El número de ciberataques no deja de crecer desde hace años. Sin embargo, el principal de los problemas no se encuentra en la cantidad, sino, sobre todo, en la sofisticación de estos. Los ciberdelincuentes tienen en el punto de mira tanto a usuarios como a organizaciones. En este sentido, las compañías que conforman el sector financiero en las que se incluyen bancos, aseguradoras, brokers de seguros fondos de inversión o los proveedores de servicios digitales que trabajan con ellos, son unas de las predilectas para recibir ciberataques, bien sea para obtener recursos económicos o datos comprometidos.
Ante esta situación, el Consejo Europeo puso en marcha el pasado mes de noviembre el denominado Reglamento sobre la resiliencia operativa digital, también conocido como Reglamento DORA, que tiene como objetivo que el sector financiero y los proveedores TIC puedan seguir funcionando de forma resiliente en el caso de que sufran una grave perturbación operativa.
Europa es consciente de que el sector financiero es uno de los que más invierten en ciberseguridad, pero también es uno de los más sensibles para el funcionamiento global de la economía en el caso de que un ciberataque tenga éxito. Por este motivo, el Reglamento DORA proporciona una serie de requisitos uniformes con el fin de fortalecer la seguridad de las redes y de los sistemas de las organizaciones del sector, además de aquellas empresas que les presten servicios tecnológicos. De esta forma, a partir del 17 de enero de 2025, todas ellas deben certificar que son capaces de resistir y responder a cualquier tipo de ciberataque y recuperarse en el caso de que éste tenga éxito. Es decir, DORA pretende prevenir y mitigar las amenazas que puedan sufrir las empresas del sector financiero, mejorando la normativa existente hasta el momento y, lo que es más importante, haciendo que el modelo de notificación de incidentes sea más estandarizado.
Cómo implementar DORA
A pesar de la inquietud de tener que incorporar un nuevo reglamento a la operativa de una organización, en este caso se trata de una normativa que es sencilla de implementar. Y es que, como afirma Antonio Quevedo, CEO de GlobalSuite Solutions, “cumplir con la disposición DORA no debería suponer ningún problema para las empresas del sector financiero si ya emplean el marco de las tres líneas de defensa. Se trata de un enfoque que ya es utilizado de forma amplia por una gran parte de las organizaciones del sector y se basa en la división de responsabilidades y funciones entre diferentes áreas de la compañía”.
DORA afecta a una totalidad de 20 tipologías de empresas que conforman el sector financiero. Entre otras entidades de pago y de préstamo, compañías que ofrezcan servicios de inversión, sociedades de gestión, aseguradoras, agencias de calificación crediticia y también aquellas organizaciones que provean servicios de criptoactivos. Asimismo, DORA también afecta a empresas del sector TIC como proveedores cloud, proveedores de soluciones de medios de pago o empresas que ofrezcan servicios de datos. Todas ellas tendrán que implementar DORA antes de enero de 2025, no siendo necesario que pase por ningún trámite parlamentario al ser DORA un reglamento.
DORA exige que se realicen pruebas de resiliencia operativa, para que la capacidad de recuperación de las entidades afectadas esté asegurada
Para la mayoría de ellas, DORA no supondrá un importante impacto, debido al hecho de que ya emplean protocolos de seguridad para mejorar la gestión de los riesgos a los que están expuestas. No obstante, tendrán que realizar nuevas pruebas de resiliencia con un incremento en el número de evaluaciones que efectúan, perfeccionar las metodologías e incorporar buenas prácticas en materia de control y monitorización de los sistemas.
Y es que DORA exige que se realicen pruebas de resiliencia operativa, para que la capacidad de recuperación de las entidades afectadas esté asegurada y las deficiencias puedan ser subsanadas a tiempo. En el caso de no subsanarse, las empresas que incurran en el incumplimiento se verán expuestas a sanciones similares a las de no cumplir con el GDPR: se les multará con un porcentaje de la facturación.
Por otro lado, las empresas tendrán que empezar a incorporar en su organigrama una nueva figura ya que DORA va más allá de la labor que realizan CIOs, CISOs, responsables de tecnología o CDOs. Se trata del Chief Technology Risk Officer (CTRO), que será la persona de vigilar del cumplimiento de los riesgos tecnológicos a los que se enfrenta una organización. Esta nueva figura puede ser un empleado interno o una empresa externa
La propuesta de GlobalSuite Solutions
Contar con el partner adecuado para implementar el Reglamento DORA es fundamental para incorporarla a la estrategia de ciberseguridad. En este sentido, GlobalSuite Solutions no sólo ayuda a las organizaciones a implementar la normativa, sino que a través de su herramienta de GRC, las organizaciones del sector financiero y los proveedores TIC se asegurarán la gestión del cumplimiento de la norma, lo que mejorará su resiliencia.
La solución de GRC de GlobalSuite Solutions proporciona una serie de características que ayudará a las organizaciones a incorporar DORA sin dificultad y en un proceso muy sencillo. Entre sus principales ventajas destacan:
Automatización: una de las grandes ventajas de la solución es que posibilita que la implementación de DORA pueda ser automatizada, lo que hace que sea mucho más sencilla la implementación.
Evaluación de riesgos: la solución realiza evaluaciones de riesgos de forma estructurada y sistemática. Gracias a ello, la organización financiera podrá identificar y evaluar los riesgos digitales asociados a sus sistemas, procesos y servicios críticos.
Planificación de la continuidad del negocio IT y resiliencia operativa digital: Con ello, el departamento de TI puede diseñar planes de continuidad del negocio IT tanto para los sistemas y procesos, como para los servicios críticos.
Gestión de incidentes: GlobalSuite® es una plataforma centralizada, lo que permite llevar a cabo una eficaz gestión de incidentes, detectarlos de forma rápida y reaccionar de forma casi inmediata en el momento que se produzca un ciberataque o cualquier otro evento que puedan afectar la resiliencia digital.
Monitorización de proveedores: con la plataforma GRC se puede realizar una completa monitorización y evaluación de proveedores de tecnología que trabajen con la entidad y asegurar, de esta forma, que ellos también están cumpliendo con el Reglamento DORA.
Gestión de la conformidad: con ello, la organización financiera puede realizar un seguimiento en la gestión de la conformidad con las normas y regulaciones, lo que supone un apoyo para las organizaciones que quieren mantener el cumplimiento continuo de DORA.
En definitiva, con la implementación de la solución GRC de GlobalSuite Solutions las empresas financieras y los proveedores de servicios digitales podrán resistir y recuperarse de interrupciones operativas, en un contexto en el que el sector financiero está cada vez más interconectado y es más dependiente de las tecnologías de la información y, de esta forma, hacer que salga fortalecido ante cualquier evento de ciberseguridad que pueda producirse.