En la actualidad, el sector financiero enfrenta una compleja paradoja: mientras la digitalización abre puertas a innovaciones y eficiencias sin precedentes, también intensifica la amenaza de riesgos y vulnerabilidades digitales. Esta dualidad ha llevado a la Unión Europea a tomar medidas significativas para proteger su sistema financiero, culminando en la aprobación del Reglamento sobre la Resiliencia Operativa Digital del Sector Financiero (DORA). Este reglamento, oficialmente aprobado en Bruselas el 24 de septiembre de 2020 y con entrada en vigor el pasado 16 de enero de 2023, está destinado a establecer un entorno más seguro, resiliente y de confianza para entidades financieras y sus consumidores.
DORA subraya la necesidad de fortalecer las defensas contra incidentes cibernéticos, asegurar la continuidad operativa y proteger la integridad del sector financiero en el dinámico entorno digital actual. Esto implica que las entidades financieras deben adoptar un enfoque proactivo y holístico para la gestión de riesgos TIC, estar preparados para responder y recuperarse de incidentes cibernéticos y colaborar estrechamente con las autoridades reguladoras y supervisores para asegurar un monitoreo efectivo y una transparencia completa.
El camino hacia el cumplimiento con DORA es desafiante. Las entidades financieras deben navegar a través de complejidades técnicas, operativas y regulatorias para alinear sus prácticas con las exigencias de este reglamento. Pero más allá del cumplimiento, DORA representa una oportunidad estratégica para que el sector financiero refuerce su infraestructura digital, mejore su gestión de riesgos y en última instancia, fortalezca la confianza de consumidores y empresas en los servicios financieros digitales. En este artículo exploraremos los desafíos que las entidades financieras enfrentan al cumplir con DORA y cómo superarlos no sólo garantizando la conformidad regulatoria, sino también preparando el terreno para un futuro financiero digital más seguro y resiliente en Europa.
Principales desafíos
- Integración de la Gestión de Riesgos TIC: El primer desafío que encontramos es la implementación de prácticas de gestión de riesgos TIC en sistemas establecidos. Muchas entidades financieras operan en infraestructuras tecnológicas que no se diseñaron inicialmente para cumplir con normativas tan exigentes como DORA. La incorporación de nuevos procesos y herramientas puede requerir modificaciones en los sistemas existentes, lo que lleva tiempo, recursos y a menudo, enfrentamientos con soluciones legadas resistentes a la integración. Además, la resistencia al cambio en el ámbito organizacional complica aún más esta tarea. La transición hacia una cultura que prioriza la resiliencia operativa digital puede verse obstaculizada por prácticas arraigadas y la reticencia de los empleados a adaptarse a nuevos procedimientos y responsabilidades.
- Adaptación a las Regulaciones y Legislaciones Cambiantes: Mantenerse al día con la constante evolución de las normativas es otra fuente de dificultad. La legislación sobre ciberseguridad y protección de datos está en constante desarrollo, lo que exige a las entidades una vigilancia y adaptabilidad continua. Esta necesidad se complica aún más por la disparidad en la implementación de estas regulaciones en los diferentes estados miembros de la UE, creando un entorno regulatorio fragmentado y complejo de navegar. Un ejemplo es la introducción del Reglamento General de Protección de Datos (RGPD) en la Unión Europea en mayo de 2018. Una entidad financiera multinacional con operaciones en varios estados miembros de la UE tiene que enfrentarse no solo a la comprensión y aplicación de este reglamento en su estructura operativa, sino también a las diferentes interpretaciones y aplicaciones del mismo en los distintos países en los que opera.
- Tecnologías Emergentes y su Incorporación Segura: La integración segura de tecnologías emergentes representa un desafío adicional, dado el rápido avance de la ciberseguridad y la protección de datos. Las entidades financieras deben equilibrar la adopción de innovaciones, como la inteligencia artificial y la tecnología blockchain, con el cumplimiento estricto de las normativas de seguridad y privacidad, garantizando que estas nuevas soluciones no introduzcan vulnerabilidades inadvertidas en sus sistemas. Aunque la tecnología blockchain es alabada por su seguridad y transparencia, la implementación no exenta de fallas en la configuración o en los contratos inteligentes puede ser explotada por actores maliciosos. Por ejemplo, una vulnerabilidad en un contrato inteligente podría permitir a un atacante el robo de activos digitales o la alteración de registros, comprometiendo la integridad de las transacciones financieras realizadas por la entidad.
- Manejo de la Dependencia de Terceros Proveedores de Servicios TIC: Finalmente, la gestión de riesgos asociados a esa maraña que se crea con los proveedores de servicios TIC, especialmente en un ecosistema donde los servicios esenciales son frecuentemente subcontratados. Esta dependencia plantea desafíos únicos en términos de garantizar que todos los socios y proveedores cumplan con las mismas normas rigurosas de seguridad y resiliencia operativa digital impuestas por DORA.
