulador y de una respuesta rápida, mejorando su capacidad de respuesta ante ciberamenazas y otros problemas operativos. Además, ayudará a fortalecer el programa de pruebas de resiliencia operativa, así como la gestión de riesgos relacionados con terceras partes (dentro la cadena de suministro) que proveen servicios IT, en algunas ocasiones un aspecto crítico para la continuidad operativa», recuerda Félix Rodríguez, director de Seguridad Triodos Bank NV SE.
También José Antonio Lozano, Head of AI & Business Innovation de Tokiot, habla de riesgos relacionados con los proveedores, ciberamenazas y también potencial robo de datos: «El reglamento DORA impone nuevas exigencias a las entidades bancarias y financieras para gestionar riesgos tecnológicos, como ciber amenazas o robos de datos, garantizando su resiliencia operativa ante ataques. Además, establece una supervisión más rigurosa sobre los proveedores externos de servicios tecnológicos críticos».
Según María Luisa Paradinas, directora de Desarrollo de Negocio de Innova-tsn, «la ley de Resiliencia Operativa Digital va a suponer un antes y un después en todas las entidades financieras, pero, dependiendo de la tipología, el impacto se notará más en unas áreas o en otras. Lo que todas tendrán en común es el objetivo principal de la directriz: garantizar la seguridad de las infraestructuras y sistemas digitales frente a posibles ciberamenazas». Así, en el caso de los bancos, deberán reforzar la protección de sus sistemas críticos frente a ciberataques, supervisar exhaustivamente a sus proveedores tecnológicos y garantizar la capacidad de respuesta rápida ante incidentes: «Los bancos han sido siempre punta de lanza en la innovación tecnológica y digital, así como en la implantación de medidas de protección y antifraude, tanto de manera proactiva como obligados por la regulación. Aun así, DORA impone un aumento significativo en el esfuerzo dedicado a la gestión del riesgo de un ciberataque y en la necesidad de reportar determinados incidentes», explica. De igual forma, las aseguradoras también tendrán que implementar controles más estrictos para proteger los datos sensibles de los clientes y desarrollar planes de contingencia frente a interrupciones operativas.
En el caso de las gestoras de activos y bancas privadas, dice la experta, «DORA exigirá mayor control sobre los proveedores externos y medidas avanzadas de ciberseguridad para proteger información financiera sensible, así como reporting obligatorio de determinadas incidencias. Las gestoras de activos deberán garantizar la continuidad operativa mediante pruebas periódicas de recuperación, mientras que la banca privada tendrá que demostrar altos estándares de seguridad para mantener la confianza de sus clientes más exigentes», añade.
En preparación
Las entidades ya están trabajando en ello, reforzando sus sistemas de gestión de riesgos tecnológicos y sus controles. «Las empresas deben elevar su nivel de esfuerzo, reforzando sus sistemas de gestión de riesgos tecnológicos además de implementar controles de ciberseguridad avanzados y comprobar que todo funcione ante cualquier ataque o fallo de sistema. Es clave tener un plan claro para reaccionar rápidamente en el caso de que algo salga mal, y mejorar la cultura de seguridad de todos los trabajadores de la empresa», explica Lozano.
La normativa entró en vigor el pasado 17 de enero, pero, anteriormente, todas las entidades financieras dispusieron de un periodo de dos años para hacer un ejercicio de introspección y análisis en el que medir la resiliencia operativa de sus sistemas e infraestructuras digitales, recuerda Paradinas. Para cumplir con DORA, dice la experta, «es fundamental que las empresas y sus proveedores de servicios tecnológicos cuenten con los recursos técnicos y humanos necesarios para mantener la continuidad y calidad de los servicios, incluso ante situaciones que pongan en riesgo la confidencialidad, disponibilidad, integridad o autenticidad de la información».
