La Ley de Resiliencia Operativa Digital (DORA, por sus siglas en inglés), que está preparando la Unión Europea (UE), es un parteaguas en la regulación en torno a la ciberseguridad, con el objetivo de prevenir los ciberataques y establecer la estrategia para recuperarse de ellos de manera rápida y efectiva.
DORA es relativamente reciente. En noviembre de 2022 se adoptó como parte de la estrategia Finanzas Digitales 2020 de esa región, cuya meta es convertir a Europa en un solo mercado digital para los servicios financieros. De alguna manera, busca mejorar la resiliencia del sector financiero ante las disrupciones operativas, como son los ciberataques.
Para ello, las instituciones financieras tendrían que cumplir con diversas obligaciones con las que se busca garantizar que sus líneas de negocio sean resilientes, operativamente hablando, ante los efectos adversos que pudieran detener la prestación de servicios.
Asimismo, DORA establecería obligaciones específicas a proveedores de servicios de tecnología de la información y comunicaciones (TIC) que son considerados críticos, y que estarían bajo el ámbito de esta nueva regulación. Se suma también a las entidades financieras, incluyendo bancos, proveedores de cripto monedas y de reporte de datos, así como proveedores de servicios de nube, quienes deben contar con prácticas robustas y efectivas de gestión, mitigación y prevención de los riesgos que las ciberamenazas plantean, además de fallas de sistemas y otros eventos de alto impacto.
Los pilares de la resiliencia
Para establecer un marco de resiliencia digital integral para las organizaciones financieras, DORA se fundamenta en cinco pilares que abarcan áreas relacionadas con las TIC y la ciberseguridad. A continuación, un breve resumen de cada una.
- Gestión de Riesgos TIC
En este primer pilar se contempla que las empresas hagan actualizaciones en su gobierno de gestión de riesgos tecnológicos. Para ello, es necesario que identifiquen las funciones empresariales críticas, los riesgos y los activos de los proveedores de tecnología y de servicios de datos que los ejecutan.
- Gestión, clasificación y reporte de incidentes
Los jugadores del mercado financiero y los proveedores de infraestructura deberán contar con sistemas de detección y gestión de incidentes eficientes para notificar a los reguladores sobre las principales interrupciones operativas.
- Pruebas de resiliencia
Las empresas deben realizar pruebas/simulaciones de escenarios exhaustivas que se centren en tests técnicos y abarquen una amplia gama de procedimientos, evaluaciones y pruebas.
- Gestión de Riesgos de Terceros
Los riesgos deben ser monitoreados por las instituciones financieras, en tanto que los requisitos regulatorios deben cubrir los aspectos de la relación con terceros que son vitales para un monitoreo exhaustivo.
- Intercambio de información
La resiliencia de las instituciones financieras mejoraría compartiendo información sobre ciberamenazas, como signos de compromiso, tácticas, técnicas y procedimientos (TTP), así como alertas de ciberseguridad.
Los principales retos
Una regulación con el alcance que se busca para DORA se enfrenta a desafíos importantes en su implementación. Por un lado, se requiere diseñar una arquitectura que contribuya a su cumplimiento. En este sentido, las instituciones deben estructurar una estrategia de resiliencia operativa digital que cumpla con dicha regulación. Por tanto, el plan debe contemplar los riesgos relacionados con las TIC, y los objetivos internos y externos.
Asimismo, las organizaciones deberán clasificar, reportar y responder a las amenazas y eventos de seguridad que registren. Si bien se requiere solamente reportar los incidentes de importancia al regulador de cada país, debe hacerse en tiempos perfectamente establecidos e inalterables.
Por otro lado, las organizaciones deben asegurarse de que su estrategia de pruebas cubra adecuadamente todas sus operaciones cruciales. Esto es relevante debido a que un gran número de vulnerabilidades van dirigidas a sistemas de gestión de redes deficientes. De ahí que realizar pruebas regulares permite abordar los riesgos, incluyendo el análisis de vulnerabilidades, las evaluaciones de redes y las pruebas de penetración.
Finalmente, el enfoque que DORA pone en los proveedores de TIC es un reflejo de la creciente dependencia del ecosistema de proveedores externos y del riesgo que conllevan. Por tanto, para garantizar que los contratos y la gestión de riesgo se apegue a los principios de DORA, las organizaciones deben monitorear regularmente a sus proveedores para evitar repercusiones financieras graves.
Perspectiva a futuro
La regulación tendrá gran influencia en las firmas financieras en sus tratos con proveedores de tecnología TIC. Si bien las disposiciones contractuales son claras en términos de los requerimientos básicos, se debe considerar disposiciones adicionales, así como obligaciones de asistencia más generales para permitir que las empresas financieras cumplan con todos los requisitos de la regulación.
En consecuencia, habrá un mayor nivel de escrutinio y comunicación con ellos. Así, cada empresa deberá analizar a detalle todas las implicaciones de la regulación de acuerdo con su propio perfil de riesgo.
Por ahora, una preocupación para las instituciones financieras es el requisito de un marco integral de gestión de riesgos. Si bien el marco puede adoptarse gradualmente, las organizaciones del sector deberán pasar por un escrutinio detallado de sus planes de resiliencia operativa y las funciones económicas críticas identificadas como parte de esa planificación.
Sin duda, se requerirá para esto una cantidad importante de recursos y comprender el rol relevante de la innovación y la ciber tecnología en el sector financiero actual.
Se prevé que la regulación entre en vigor a principios de 2025, por lo que hay tiempo para prepararse, pero vale aclarar que, además de los procesos de gobierno que se desarrollarán o revisarán, muchos contratos que se están negociando actualmente se extenderán al menos hasta ese año y, por lo tanto, las disposiciones deben considerarse lo antes posible.