Superar estos desafíos requiere un enfoque multifacético, que involucre la adopción de tecnologías avanzadas, la transformación cultural hacia la resiliencia digital y la colaboración estrecha tanto dentro de las organizaciones como con socios externos y reguladores. La complejidad de cumplir con DORA es considerable, pero con la estrategia adecuada, las entidades financieras pueden no sólo cumplir con los requisitos regulatorios sino también fortalecer su capacidad para operar de manera segura y eficiente en el actual entorno digital volátil.
Puntos A tener en cuenta para lograr la conformidad con DORA
Para que una entidad financiera logre su conformidad con DORA (Reglamento de la UE sobre la resiliencia operativa digital del sector financiero), debe tener en cuenta varias variables críticas que abarcan tanto aspectos operativos como de gestión de riesgos asociados a las tecnologías de la información y comunicaciones (TIC). Estas variables incluyen:
- Gestión de Riesgos TIC: Incluye la identificación, clasificación y gestión proactiva de los riesgos TIC. Las entidades deben tener en cuenta la importancia de implementar marcos detallados de gestión de riesgos que les permitan identificar y atender eficazmente los riesgos asociados a sus sistemas TIC. Por lo tanto, la inversión en un análisis de riesgo detallado no es solo una exigencia reglamentaria, es una estrategia prudente para la supervivencia y el éxito para la conformidad regulatoria de DORA.
- Incidentes Cibernéticos: Debe haber una estrategia clara para la gestión y reporte de incidentes cibernéticos. Esto incluye la capacidad de detectar, responder y recuperarse de incidentes, así como la obligación de reportarlos a las autoridades competentes dentro de los plazos establecidos. Vale destacar que estos aspectos son también contemplados y tratados por la normativa ISO 27001, estableciendo un marco de referencia global para la gestión de la seguridad de la información.
- Relaciones con Terceros Proveedores de Servicios TIC: Las entidades deben evaluar y gestionar cuidadosamente los riesgos derivados de la dependencia de terceros proveedores de servicios TIC, incluyendo medidas de supervisión y cumplimiento de estándares de seguridad.
- Pruebas de Resiliencia: Las pruebas de resiliencia, como las pruebas de penetración y de escenarios de crisis, son esenciales para evaluar la capacidad de las entidades financieras de resistir y recuperarse de eventos adversos relacionados con sus sistemas TIC. Es importante señalar que realizar pruebas de resiliencia se refleja igualmente en la normativa ISO 27001, la cual establece directrices para asegurar la seguridad de la información mediante la identificación de vulnerabilidades y la mejora continua de los sistemas de gestión de seguridad de la información.
- Conciencia y Formación en Resiliencia Operativa Digital: Las entidades deben promover la conciencia y la formación sobre resiliencia operativa digital entre su personal para asegurar que los riesgos TIC sean comprendidos y gestionados adecuadamente en todos los niveles de la organización.
- Gobernanza y Marco de Políticas: Es fundamental establecer un marco de gobernanza sólido que incluya políticas claras, roles y responsabilidades bien definidas y una comunicación efectiva sobre la gestión de la resiliencia operativa digital. Además, puede resultar de gran utilidad organizar simulacros de incidentes de forma periódica para evaluar y mejorar continuamente el marco de gobernanza.
- Supervisión por Parte de Autoridades Competentes: La conformidad con DORA también involucra la supervisión reguladora y el cumplimiento de las directrices establecidas por las autoridades competentes, lo que puede incluir evaluaciones periódicas y la implementación de medidas correctivas recomendadas.
Plazos que cumplir para la conformidad con DORA
La documentación sobre DORA especifica que las entidades financieras deben cumplir con plazos precisos para la gestión y notificación de incidentes cibernéticos. Aunque el reglamento no provee explícitamente cada uno de estos plazos, generalmente se espera que las entidades financieras:
- Reporten los incidentes cibernéticos graves a las autoridades competentes tan pronto como sea posible, idealmente dentro de las primeras 24 horas después de haber identificado el incidente. Esto es crucial para una respuesta y gestión eficaz del incidente a nivel sectorial e incluso nacional si fuera necesario.
- Proporcionen informes de seguimiento con información actualizada sobre la evolución del incidente, las medidas tomadas para mitigarlo y los resultados de dichas acciones. Los plazos para estos informes de seguimiento después del informe inicial, suelen ser 72 horas o semanalmente hasta que el incidente sea resuelto.
- Realicen un análisis post-incidente para identificar las lecciones aprendidas y las medidas a tomar para evitar la repetición del incidente. Este análisis debe ser realizado en un plazo razonable después de la resolución del incidente, con la expectativa de que se comparta con las autoridades competentes y se implementen mejoras basadas en las lecciones aprendidas.
Es importante subrayar que los plazos específicos y requisitos detallados pueden variar dependiendo del marco regulatorio de cada estado miembro de la UE y de las directrices proporcionadas por las autoridades supervisoras financieras pertinentes. Además, los plazos y procedimientos específicos pueden ser ajustados según la gravedad, el impacto, y la naturaleza del incidente cibernético. Las entidades financieras deben consultar con sus autoridades reguladoras locales y supervisores para asegurarse de que están cumpliendo con todas las exigencias pertinentes en materia de notificación de incidentes cibernéticos bajo DORA.