DORA establece obligaciones específicas para los proveedores de servicios tecnológicos y de tratamiento de datos que colaboran con entidades financieras, ya que, de no ser así, la externalización de servicios comprometería la resiliencia digital, recuerda la experta. «Aunque esto implicará que los proveedores de TI deban adaptarse, aquellos que ya contamos con procesos estrictos en ciberseguridad hemos avanzado en ese camino. Normas internacionales como las ISO 27001 y 27701, enfocadas en la seguridad y privacidad de la información, ya ofrecían un marco para gestionar riesgos, mejorar la resiliencia digital y garantizar la excelencia operativa. Si bien DORA introduce requisitos más detallados y específicos para la industria financiera, con carácter legalmente vinculante, estas bases previas brindan un punto de partida sólido sobre el cual construir», afirma.
«En este sentido, entidades como el Banco de España y la Comisión Nacional del Mercado de Valores han ejercido como faro guía en todo el proceso. Dichas organizaciones, han publicado, de forma recurrente, boletines y formularios adaptados a cada fase de la preparación. Este apoyo ha sido fundamental para que las instituciones financieras mejoren su infraestructura digital, optimicen la gestión de riesgos y fortalezcan la confianza en los servicios financieros digitales en Europa», añade.
Retos y oportunidades
La normativa ofrece a las entidades la oportunidad de ser más fuertes en un entorno más vulnerable a los ciberataques, algo que ayudará a generar más confianza entre los clientes e incluso potenciará las contrataciones. «Era un paso necesario. La sociedad se dirige de forma imparable hacia un ecosistema puramente digital en el que la totalidad de nuestros activos financieros se encuentren en este formato. Por lo tanto, los bancos y el resto de organizaciones que manejan este tipo de bienes han de ser capaces de garantizar una máxima protección ante las amenazas que surgen en un panorama digital: las ciberamenazas. Así, de forma consecuente, gracias a este tipo de acciones, todas las entidades financieras verán reforzada sus procesos y podrán garantizar un servicio adecuado, minimizando la probabilidad de un ataque de estas características, así como los efectos de dicho ataque si finalmente se produce», explica Paradinas.
«Destacaría dos oportunidades principalmente: la confianza con los clientes y la ventaja competitiva que supone fortalecer la seguridad y la innovación», añade Lozano. Para Rodríguez, DORA también puede contribuir al aumento de contrataciones de profesionales tecnológicos porque se necesitan profesionales competentes, con capacitación y cualificación específica. «Además, también puede ser una palanca para que las entidades inviertan en formación y desarrollo profesional en ese ámbito de las personas que ya están en sus plantillas», asegura.
Pero también plantea desafíos, especialmente para entidades de menor tamaño, debido a la necesidad de disponer de recursos técnicos y humanos adecuados, así como de las capacidades y conocimiento sobre la regulación. «En otras palabras, el tamaño, el conocimiento y las capacidades, los recursos disponibles, el músculo económico que marca la capacidad de inversión, así como los recursos organizativos, técnicos y financieros de cada entidad tendrán un efecto directo en el éxito de la implementación de DORA», dice el experto. «Por todo ello, el apoyo y la colaboración por parte del regulador va a ser clave, así como contar con su flexibilidad para asegurar que a medio plazo esté firmemente implementada en el sector», añade.
A la hora de hablar de retos, Lozano señala «la necesidad de afrontar mayores costos a la hora de implementar estos controles de ciberseguridad avanzados, además de las sanciones a las que cualquier entidad se expone si no lo hace, claro».
Paradinas recuerda, al hablar de retos, que «esta directiva nace para reducir al máximo los riesgos a los que se enfrentan las entidades financieras en un ecosistema que avanza a pasos agigantados hacia la digitalización completa. Al fin y al cabo, esto es una consecuencia del proceso de transformación digital en el que nos encontramos inmersos como sociedad». Pero reconoce que el principal desafío que afrontarán las empresas será el paso del tiempo: «Garantizar de manera constante y eficiente la operación de todos los servicios representa una tarea compleja que va más allá de los costes, involucrando también infraestructura, logística y recursos. Por otra parte, los métodos de fraude y las modalidades de ciberataques evolucionan constantemente, con los atacantes desarrollando nuevas estrategias. A largo plazo, solo un enfoque basado en la supervisión constante y la innovación continua permitirá alcanzar y mantener el nivel de seguridad requerido. DORA obliga a las compañías a adoptar este enfoque», apostilla.
Por Funds Society, Madrid
