Una ventaja digital para los servicios financieros: Navegar por la ciberseguridad en la era de la Ley de Resiliencia Operativa Digital (DORA)

Resumen ejecutivo

A medida que las instituciones financieras se enfrentan a la revolución digital, la Ley de Resiliencia Operativa Digital (DORA) se perfila como un marco legislativo que cambiará las reglas del juego por mandato de la Unión Europea (UE). Ante las amenazas cibernéticas que se ciernen sobre el sector, la DORA pretende reforzar la resistencia operativa del sector financiero, lo que requiere un cambio fundamental en la gobernanza de la ciberseguridad.

Desde las señales de humo y las palomas mensajeras hasta los dispositivos y redes de alta tecnología, como el teléfono, Internet y el Sistema Global de Comunicaciones Móviles (GSM)/2G, la comunicación ha recorrido un largo camino. Además, la mitigación proactiva de amenazas, los marcos sólidos de gestión de riesgos y la gestión diligente de riesgos de terceros son esenciales para el cumplimiento de la DORA.

Mientras la DORA se prepara para su plena aplicación el 17 de enero de 2025, descargue nuestro punto de vista para conocer los elementos esenciales de ciberseguridad exigidos por la DORA y las medidas necesarias que las organizaciones financieras deben adoptar para garantizar su cumplimiento.

INTRODUCCIÓN

En una era dominada por la transformación digital, el sector financiero se enfrenta a un doble reto: adoptar la innovación tecnológica y, al mismo tiempo, contrarrestar las sofisticadas ciberamenazas.

El 24 de septiembre de 2020, la Comisión Europea adoptó el Paquete de Finanzas Digitales 2020*, consistente en una estrategia de finanzas digitales y propuestas legislativas sobre criptoactivos y resiliencia digital, para un sector financiero competitivo de la UE que ofrezca a los consumidores acceso a productos financieros innovadores, garantizando al mismo tiempo la protección de los consumidores y la estabilidad financiera. De este paquete de Finanzas Digitales, la Ley de Resiliencia Operativa Digital (DORA) surge como un marco legislativo fundamental introducido por la Unión Europea (UE).

La Ley de Resiliencia Operativa Digital (Reglamento (UE) 2022/2554) resuelve un importante problema de la regulación financiera de la UE. Antes del DORA, las entidades financieras gestionaban las principales categorías de riesgo operativo principalmente mediante la asignación de capital, pero no gestionaban todos los componentes de la resistencia operativa. Con el DORA, ahora deben cumplir normas sobre protección, detección, contención, recuperación y capacidad de reparación frente a incidentes relacionados con las TIC. El DORA se refiere explícitamente al riesgo de las TIC y establece normas sobre gestión del riesgo de las TIC, notificación de incidentes, pruebas de resistencia operativa y supervisión del riesgo de las TIC por terceros. Este Reglamento reconoce que los incidentes relacionados con las TIC y la falta de resistencia operativa tienen la posibilidad de poner en peligro la solidez de todo el sistema financiero, incluso si existe un capital “adecuado” para las categorías de riesgo tradicionales.

Mediante el establecimiento de un conjunto completo de requisitos de ciberseguridad, DORA pretende consolidar y elevar los requisitos de riesgo anteriores en diversas normativas. Estas nuevas normas pretenden gestionar los ciberriesgos, agilizar la notificación de incidentes, aplicar pruebas de resistencia, supervisar los riesgos de terceros y facilitar el intercambio de información para mejorar la resistencia operativa de las entidades financieras de la UE.

Por primera vez, se aplica no solo a las entidades financieras establecidas en los Estados miembros europeos, sino también a sus proveedores y suministradores de TIC (críticas), en consonancia con la Directiva NIS2 de 2022. Mientras el DORA se prepara para su plena aplicación el 17 de enero de 2025, este artículo explora los elementos esenciales de ciberseguridad exigidos por el DORA y las medidas necesarias que deben adoptar las organizaciones financieras para garantizar su cumplimiento.

1. Establezca un mandato “descendente” para su gobernanza de la ciberseguridad

La gobernanza de la ciberseguridad desempeña un papel esencial en la configuración de la postura de seguridad de una organización. El DORA exige la creación de sólidos marcos de gobernanza adaptados para abordar de forma integral los riesgos de las TIC. Esto incluye definir políticas, funciones y responsabilidades claras e integrar la ciberseguridad en todos los departamentos de la organización. Estos marcos facilitan la toma de decisiones informadas, la gestión proactiva y continua de los riesgos y el cumplimiento de las normas.