Soluciones pragmáticas
En el entorno regulativo complejo establecido por DORA, las entidades financieras enfrentan el reto de reforzar su resiliencia operativa digital mientras mantienen la conformidad. Sin embargo, se pueden superar estos obstáculos implementando soluciones estratégicas y pragmáticas que abarcan desde la adopción de marcos de gestión de riesgos hasta el aprovechamiento de las últimas tecnologías.
Adopción de Marcos Integrales de Gestión de Riesgos
Una de las piedras angulares para alinear las operaciones financieras con DORA es el desarrollo e implementación de marcos integrales de gestión de riesgos TIC. Esto implica adoptar normativas globales y mejores prácticas que permitan identificar, evaluar y mitigar riesgos de manera eficiente. Este proceso comienza con la comprensión del entorno TIC propio de la entidad, seguido de la identificación y evaluación sistemática de los riesgos asociados.
Uso de Tecnologías Avanzadas
La integración de tecnologías y procedimientos avanzados, como DevOps y estrategias de ciberseguridad, es crucial para fortalecer la resiliencia digital en el sector financiero. DevOps fomenta la agilidad y eficiencia, permitiendo una respuesta rápida a los cambios y una integración continua de medidas de seguridad, mientras que las estrategias de ciberseguridad se ocupan de identificar y contrarrestar amenazas emergentes. Sin embargo, para garantizar la efectividad de estas medidas, es esencial realizar pruebas exhaustivas del entorno operativo. Entre las pruebas que pueden resultar más efectivas en este contexto, destacamos:
La implementación de estas pruebas, combinadas con procedimientos DevOps y estrategias avanzadas de ciberseguridad, no solo permitirán cumplir con los requisitos de DORA, sino que también asegurarán que las entidades financieras mantengan una postura de seguridad sólida y dinámica frente a las amenazas en constante evolución en el ámbito digital.
Estrategias de Colaboración
La colaboración entre bancos, fintechs y reguladores es vital para establecer un entorno financiero seguro y resiliente. Establecer foros de cooperación y compartir información sobre amenazas y vulnerabilidades puede mejorar significativamente la capacidad del sector para responder a incidentes cibernéticos. Además, la colaboración entre las entidades financieras y los proveedores de tecnología fintech puede acelerar la adopción de soluciones innovadoras que fortalezcan la resiliencia operativa frente a las amenazas digitales.
La inclusión de FinOps[1] en el contexto de las estrategias de colaboración entre bancos, fintechs y reguladores puede agregar un valor considerable al esfuerzo conjunto de establecer un entorno financiero seguro y resiliente. Al abordar directamente la gestión y optimización de costos en la infraestructura de la nube, FinOps puede desempeñar un papel crucial al maximizar la eficiencia y efectividad de las inversiones en tecnologías digitales que respaldan la resiliencia operativa y la seguridad.
[1] FinOps es una práctica de gestión financiera centrada en la nube que tiene como objetivo alinear el gasto en la nube con los objetivos empresariales. Combina sistemas, mejores prácticas y cultura para ayudar a las organizaciones a entender mejor sus costos de nube y a maximizar el valor de sus inversiones en la nube.
Formación Continua y Conciencia
Por último, es fundamental promover una sólida cultura de seguridad cibernética entre los empleados a todos los niveles. Esto se puede lograr a través de programas de formación continua y campañas de concienciación que eduquen sobre las mejores prácticas en seguridad cibernética y el manejo adecuado de los riesgos TIC. Equipar al personal con el conocimiento y las herramientas necesarias para identificar y responder a posibles amenazas es crucial para construir una defensa organizacional eficaz contra los riesgos cibernéticos.
Conclusión
En conclusión, el camino hacia la conformidad con DORA presenta desafíos multifacéticos para el sector financiero, destacando la integración de la gestión de riesgos TIC, la adaptación a regulaciones cambiantes, la incorporación de tecnologías avanzadas y la gestión de dependencias de terceros. Sin embargo, mediante la adopción de marcos integrales de gestión de riesgos, la implementación de tecnologías en la nube, la adopción de prácticas DevOps, estrategias de ciberseguridad y pruebas exhaustivas del entorno, las entidades pueden superar estos obstáculos eficazmente.
DORA no sólo plantea requisitos regulatorios; ofrece una oportunidad trascendental para que el sector financiero fortalezca su resiliencia operativa digital. A través de sus directrices, DORA impulsa la innovación, promueve un ecosistema más seguro y fomenta una cultura de seguridad que es vital en el actual entorno digital. En última instancia, el valor añadido de DORA radica en su capacidad para preparar al sector financiero europeo para enfrentar desafíos actuales y futuros, garantizando la estabilidad, la seguridad y la confianza en este paisaje digital en constante evolución.