.
Aproximadamente hace 2 años, la UE lanzó un reglamento para regular la forma en que las empresas del sector financiero gestionan su riesgo digital. Es el Reglamento de Resiliencia Operativa Digital, también conocido por el nombre de DORA, que se espera se convierta en ley en cada Estado de la UE a finales de este año.
DORA nace
DORA nace como respuesta al gran impulso sufrido por la Banca Digital en la pandemia y la proliferación de diferentes servicios digitales en el mercado financiero.
Todo esto, sumado a la aplicación de la normativa PSD2 que, entre otras cosas, igualó las condiciones en el mercado financiero a los nuevos agentes que ofrecen servicios de tipo financiero a sus clientes a través de API.
La influencia de la transformación digital
Para poder responder al impulso de la demanda de este tipo de servicios, las empresas han tenido que incluir en su operativa solución tecnológicas como plataformas digitales que facilitan la computación en la nube, diferentes aplicativos tipo SaaS y otras aplicaciones online.
Todo este impulso en la transformación digital del sector ha provocado concentración de riesgos que preocupan a la UE, debido a la densidad de proveedores y el efecto que provocaría si alguno sufriera un problema importante.
El objetivo de DORA es consolidar y mejorar los posibles riesgos de TIC y mitigar los posibles efectos, permitiendo determinar las mejores prácticas para garantizar un sector más resistente a los ciberataques y notificación del incidente según unas tipologías
El reglamento DORA
DORA considera y actualiza los requisitos de riesgo de las tecnologías de la información y la comunicación en todo el sector financiero de la UE de forma homogénea, para que sea capaz de mantener operaciones resilientes en caso de una grave interrupción operativa y recuperarse de ellas.
La Agencia de Ciberseguridad de la Unión Europea (ENISA) está desarrollando un proceso de certificación de ciberseguridad relativo a las condiciones del mercado interior de la UE para los servicios cloud, mejorando y simplificando sus garantías de ciberseguridad.
La propuesta de reglamento DORA señala que las entidades financieras identificarán todas las cuentas de sus sistemas TIC, los recursos de red y los equipos de hardware, y mapearán los equipos físicos considerados críticos.
Además, las organizaciones financieras de la UE deberán seguir un enfoque basado en el riesgo para establecer una sólida gestión de la red y la infraestructura y utilizar mecanismos automatizados para aislar los activos de información afectados en caso de ciberataques.
Se exigirá a las organizaciones europeas de servicios financieros que diseñen la infraestructura de conexión a la red de forma que permita su corte instantáneo, y deberán garantizar su compartimentación y segmentación, con el fin de minimizar y prevenir el contagio, especialmente en el caso de los procesos financieros interconectados.
DORA se aplicará a una amplia gama de organizaciones de servicios financieros, como, por ejemplo:
- Entidades de crédito
- Pago o dinero electrónico
- Empresas de inversión
- Proveedores de servicios o emisores de criptoactivos,
- Empresas de seguros y reaseguros intermediarios de seguros,
- Auditores legales y empresas de auditoría, entre otras.
Además de la gestión uniforme de los riesgos de las TIC, las organizaciones de servicios financieros de Europa deberán informar a las autoridades competentes de todos los incidentes importantes relacionados con las TIC.
Por todo ello, es probable que la ley impactará en las organizaciones proveedoras de empresas de servicios financieros. Además, en caso de incidente de ciberseguridad, serán los proveedores los que deban prestar asistencia a las organizaciones sin coste adicional
¿En qué aspectos pone el foco DORA?
En que las empresas dispongan de:
- Una completa especificación de la política de la seguridad (confidencialidad, integridad y disponibilidad) incluyendo redundancia y pruebas de restauración de servicios ante incidencias.
- Enfoque orientado a la gestión del riesgo TIC.
- Con fomento de la autenticación fuerte y protección con cifrado de la información.
- Dispongan de una clara y efectiva política de gestión de cambios y parches.
- Y no perder de vista el riesgo aportado por terceros.
- Mecanismo de notificación de los incidentes relacionados con las TIC. Incluye la gestión, la clasificación y la comunicación a las autoridades para reforzar la eficacia de la supervisión.
- Además, prevé un mecanismo similar al ya identificado en España en el RD 43/21 de Ciberseguridad).
Además, para asegurar su cumplimiento, se especificarán sanciones y medidas, incluso penales, que deberán ser eficaces, proporcionadas y disuasorias. El incumplimiento de la normativa DORA conllevara el pago de importantes multas que pueden llegar a ser al 1% negocio diario medio a nivel mundial del proveedor de servicios críticos de TIC en el año comercial anterior
La propuesta además incluye un mecanismo coherente de notificación de incidentes, que incluye la gestión, la clasificación y la comunicación a las autoridades.
La aplicación de DORA implicará disponer de:
- Marco de gestión del riesgo (propio y de terceras partes) para hacer frente al mismo y alcanzar objetivos específicos.
- Proceso de gestión, clasificación y notificación de incidentes.
- Programa de resiliencia operativa digital que tenga como fin detectar debilidades, deficiencias o carencias de la seguridad de sus redes y sus sistemas de información.
- Procedimiento para la realización de pruebas de penetración guiadas por amenazas que abarque las funciones y servicios esenciales.
- Sistema que despliegue herramientas, políticas y procedimientos de seguridad TIC adecuados para el control de los servicios y herramientas que se utilicen.
- Política de continuidad de las actividades y un plan de recuperación en caso de catástrofe y su comunicación en caso de crisis.
- Sistema que permita el aprendizaje y evaluación de las vulnerabilidades, incidentes y ciberataques que se hayan detectado/producido.
Una guía para la industria
Muchas empresas del sector no han estado previamente sujetos a las regulaciones de las TIC que están dentro del ámbito de DORA.
Por ello, es previsible que las organizaciones de servicios financieros bajo su ámbito adopten esta ley como una guía para su industria.
Esto afecta más específicamente en lo que respecta a la ciberseguridad y la resiliencia.
Aunque será un reglamento de la UE, sus efectos también apicararán mucho más allá de las fronteras europeas. Afectará a empresas e industrias a escala mundial, de forma similar al Reglamento General de Protección de Datos (RGPD).
Como ya se ha mencionado, DORA establece que algunos de los proveedores TIC serán designados como críticos. Aquí es donde radica una de las principales novedades en el establecimiento de un marco especifico de supervisión para ellos.
Estos proveedores considerados como críticos serán supervisados por la UE, respondiendo a la petición de información, documentación cuando sea necesaria.
En Mr. Houston somos conscientes de estas situaciones y de los riesgos que suponen. En definitiva, es una oportunidad para acelerar la digitalización de los servicios financieros con garantías de seguridad y resiliencia para sus sistemas.
Por otro lado, sería conveniente ir conociendo como nos puede afectar la aplicación de DORA en nuestras organizaciones.
Síguenos en Twitter y LinkedIn, donde estamos publicando tips para que estos días podamos trabajar de manera segura desde casa, y suscríbete a nuestro blog para seguir al día en cuanto a la actualidad tecnológica.