La implicación a nivel directivo es crucial para garantizar que las iniciativas de ciberseguridad estén estrechamente alineadas con los objetivos empresariales más amplios y para fomentar una cultura de concienciación sobre la seguridad en toda la organización. Su supervisión se extiende más allá de la oficina del CISO, incluyendo la dirección estratégica, la gestión de riesgos, el desarrollo de políticas, la asignación de recursos, la respuesta a incidentes y el cumplimiento normativo.

En virtud de la DORA, el Consejo de Administración es personalmente responsable de la gobernanza de la ciberseguridad y la gestión de riesgos, incluidos todos los aspectos como la presentación de informes, la realización de pruebas y otras medidas necesarias. Esto requiere un conocimiento exhaustivo de las ciberamenazas para fundamentar la toma de decisiones. Además, definen y aprueban el marco de gestión de riesgos de la organización, incluida la estrategia de terceros, haciendo hincapié en la importancia de una toma de decisiones informada para abordar eficazmente las ciberamenazas emergentes.

La concienciación de la junta en materia de seguridad desempeña un papel clave en este sentido, especialmente si se tienen en cuenta las posibles sanciones económicas y administrativas previstas en la DORA, que pueden incluir multas, restricciones operativas o incluso la revocación de licencias o permisos.

2. Sea proactivo en la mitigación de amenazas gracias a un sólido marco de gestión de ciberriesgos

Las organizaciones deben identificar, evaluar y priorizar sistemáticamente los riesgos cibernéticos, en consonancia con los requisitos de la DORA. Esto implica una comprensión exhaustiva del panorama de amenazas en constante cambio. Al mantenerse al día sobre las amenazas y vulnerabilidades emergentes, las organizaciones pueden asignar sus recursos de manera eficaz, asegurándose de que se dirigen a las áreas más críticas de mitigación de riesgos.

Sin embargo, garantizar que esta información llegue al público y a los niveles de gestión adecuados en toda la organización es igualmente vital. A menudo, se recopila información avanzada sobre ciberamenazas, pero no se comunica eficazmente ni se traduce en consejos prácticos para las principales partes interesadas, como los miembros del consejo de administración. Este enfoque proactivo no sólo ayuda a salvaguardar los datos sensibles y mantener la resistencia operativa, sino que también desempeña un papel crucial en el mantenimiento de la confianza de las partes interesadas, incluidos clientes, socios, supervisores y organismos reguladores.

Hay varios marcos y normas disponibles para ayudar a definir y aplicar un marco de gestión de riesgos cibernéticos. Las organizaciones suelen recurrir a normas reconocidas internacionalmente, como la ISO 31000, el marco COBIT5 o el Marco de Ciberseguridad del NIST, que ofrecen orientación en materia de gestión de riesgos de ciberseguridad.

Muchas organizaciones del sector financiero ya disponen de algún tipo de marco de gestión de riesgos, que a menudo incorpora buenas prácticas nacionales, como las descritas por el De Nederlandsche Bank (DNB). Sin embargo, estas buenas prácticas tendrán que adaptarse a los requisitos más estrictos introducidos por el DORA para garantizar el cumplimiento y mejorar la gobernanza de la ciberseguridad en el sector financiero. Al adoptar una postura proactiva en materia de ciberseguridad, las organizaciones pueden reforzar eficazmente su resistencia frente a posibles amenazas y demostrar su compromiso con la salvaguarda de los activos críticos y el mantenimiento de la resistencia operativa.

3. Asegure su cadena de suministro digital manteniendo la visibilidad de sus riesgos y dependencias de terceros.

En el actual entorno empresarial interconectado, la dependencia de terceros proveedores de servicios TIC (TPP TIC) expone a las organizaciones a importantes riesgos de ciberseguridad. Según un estudio de ENISA, más del 60% de los incidentes cibernéticos son causados por ataques a la cadena de suministro. Un ataque a la cadena de suministro es un tipo de ciberataque que se dirige tanto a un TPP TIC de confianza que proporciona servicios o software como a sus clientes a lo largo de la cadena de suministro. Las organizaciones deben ampliar sus medidas de seguridad más allá de los sistemas internos y abarcar toda la cadena de suministro de las TIC, para poder proteger sus datos.

