El sector financiero está bastante regulado e involucra una gran cantidad de
datos confidenciales. Por lo tanto, se esperaría que al sector le vaya mejor
en materia de seguridad de datos que a una organización promedio.
¿Qué es DORA?
La
Ley de Resiliencia Operativa Digital, o DORA, es un reglamento de la Unión Europea (UE) que crea un marco vinculante y
exhaustivo para la gestión de los riesgos de las tecnologías de la información
y la comunicación (TIC) en el sector financiero de la UE. El reglamento DORA
establece las normas técnicas que las entidades financieras y sus terceros
proveedores de servicios tecnológicos críticos deben implantar en sus sistemas
TIC antes del 17 de enero de 2025.
Antes de DORA (Digital Operational Resilience Act), la normativa sobre gestión de riesgos de las entidades financieras de la UE
se centraba principalmente en garantizar que las empresas dispusieran de
capital suficiente para cubrir los riesgos operativos. Aunque algunos
reguladores de la UE publicaron directrices sobre
TIC y gestión de riesgos de seguridad, estas directrices no se aplicaban a todas las entidades financieras por
igual, y a menudo se basaban en principios generales más que en normas
técnicas específicas. A falta de normas comunitarias sobre gestión de riesgos
de las TIC, los Estados miembros de la UE han establecido sus propios
requisitos.
DORA se aplica a todas las instituciones financieras de la UE. Esto incluye
entidades financieras tradicionales, como bancos, empresas de inversión y
entidades de crédito, y entidades no tradicionales, como proveedores de
servicios de criptoactivos y plataformas de crowdfunding.
¿Qué dicen las estadísticas?
Los
datos públicos
establecidos en el sitio web de la ICO (Oficina del Comisionado de
Información) muestran que la seguridad de los datos no es necesariamente mejor
para las organizaciones financieras.
Aunque el número total de filtraciones de datos –o mejor dicho, de las
denunciadas– disminuyó un 24% entre 2019 y 2022 en el sector financiero, el
número de incidentes aumentó un 99%. De hecho, en 2020-2022, el sector
financiero fue el segundo más atacado, superado únicamente por el sector
minorista y manufacturero.
Esto es particularmente preocupante si se combina con los hallazgos del
Informe sobre el costo de una filtración de datos de 2023 de IBM, que sitúa el costo promedio de una filtración en 2023 en 5,90 millones de
dólares (aproximadamente 4,70 millones de libras esterlinas) para el sector
financiero, un 33% más que el promedio en todo el mundo. todos los sectores.
Es cierto que estas cifras reflejan principalmente las tendencias del Reino
Unido, pero no hay duda de que los grandes bancos de la UE también están en el
punto de mira, incluidos el
Banco Europeo de Inversiones, el Deutsche Bank y el
ING Bank. Esto realmente no debería sorprendernos: estos son objetivos lucrativos
para los ciberdelincuentes.
Requisitos de gestión de riesgos de TIC según DORA
Quizás aún más preocupante para los legisladores de la UE es cuán dependiente
es la sociedad en general de la banca y otros servicios financieros. Si estos
se interrumpen, las actividades comerciales cotidianas no se podrán completar,
no sólo dentro del estado miembro en el que se encuentra el banco, sino
también a través de las fronteras.
A su vez, las instituciones financieras dependen en gran medida de las TIC
para poder proporcionar esos servicios, para empezar. Esto a menudo se
subcontrata a proveedores de servicios externos, por lo que es importante que
la cadena de suministro también sea resiliente, no solo las propias
instituciones financieras.
Estas consideraciones estaban en la mente de los legisladores de la UE cuando
introdujeron la DORA. Aunque es una ley de la UE, también afectará a las
organizaciones del Reino Unido si operan en la UE. Estos impulsan los otros
requisitos de nivel inferior en DORA.
