Los cuatro principios fundamentales del reglamento DORA: Un plan para la resiliencia del sistema financiero
El reglamento europeo conocido como DORA (Ley de Resiliencia Operativa Digital) entró en vigor a principios del 2023 y todos los Estados miembros deberán aplicarlo a partir del 17 de enero de 2025. Para esta fecha, los participantes financieros, en el sentido más amplio, tendrán que cumplir nuevas obligaciones organizadas en cinco pilares, diseñadas para fomentar su resiliencia digital y la del sistema financiero en conjunto. Dada la proximidad de este inminente plazo, hay que tomar medidas rápidas hoy mismo.
En 2008, una crisis financiera de una magnitud sin precedentes sacudió al mundo, sobrepasando la severidad de importantes crisis anteriores, como el conocido Jueves Negro de 1929. El sistema financiero mundial, entretejido por intrincadas conexiones y dominado por actores influyentes en múltiples mercados, sucumbió al efecto dominó donde el colapso de una de institución desencadenó rápidamente la caída de otras. En la actualidad, el mundo hiperconectado digitalmente de las instituciones financieras plantea una amenaza aún mayor: si el sistema de información de un actor clave falla, el colapso de los sistemas podría ser casi instantáneo y de una magnitud sin precedentes.
En este contexto, la Ley de Resiliencia Operativa Digital (DORA, por sus siglas en inglés) tiene la finalidad de garantizar la resiliencia de las instituciones financieras y de sus terceras partes asociadas en un sector que es 100% digital y está sujeto a constantes ciberataques. DORA es un nuevo reglamento de la Unión Europea (UE) que obliga a las empresas y a las organizaciones en el sector financiero a gestionar todos los componentes de la resiliencia operativa: la habilidad para proteger, detectar, contener, recuperar y reparar los incidentes de las TIC.
En total, no menos de 22,000 organizaciones se verán afectadas por este reglamento.
Para cumplir estas obligaciones establecidas por DORA, las instituciones financieras y sus terceras partes deben implementar y documentar una serie de medidas alrededor de sus tecnologías de la información y la comunicación (TIC) que se pueden categorizar en cuatro principales temas. Para el 17 de enero de 2025, estas 22,000 empresas deben asegurar que se han llevado a cabo los preparativos necesarios para cumplir con sus obligaciones bajo estas directrices.
1 - Establecer un sistema de gestión de riesgos de las TIC (Pilar 1)
El primer pilar de DORA es el más importante: sirve como la base de la que se derivan todos los demás elementos. También es uno de los más complejos, ya que requiere un enfoque integral que se basa en un conocimiento detallado de la empresa, de sus operaciones y procesos (especialmente los más importantes) y sobre todo en su arquitectura tecnológica (sistemas y aplicaciones que dan soporte a los procesos).
Una vez que este sistema de gestión de riesgo está hecho, DORA impone una obligación de control que puede llevarse a cabo de manera continua o en frecuencias predefinidas. Estos controles altamente detallados cubren aspectos de negocios y de procedimientos, así como la capa tecnológica, hasta la aplicación más pequeña relacionada en un proceso crítico. Aunque la mayoría de las instituciones financieras ya disponen de este tipo de controles, cabe señalar que serán necesarios controles específicos de TI para DORA para garantizar el total cumplimiento de este nuevo reglamento.
En un sentido más amplio, habrá una mayor necesidad de acercar más la colaboración entre los equipos de control y riesgos, y el departamento de TI.
2 - Identificar y controlar a terceros (Pilar 5)
Al reconocer la creciente complejidad de los sistemas de información financieros y sus múltiples entidades, aplicaciones e infraestructuras, el regulador europeo ha aumentado el alcance de las obligaciones de precaución a los servicios de terceros integrados en estas arquitecturas. Esto abarca no solo a los socios comerciales que están intrínsecamente sujetos a DORA, sino también a todos los socios tecnológicos.
Los editores de aplicaciones, los proveedores de la nube y otros proveedores de servicios gestionados (MSP, por sus siglas en inglés) también se verán afectados por el nuevo reglamento europeo. Específicamente, en relación con los términos del acuerdo del nivel de servicio (SLA) y la seguridad que proporcionan. Además, será crucial establecer planes de contingencia para sustituir a las terceras partes en caso de falla en el sistema o problemas de seguridad.
La concentración de servicios dentro de un único tercero puede constituir un riesgo en sí mismo: ¿qué pasa si atacan al principal (o incluso el único) proveedor de la nube? Por esta razón, puede valer la pena para las instituciones financieras desarrollar una estrategia de multiproveedores para limitar los riesgos (y daño) en caso de un ataque o una falla de un tercero clave.
3 - Comprobar periódicamente sus capacidades de continuidad (Pilar 3)
La conciencia sobre riesgos en el sector financiero no es nada nuevo. La continuidad de negocios y la amenaza de un efecto dominó han llevado a muchas instituciones a crear planes de contingencia para sus procesos clave. Son soluciones útiles, incluso vitales, siempre que se comprueben periódicamente para garantizar que seguirán funcionando correctamente cuando la situación empeore.
Las capacidades de ciberseguridad se deben probar y actualizar constantemente para contrarrestar las ciberamenazas en constante evolución. La ciberseguridad es una disciplina viva que requiere pruebas y actualizaciones continuas en su búsqueda incesante para proteger datos sensibles y activos digitales. Para las instituciones financieras, el imperativo recae en establecer un plan de inversión permanente y fomentar una auténtica agilidad para mantener sistemas de ciberseguridad de vanguardia que protejan contra los programas maliciosos más recientes y sofisticados.
4 - Notificar y compartir incidentes (Pilar 2 y 4)
Finalmente, DORA, al igual que el Reglamento General de Protección de Datos establecido hace unos años, impone una nueva obligación para los participantes del sector financiero: mantener un registro integral de incidentes que sirve como una vía de auditoría fiable en el caso del control reglamentario. Pero no solo eso, en caso de un incidente mayor, este registro servirá como evidencia de las acciones preventivas que se implementaron de manera proactiva para garantizar la resistencia del sistema de información y sobre todo la resiliencia operativa.
Al mismo tiempo, los incidentes mayores deben de reportarse a las autoridades supervisoras. Más allá de la identificación de la propagación de riesgos potenciales, el principal objetivo es crear una base de conocimiento de ciberataques, actos maliciosos y amenazas. Así, esta base de conocimiento se puede compartir con los participantes de la industria para identificar las mejores prácticas que pueden llevarse a cabo para limitar el impacto de este tipo de amenazas.
Este intercambio de conocimientos claro y fácil de entender también se aplica internamente, al establecer un marco de comunicación que todos los empleados puedan entender. Es importante reconocer que la resiliencia operativa es un problema de todos. Esto es válido para las principales partes interesadas como la dirección ejecutiva, el departamento de riesgos (que generalmente está unido con el departamento de continuidad de negocios), los sistemas de información o departamento de seguridad de sistemas de información y el departamento de compras.
Aunque la resiliencia operativa y la ciberseguridad siguen siendo eminentemente técnicas en el fondo, las consecuencias de un incidente se extienden más allá de los confines de la empresa, debido al posible efecto dominó. La resiliencia de los sistemas de información y toda la resiliencia operativa han emergido como preocupaciones altamente estratégicas que ahora se cuelan en los debates del comité ejecutivo, y más aún cuando, a pesar de la naturaleza técnica del tema, los ejecutivos pueden ser considerados penalmente responsables. Así que, más vale prevenir que lamentar y prepararse para la fecha límite de enero de 2025.