El sector financiero está bastante regulado e involucra una gran cantidad de datos confidenciales. Por lo tanto, se esperaría que al sector le vaya mejor en materia de seguridad de datos que a una organización promedio.
¿Qué es DORA?
La Ley de Resiliencia Operativa Digital, o DORA, es un reglamento de la Unión Europea (UE) que crea un marco vinculante y exhaustivo para la gestión de los riesgos de las tecnologías de la información y la comunicación (TIC) en el sector financiero de la UE. El reglamento DORA establece las normas técnicas que las entidades financieras y sus terceros proveedores de servicios tecnológicos críticos deben implantar en sus sistemas TIC antes del 17 de enero de 2025.
Antes de DORA (Digital Operational Resilience Act), la normativa sobre gestión de riesgos de las entidades financieras de la UE se centraba principalmente en garantizar que las empresas dispusieran de capital suficiente para cubrir los riesgos operativos. Aunque algunos reguladores de la UE publicaron directrices sobre TIC y gestión de riesgos de seguridad, estas directrices no se aplicaban a todas las entidades financieras por igual, y a menudo se basaban en principios generales más que en normas técnicas específicas. A falta de normas comunitarias sobre gestión de riesgos de las TIC, los Estados miembros de la UE han establecido sus propios requisitos.
DORA se aplica a todas las instituciones financieras de la UE. Esto incluye entidades financieras tradicionales, como bancos, empresas de inversión y entidades de crédito, y entidades no tradicionales, como proveedores de servicios de criptoactivos y plataformas de crowdfunding.
¿Qué dicen las estadísticas?
Los datos públicos establecidos en el sitio web de la ICO (Oficina del Comisionado de Información) muestran que la seguridad de los datos no es necesariamente mejor para las organizaciones financieras.
Aunque el número total de filtraciones de datos –o mejor dicho, de las denunciadas– disminuyó un 24% entre 2019 y 2022 en el sector financiero, el número de incidentes aumentó un 99%. De hecho, en 2020-2022, el sector financiero fue el segundo más atacado, superado únicamente por el sector minorista y manufacturero.
Esto es particularmente preocupante si se combina con los hallazgos del Informe sobre el costo de una filtración de datos de 2023 de IBM, que sitúa el costo promedio de una filtración en 2023 en 5,90 millones de dólares (aproximadamente 4,70 millones de libras esterlinas) para el sector financiero, un 33% más que el promedio en todo el mundo. todos los sectores.
Es cierto que estas cifras reflejan principalmente las tendencias del Reino Unido, pero no hay duda de que los grandes bancos de la UE también están en el punto de mira, incluidos el Banco Europeo de Inversiones, el Deutsche Bank y el ING Bank. Esto realmente no debería sorprendernos: estos son objetivos lucrativos para los ciberdelincuentes.
Requisitos de gestión de riesgos de TIC según DORA
Quizás aún más preocupante para los legisladores de la UE es cuán dependiente es la sociedad en general de la banca y otros servicios financieros. Si estos se interrumpen, las actividades comerciales cotidianas no se podrán completar, no sólo dentro del estado miembro en el que se encuentra el banco, sino también a través de las fronteras.
A su vez, las instituciones financieras dependen en gran medida de las TIC para poder proporcionar esos servicios, para empezar. Esto a menudo se subcontrata a proveedores de servicios externos, por lo que es importante que la cadena de suministro también sea resiliente, no solo las propias instituciones financieras.
Estas consideraciones estaban en la mente de los legisladores de la UE cuando introdujeron la DORA. Aunque es una ley de la UE, también afectará a las organizaciones del Reino Unido si operan en la UE. Estos impulsan los otros requisitos de nivel inferior en DORA.
Hay tres requisitos fundamentales para este reglamento:
- Gestión de riesgos
- Administración de incidentes
- Seguridad de la cadena de suministro
En el Capítulo II, DORA reconoce la gobernanza como una parte clave del marco de gestión de riesgos de TIC de la organización. El Reglamento responsabiliza al órgano de dirección de la organización de implementar ese marco y de la gestión general del riesgo de TIC.
El propio marco de gestión de riesgos de TIC debe ser estratégico, documentado y revisado al menos una vez al año.
Como parte de ese marco, las organizaciones también deben, entre otras cosas:
- Identificar todos los activos relevantes;
- Proteger la confidencialidad, integridad, disponibilidad y autenticidad de su información;
- Ser capaz de detectar posibles problemas de rendimiento de la red e incidentes relacionados con las TIC;
- Implementar una política «integral» de continuidad del negocio de TIC;
- Tener medidas para restaurar rápidamente los sistemas y recuperar datos en caso de una interrupción; y
- Divulgar incidentes o vulnerabilidades «importantes» relacionados con las TIC.
Se debe tener en cuenta que existen varias exenciones o requisitos más simples dependiendo de factores como el tamaño de la organización.
Estrategia de resiliencia operativa digital
En el centro del pilar de gestión de riesgos (y de DORA en su conjunto) se encuentra la estrategia de resiliencia operativa digital.
DORA se introdujo para garantizar que la infraestructura financiera de la UE, considerando su gran dependencia de las TIC, pueda hacer frente a las perturbaciones que parecen inevitables cuando se utiliza cualquier TIC.
Idealmente, eso significa evitar las interrupciones por completo. Sin embargo, dado que eso no es realista en el clima actual, las instituciones financieras y sus cadenas de suministro deberían buscar la resiliencia.
Lograr resiliencia operativa significa poder recuperarse rápidamente de interrupciones, accidentales o no, y continuar brindando un nivel aceptable de servicio durante el período de recuperación.
¿Qué deberían hacer las organizaciones ahora?
DORA no se aplicará hasta el 17 de enero de 2025, por lo que las organizaciones tienen tiempo antes de tener que cumplir plenamente.
Sin embargo, independientemente de esta nueva ley, es importante que las organizaciones pongan su casa en orden en lo que respecta a la gestión de riesgos y activos de TIC.
La mayoría de las organizaciones literalmente no podrían hacer negocios si sus TIC no funcionaran correctamente, y las estadísticas anteriores muestran que esto está en riesgo real.
Teniendo esto en cuenta, las organizaciones deberían tratar los productos y servicios relacionados con las TIC como cualquier otro activo empresarial. Realice un seguimiento de ellos en un inventario de activos y luego consulte ese inventario cuando identifique, evalúe y responda a sus riesgos.
Las organizaciones podrían utilizar la misma metodología o enfoque que ya utilizan para otros tipos de gestión de activos y riesgos. Siempre que produzca resultados consistentes, válidos y comparables, funcionará perfectamente por motivos de seguridad y resiliencia.
Dicho esto, recuerde considerar los riesgos para la confidencialidad, integridad, disponibilidad y autenticidad de cada activo TIC:
- Confidencialidad: El activo es accesible únicamente a personas autorizadas.
- Integridad: El activo está protegido contra modificaciones, destrucción y pérdidas no autorizadas.
- Disponibilidad: El activo está disponible para personas autorizadas cuando sea necesario.
- Autenticidad: No se puede negar la validez del activo.
Es muy fácil olvidar que las violaciones de seguridad no necesariamente involucran a un atacante malicioso. