¿Qué es la DORA y por qué plantea desafíos a las entidades de servicios financieros?
La Ley de Resiliencia Operativa Digital (DORA), aprobada por el Consejo de la Presidencia de la UE y el Parlamento Europeo, con el objetivo de mejorar la ciberseguridad de las entidades financieras en Europa, finalmente se convirtió en Ley en cada uno de los estados miembros de la UE a finales de 2022. Ahora que la DORA ha sido adoptada por el Consejo de la UE, se exigirá a las empresas financieras que garanticen que pueden resistir, responder y recuperarse de todo tipo de disrupciones y amenazas a sus tecnologías de la información y las comunicaciones (TIC), con el objetivo último de prevenir y mitigar las ciberamenazas. El Reglamento adoptará un enfoque diferenciado para la regulación de las PYMES y microempresas, así como a las entidades interconectadas.
Las Autoridades Europeas de Supervisión (AES) -a saber, la Autoridad Bancaria Europea (ABE), la Autoridad Europea de Valores y Mercados (AEVM) y la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ)- elaborarán las “normas técnicas que deberán cumplir todas las entidades de servicios financieros”. Asimismo, se exigirá a los proveedores de servicios TIC críticos de terceros -principalmente proveedores de servicios en la nube a entidades financieras de la UE- que establezcan una filial en la UE para su adecuada supervisión, y los auditores participarán en las futuras revisiones de la normativa.
La nueva ley obligará a las empresas de servicios financieros de la UE a poner a prueba su resiliencia, que consiste básicamente en gestionar los riesgos y utilizar el marco de gobernanza del riesgo para asegurarse de que sus organizaciones cumplen las exigencias de la DORA. El ransomware sigue extendiéndose inexorablemente, una circunstancia que preocupa a todas las organizaciones, no sólo a las financieras. Tradicionalmente, la estrategia de la industria de servicios financieros ha girado únicamente en torno a la protección y la detección, considerando prácticamente como único objetivo la eliminación de cualquier riesgo. Una aproximación poco realista dada la naturaleza del ciberriesgo actual. Los CISO de los servicios financieros deben comprender la rápida evolución del panorama de amenazas y centrar sus esfuerzos en la resiliencia. Esto implica pasar de una estrategia que trata de evitar todos los riesgos a ser capaz de recuperarse rápidamente tras un ataque. Otra cuestión a tener en cuenta es la tendencia hacia las finanzas integradas, es decir, el proceso de integrar todos los servicios financieros en un solo lugar. Este proceso contempla la integración de las soluciones financieras en la infraestructura de la empresa, agilizando el acceso a servicios financieros como préstamos, seguros o procesamiento de pagos sin redirigir a los clientes a espacios de terceros.
La omnipresencia de las finanzas también es un riesgo para las organizaciones. Así, las finanzas integradas, en las que organizaciones no tradicionales utilizan productos financieros para vender “ahora y pagar después”. Una buena estrategia para aumentar las ventas, pero lógicamente también el riesgo.
En este contexto, los CISO de servicios financieros deberían prestar especial atención a cómo asegurar la robustez de sus políticas de protección de datos y ciberseguridad, incluyendo medidas para prevenir las brechas de datos y los accesos no autorizados a información sensible. Asimismo, deben monitorizar los riesgos potenciales relativos al mal uso o abuso de datos, particularmente en aquellos casos en los que la organización esté trabajando con partners no financieros que pueden no tener el mismo nivel de expertise en servicios financieros.
Otra área de fricción se produce ante los potenciales conflictos de interés que pueden surgir al integrar productos y servicios financieros dentro de productos o plataformas no financieras, ya que se debe asegurar que la organización es transparente en cuanto a términos y condiciones al cliente de estos productos y servicios. Para ello es recomendable aliarse con empresas especializadas o consultar a expertos en la materia para asegurarse de que la organización dispone de los conocimientos y recursos necesarios para gestionar eficazmente los riesgos de ciberseguridad y privacidad inherentes a las finanzas integradas.
Una de las principales recomendaciones para las entidades de servicios financieros es impulsar un registro de riesgos que les ayudará a controlar diversos parámetros. En primer lugar, les proporcionará una visión clara y completa de los riesgos a los que se enfrenta la organización, así como su impacto y probabilidad. Se trata de una política que puede ayudar a la organización a tomar decisiones informadas sobre cómo gestionar estos riesgos y priorizar sus esfuerzos ya que las entidades financieras tendrán que priorizar las inversiones y disponer de un registro de riesgos que ayudará a sus CISO a tomar mejores decisiones en materia de riesgos.
Asimismo, este registro contribuirá a mejorar el cumplimiento de la normativa al garantizarnos que disponemos de una imagen completa y precisa de sus riesgos y de las medidas que se están adoptando para hacerles frente. Un enfoque que enlaza con la necesidad de utilizar la automatización para ahorrar costes. Las entidades ya están analizando cómo cumplir con la normativa para poder automatizar una de las áreas más tediosas y poco rentables de la organización.
Por último, un registro de riesgos permite identificar tendencias y patrones en los riesgos a lo largo del tiempo, de tal manera que puedan anticiparse y prepararse para riesgos futuros. De esta manera, se prima la proactividad en los esfuerzos de gestión de riesgos y se reduce la probabilidad de eventos o incidentes inesperados. Por todo ello, un registro de riesgos puede ser una herramienta valiosa para las organizaciones de servicios financieros para cumplir con la DORA, ya que sin duda facilita y mejora la eficacia en la gestión de los riesgos. Al margen de ello, la nueva normativa hace necesario que las organizaciones de servicios financieros implementen procesos y tecnologías que apoyen la colaboración y la mejora continua y estén dispuestas a invertir en formación y desarrollo para garantizar que sus equipos dispongan de las habilidades y los conocimientos requeridos para operar de acuerdo con la regulación.