El riesgo de los TPP de TIC debe reflejarse en las medidas de seguridad acordadas contractualmente, incluidas las estrategias de salida necesarias cuando no se cumplan los acuerdos. Además, es esencial que los TPP de TIC sean evaluados en cuanto a su riesgo antes de ser contratados y supervisados continuamente a lo largo de la relación comercial para evaluar sus prácticas de seguridad. Mediante la gestión proactiva de los riesgos que pueden causar los TPP de TIC, las organizaciones son capaces de fortificar sus defensas contra las amenazas potenciales originadas por las vulnerabilidades de terceros de TIC, salvaguardando sus activos, reputación y continuidad operativa.

Algunos TPP de TIC se designan como “críticos” (CTTP), lo que requiere la supervisión directa de las autoridades financieras de la UE. La designación de CTTP implica un examen minucioso de su papel en la cadena de suministro de TIC y de cómo sus servicios podrían afectar a las operaciones y la seguridad de la organización. Una evaluación minuciosa de los riesgos, que tenga en cuenta la importancia del servicio, el acceso a los datos y las posibles interrupciones, permite una asignación eficaz de los recursos y la aplicación de medidas de seguridad específicas.

El DORA exige a las organizaciones que lleven un registro de todos sus CTTP, que deben compartir con la Autoridad Europea de Supervisión (AES) local. Este registro incluye la clasificación de los vendedores o proveedores, los servicios prestados y su importancia para los procesos primarios de la organización. Cualquier nuevo acuerdo de CTTP debe notificarse anualmente a la autoridad competente.

4. Sea y manténgase resiliente para maximizar su recuperación tras una perturbación cibernética

Mientras que las medidas tradicionales de ciberseguridad se centran principalmente en la defensa contra las ciberamenazas, el DORA hace hincapié en la importancia de la resiliencia: la capacidad de recuperarse rápida y eficazmente de las ciberinterrupciones, crucial ante la evolución de las amenazas. En consonancia con los requisitos del DORA, se insta a las organizaciones a dar prioridad a las estrategias para prevenir y mitigar los ciberataques, pasando de la impenetrabilidad a la resiliencia, creando así mecanismos sólidos para minimizar los daños y el tiempo de inactividad durante las crisis.

El DORA esboza medidas específicas que las instituciones financieras deben adoptar para mejorar su resistencia cibernética:

• Establecer y actualizar periódicamente procedimientos de copia de seguridad de los datos para garantizar la disponibilidad e integridad de la información crítica en caso de ciberinterrupción.
• Desarrollar y aplicar planes de respuesta a catástrofes de TIC y planes de continuidad de negocio que describan los procedimientos para responder a las ciberinterrupciones y garantizar la continuidad de las operaciones. Estos planes deben revisarse y actualizarse periódicamente, completarse y probarse regularmente de diversas formas para estar bien preparados para futuras contingencias.
• Iniciativas de formación continua de los empleados para aumentar la resistencia cibernética.

Al adoptar un enfoque proactivo de la ciberresiliencia, las organizaciones no sólo pueden minimizar las posibles interrupciones de sus operaciones, sino también reforzar su capacidad para mantener la continuidad operativa y proteger los datos confidenciales. Al dar prioridad a la ciberresiliencia, las organizaciones no sólo refuerzan sus defensas contra posibles violaciones, sino que también cultivan una cultura de preparación y capacidad de respuesta. De este modo, no sólo mitigan los riesgos, sino que se posicionan como custodios fiables de los datos y administradores de la confianza digital.

5. Coordine su plan de respuesta a un incidente de ciberseguridad

Un enfoque organizado y sistemático para gestionar las secuelas de un incidente importante relacionado con las TIC (o relacionado con la seguridad o los pagos operativos) es esencial en el marco del DORA.

Las organizaciones deben contar con un plan de respuesta a incidentes a medida para detectar y responder rápidamente a los incidentes, al tiempo que mitigan el impacto en las operaciones y la reputación. Esto incluye los esfuerzos de reparación técnica, las estrategias de comunicación y las consideraciones legales. Coordinando eficazmente estos esfuerzos de respuesta, las organizaciones pueden contener y erradicar rápidamente las amenazas, facilitando así un proceso de recuperación más fluido. Además, los CERT (Computer Emergency Response Team) y CSIRT (Computer Security Incident Response Team) nacionales proporcionan un apoyo operativo vital para ayudar a las organizaciones a luchar contra las ciberamenazas. Ofrecen orientación, intercambio de información sobre amenazas, asistencia en investigaciones forenses y facilitan la colaboración con otras entidades y organismos gubernamentales para reforzar la ciberresiliencia general.

En virtud del DORA, las organizaciones deben notificar los incidentes graves relacionados con las TIC a las autoridades competentes pertinentes. Una notificación inicial debe comunicarse en el plazo de un día laborable, un informe intermedio en el plazo de una semana tras la primera notificación y un informe final cuando se haya completado el análisis de la causa raíz, en el plazo máximo de un mes.

