DORA, una gran oportunidad para garantizar la resiliencia digital en el sector financiero

Recomendados.... Hacia la mejor estrategia de datos mediante la gestión, la analítica y la IA. Leer Cómo combatir amenazas desconocidas con tecnologías Cisco. Disponible Industria y energía, sectores punteros también en digitalización Registro

La importancia y el peso de sectores tan estratégicos en la economía global como es el financiero es indudable. La paralización de sus actividades por cualquier circunstancia podría suponer graves consecuencias, no solo para ellos mismos, sino para otras muchas organizaciones tanto públicas como privadas, que dependen directa o indirectamente de ellos. Estas fueron algunas de las razones para la aprobación, en diciembre de 2022, del Digital Operational Resilience Act, Reglamento DORA, cuyo propósito es garantizar la resiliencia operativa digital, y cuya plena aplicación será exigible el 17 de enero de 2025.

A seis meses de su plena aplicación, la jornada ‘Cuenta atrás para el Reglamento DORA: cómo ayudar a las entidades a estar preparadas’ reunió en Izertis a un grupo de expertos que analizaron la hoja de ruta de la implantación y las claves para garantizar su eficiencia. Abrió el evento el director de Ciberseguridad y Defensa de Izertis, Joaquín Castellón, que fue el encargado de recordar que DORA “puede aplicar tanto a grandes entidades que operan a nivel mundial, como a pequeñas y medianas empresas del sector financiero” y que, por tanto, existen “muchas percepciones de cómo afrontar este reto”.

Desde el Instituto de Ciberseguridad de España (Incibe), el responsable del sector estratégico financiero y TIC, Juan Peláez, apuntó que la regulación europea “ayuda a las entidades financieras a poder gestionar todas las amenazas o riesgos que encuentran en el ciberespacio”. Y lo hacen, añadió, a través de varios instrumentos como son la gestión de ese riesgo, la notificación de incidentes, también menos graves, obligada a realizar pruebas de ciberresilencia, los acuerdos de intercambio de ciberamenazas o la monitorización de la cadena de suministros.

Oportunidades y retos

Fue Javier Piqueres, experto en Tecnologías de la Información para el Banco de España y miembro del grupo español para la regulación de DORA, el encargado de ofrecer la clave de la jornada: “DORA es una gran oportunidad para el sector, no un ejercicio de cumplimiento porque conlleva hacer al sector financiero más resiliente en su conjunto”. En su repaso a las líneas generales del reglamento, el experto ahondó tanto en la gestión del riesgo relacionado con las TIC (gobernanza) como en la notificación y clasificación de incidentes, pasando por la pruebas de resiliencia operativa digital (básicas y avanzadas), la gestión de riesgos tecnológicos derivados de terceros y los acuerdos de intercambio de información.

El Reglamento, por tanto, exigirá disponer de un análisis de riesgos que será la base central de la estrategia de seguridad y resiliencia, acompañado de una serie de procedimientos documentados a implementar y cumplir en toda la organización.

Respecto a la implementación, hizo hincapié en la opción nacional sobre el doble reporte de incidentes a la NCA y al CSIRT, el escaso margen temporal para desarrollar los procedimientos de notificación de incidentes, las incertidumbres respecto al formato final de los registros de terceros y los mecanismos de recogida, la obligatoriedad de las entidades y las propias estructuras de gobierno.

El cierre de la jornada corrió a cargo de Laura Burillo, responsable de Normativa de Ciberseguridad de Izertis, y de María Vidal, socia de Protección de Datos y Nuevas Tecnologías de FinReg360. Ellas fueron las encargadas de dar las claves de DORA e insistir en que el reglamento europeo busca fortalecer la ciberseguridad y la resiliencia del sector financiero. Busca, apuntaron, que las organizaciones implementen un Sistema de Gestión de Seguridad de la Información (SGSI), ya que está inspirada en diferentes normas de seguridad de la información como la ISO 27001 y la ISO 22301, entre otras. Es decir, el objetivo principal es incorporar seguridad a los procesos y la operativa del negocio.

Entidades de crédito, compañías de seguros, entidades de pago, entidades de dinero electrónico, gestoras, fondos de pensiones, agencias de calificación crediticia… o lo que es lo mismo, la gran mayoría de organizaciones del sector financiero, además de sus proveedores, deben cumplir con la regulación.