Hay tres requisitos fundamentales para este reglamento:
- Gestión de riesgos
- Administración de incidentes
- Seguridad de la cadena de suministro
En el Capítulo II, DORA reconoce la gobernanza como una parte clave del marco
de gestión de riesgos de TIC de la organización. El Reglamento responsabiliza
al órgano de dirección de la organización de implementar ese marco y de la
gestión general del riesgo de TIC.
El propio marco de gestión de riesgos de TIC debe ser estratégico, documentado
y revisado al menos una vez al año.
Como parte de ese marco, las organizaciones también deben, entre otras cosas:
- Identificar todos los activos relevantes;
-
Proteger la confidencialidad, integridad, disponibilidad y autenticidad de
su información;
-
Ser capaz de detectar posibles problemas de rendimiento de la red e
incidentes relacionados con las TIC;
-
Implementar una política "integral" de continuidad del negocio de TIC;
-
Tener medidas para restaurar rápidamente los sistemas y recuperar datos en
caso de una interrupción; y
-
Divulgar incidentes o vulnerabilidades "importantes" relacionados con las
TIC.
Se debe tener en cuenta que existen varias exenciones o requisitos más simples
dependiendo de factores como el tamaño de la organización.
Estrategia de resiliencia operativa digital
En el centro del pilar de gestión de riesgos (y de DORA en su conjunto) se
encuentra la estrategia de
resiliencia
operativa digital.
DORA se introdujo para garantizar que la infraestructura financiera de la UE,
considerando su gran dependencia de las TIC, pueda hacer frente a las
perturbaciones que parecen inevitables cuando se utiliza cualquier TIC.
Idealmente, eso significa evitar las interrupciones por completo. Sin embargo,
dado que eso no es realista en el clima actual, las instituciones financieras
y sus cadenas de suministro deberían buscar la resiliencia.
Lograr resiliencia operativa significa poder recuperarse rápidamente de
interrupciones, accidentales o no, y continuar brindando un nivel aceptable de
servicio durante el período de recuperación.
¿Qué deberían hacer las organizaciones ahora?
DORA no se aplicará hasta el 17 de enero de 2025, por lo que las
organizaciones tienen tiempo antes de tener que cumplir plenamente.
Sin embargo, independientemente de esta nueva ley, es importante que las
organizaciones pongan su casa en orden en lo que respecta a la gestión de
riesgos y activos de TIC.
La mayoría de las organizaciones literalmente no podrían hacer negocios si sus
TIC no funcionaran correctamente, y las estadísticas anteriores muestran que
esto está en riesgo real.
Teniendo esto en cuenta, las organizaciones deberían tratar los productos y
servicios relacionados con las TIC como cualquier otro activo empresarial.
Realice un seguimiento de ellos en un inventario de activos y luego consulte
ese inventario cuando identifique, evalúe y responda a sus riesgos.
Las organizaciones podrían utilizar la misma metodología o enfoque que ya
utilizan para otros tipos de gestión de activos y riesgos. Siempre que
produzca resultados consistentes, válidos y comparables, funcionará
perfectamente por motivos de seguridad y resiliencia.
Dicho esto, recuerde considerar los riesgos para la confidencialidad,
integridad, disponibilidad y autenticidad de cada activo TIC:
-
Confidencialidad: El activo es accesible únicamente a personas autorizadas.
-
Integridad: El activo está protegido contra modificaciones, destrucción y
pérdidas no autorizadas.
-
Disponibilidad: El activo está disponible para personas autorizadas cuando
sea necesario.
- Autenticidad: No se puede negar la validez del activo.
Es muy fácil olvidar que las violaciones de seguridad no necesariamente
involucran a un atacante malicioso. Simplemente perder el acceso a un activo,
por ejemplo, puede ser igual de problemático.
Para ayudar a superar estos desafíos específicos de seguridad, las
organizaciones pueden encontrar útil hacer referencia a un estándar de mejores
prácticas como ISO 27005, que ofrece orientación sobre la gestión de riesgos
de seguridad de la información.
Fuente:
IBM
|
ITGovernance
|
Ciberseguridad