Para determinar qué se considera un incidente grave relacionado con las TIC, el Comité Mixto de las Autoridades Europeas de Supervisión ha proporcionado nuevas orientaciones sobre los criterios para clasificar los incidentes relacionados con las TIC. En su informe, publicado el 17 de enero de 2024, afirmaron que los incidentes relacionados con las TIC pueden clasificarse en tres niveles:

• Nivel 1: Determinar si un incidente afecta a servicios críticos.
• Nivel 2: Determinar si el incidente es el resultado de una intrusión maliciosa exitosa.
• Nivel 3: Determinar si el incidente afecta al menos a dos de los seis criterios siguientes:
• Número de clientes afectados
• Importe de la pérdida de datos afectados
• Impacto en la reputación
• Duración y tiempo de inactividad del servicio
• Extensión geográfica
• Impacto económico

Según el DORA, un incidente de TIC se clasifica como grave cuando es aplicable el nivel 1 en combinación con los niveles 2 ó 3, por lo que debe notificarse a la autoridad en consecuencia. Además, los clientes y usuarios deben ser informados si son víctimas de un incidente y dentro de un plazo razonable. Esto significa que todos los empleados de la organización deben ser conscientes de su responsabilidad de notificar los incidentes en consecuencia y a su debido tiempo.

6. Compruebe periódicamente sus capacidades de defensa para hacer frente a las vulnerabilidades

Las pruebas de resistencia operativa evalúan la capacidad de una organización para mantener las funciones críticas durante y después de un incidente cibernético. Esto implica diversos ejercicios, como simulaciones basadas en escenarios, pruebas de penetración y ciberataques simulados para identificar vulnerabilidades. Al someter las defensas a rigurosas pruebas de estrés, las organizaciones identifican áreas de mejora, garantizando que sus medidas de ciberseguridad sigan siendo sólidas y adaptables, mitigando eficazmente el cambiante panorama de las ciberamenazas.

Estas pruebas de resistencia operativa consisten en evaluaciones y escaneos de vulnerabilidades, análisis de fuentes abiertas, evaluaciones de la seguridad de la red, análisis de deficiencias, revisiones de la seguridad física, cuestionarios y soluciones de software de escaneado, revisiones del código fuente cuando sea factible, pruebas basadas en escenarios, pruebas de compatibilidad, pruebas de rendimiento, pruebas de extremo a extremo o pruebas de penetración.

Además, es importante que las pruebas de resistencia sean realizadas por partes independientes. Mientras que las evaluaciones de vulnerabilidad suelen hacerse de forma continua, las pruebas de penetración basadas en amenazas pueden realizarse cada tres años. Mantener la resistencia operativa es crucial para las organizaciones, y estos esfuerzos se ajustan a los requisitos establecidos en la Ley de Ciberresiliencia de la UE.

7. Fomentar el intercambio transfronterizo de información

A medida que se acerca la fecha límite de 2025, las instituciones financieras se enfrentan a un momento crucial. Deben alinear sus estrategias de ciberseguridad con los mandatos del DORA mientras maniobran a través de una compleja red de reglamentos europeos de ciberseguridad, incluida la Ley de Resiliencia de Entidades Críticas, que se centra en la seguridad física, la Ley de Resiliencia Cibernética, que aborda los dispositivos conectados, y la Ley de Ciberseguridad, que rige los productos, procesos y servicios TIC. En previsión de los continuos ajustes normativos, las organizaciones deben ir más allá de los esfuerzos iniciales de cumplimiento, permaneciendo vigilantes ya que las Autoridades Conjuntas Europeas publicarán múltiples conjuntos de criterios que se espera ofrezcan mayor claridad y especificidad sobre los requisitos de resiliencia operativa esbozados en el DORA.

De cara al futuro, las entidades financieras deben considerar el cumplimiento de las normas de ciberseguridad como parte integrante de su estrategia empresarial y de la gestión de riesgos, y no como un mero elemento de la lista de comprobación. La colaboración con expertos, la participación en diálogos sectoriales y el seguimiento de las amenazas emergentes son cruciales. Tomar medidas proactivas garantizará el cumplimiento de normativas como la DORA, mejorando la resistencia en el panorama digital y salvaguardando los activos y la reputación.

Capgemini guía a las organizaciones de servicios financieros en su camino hacia el cumplimiento de la DORA. ¿Quiere saber más?