DORA, una gran oportunidad para garantizar la resiliencia operativa digital en el sector financiero

La importancia y el peso de sectores tan estratégicos en la economía global como es el financiero es indudable. La paralización de sus actividades por cualquier circunstancia podría suponer graves consecuencias, no solo para ellos mismos, sino para otras muchas organizaciones tanto públicas como privadas, que dependen directa o indirectamente de ellos. Unas consecuencias que, además de afectar a pequeños inversores, podrían llegar a paralizar o frustrar enormes operaciones comerciales de ámbito internacional con gran impacto global.

Estas fueron algunas de las razones para la aprobación, en diciembre de 2022, del Digital Operational Resilience Act, Reglamento DORA, cuyo propósito es garantizar la resiliencia operativa digital. Es decir, intentar lograr la estabilidad y capacidad de recuperarse frente unos incidentes de seguridad, cada vez más frecuentes, de todo el sector financiero. La plena aplicación del Reglamento será exigible el 17 de enero de 2025, que será cuando DORA será de obligado cumplimiento. 

Dora puede aplicar tanto a grandes entidades que operan a nivel mundial, como a pequeñas y medianas empresas

A seis meses de su plena aplicación, la jornada ‘Cuenta atrás para el Reglamento DORA: cómo ayudar a las entidades a estar preparadas’ reunió en Izertis a un grupo de expertos que analizaron la hoja de ruta de la implantación y las claves para garantizar su eficiencia. Abrió el evento el director de Ciberseguridad y Defensa de Izertis, Joaquín Castellón, que fue el encargado de recordar que DORA “puede aplicar tanto a grandes entidades que operan a nivel mundial, como a pequeñas y medianas empresas del sector financiero” y que, por tanto, existen “muchas percepciones de cómo afrontar este reto”.

Desde el Instituto de Ciberseguridad de España (Incibe), el responsable del sector estratégico financiero y TIC, Juan Peláez, apuntó que la regulación europea “ayuda a las entidades financieras a poder gestionar todas las amenazas o riesgos que encuentran en el ciberespacio”. Y lo hacen, añadió, a través de varios instrumentos como son la gestión de ese riesgo, la notificación de incidentes, también menos graves, obligada a realizar pruebas de ciberresilencia, los acuerdos de intercambio de ciberamenazas o la monitorización de la cadena de suministros.

Para ponernos en contexto, Peláez ofreció las cifras del Balance de Ciberseguridad de Incibe de 2023, que señala un incremento del 24% de los incidentes de ciberseguridad hasta alcanzar los 83.517, siendo el sistema financiero y tributario un de los más atacados (el 25,42%), seguido del sector del transporte y el de la energía. Hubo más de 22.000 empresas afectadas por estos incidentes. Entre los más frecuentes, apunta el informe que 3 de cada 10 incidentes son fraude online y que en el caso del phishing, por ejemplo, el número detectado en 2023 fue de 14.261. Otra cifra, en España se registraron 4.180.840 dispositivos vulnerables.

Un estudio de abril de 2024 del Fondo Monetario Internacional advertía que el sector financiero se encuentra "altamente expuesto" a riesgos de ciberseguridad cifrando en uno de cada cinco los incidentes que afectan a las entidades financieras.

Banco de España

Fue Javier Piqueres, experto en Tecnologías de la Información para el Banco de España y miembro del grupo español para la regulación de DORA, el encargado de ofrecer la clave de la jornada: “DORA es una gran oportunidad para el sector, no un ejercicio de cumplimiento porque conlleva hacer al sector financiero más resiliente en su conjunto”. En su repaso a las líneas generales del reglamento, el experto ahondó tanto en la gestión del riesgo relacionado con las TIC (gobernanza) como en la notificación y clasificación de incidentes, pasando por la pruebas de resiliencia operativa digital (básicas y avanzadas), la gestión de riesgos tecnológicos derivados de terceros y los acuerdos de intercambio de información.

El Reglamento, por tanto, exigirá disponer de un análisis de riesgos que será la base central de la estrategia de seguridad y resiliencia, acompañado de una serie de procedimientos documentados a implementar y cumplir en toda la organización.

Javier Piqueres también aseguró que DORA “lleva mucho tiempo implementada” e hizo un repaso por ese calendario de desarrollo. También, para cerrar, habló de retos y oportunidades. Así, en el ámbito de desarrollo, señaló la proporcionalidad atendiendo las especificidades por sectores, los plazos de notificación de incidentes, la identificación y monitorización de subcontratistas y los criterios para los proveedores de inteligencia y probadores internos/externos.

Respecto a la implementación, hizo hincapié en la opción nacional sobre el doble reporte de incidentes a la NCA y al CSIRT, el escaso margen temporal para desarrollar los procedimientos de notificación de incidentes, las incertidumbres respecto al formato final de los registros de terceros y los mecanismos de recogida, la obligatoriedad de las entidades y las propias estructuras de gobierno.

Más claves

El cierre de la jornada corrió a cargo de Laura Burillo, responsable de Normativa de Ciberseguridad de Izertis, y de María Vidal, socia de Protección de Datos y Nuevas Tecnologías de FinReg360. Ellas fueron las encargadas de dar las claves de DORA e insistir en que el reglamento europeo busca fortalecer la ciberseguridad y la resiliencia del sector financiero. Busca, apuntaron, que las organizaciones implementen un Sistema de Gestión de Seguridad de la Información (SGSI), ya que está inspirada en diferentes normas de seguridad de la información como la ISO 27001 y la ISO 22301, entre otras. Es decir, el objetivo principal es incorporar seguridad a los procesos y la operativa del negocio.

Entidades de crédito, compañías de seguros, entidades de pago, entidades de dinero electrónico, gestoras, fondos de pensiones, agencias de calificación crediticia… o lo que es lo mismo, la gran mayoría de organizaciones del sector financiero, además de sus proveedores, deben cumplir con la regulación.

DORA dotará a las organizaciones de importantes ventajas, como el aumento de la competitividad en el mercado por el valor añadido que aporta introducir seguridad en las operaciones, mayor prestigio de la marca, esa disminución de la probabilidad de ocurrencia de incidentes de seguridad, la reducción de los tiempos de recuperación en caso de desastre, o la incorporación de la cultura de ciberseguridad en la compañía.

De esta manera, y dado que el reglamento establece diferentes requisitos, desde la elaboración de los procedimientos hasta las pruebas de auditoría técnica, Izertis garantiza su cumplimiento efectivo con el servicio global de adecuación DORA Outsourcing. No solo se trata de preparar a las entidades para el cumplimiento normativo mejorando la seguridad, sino también de evitar importantes sanciones.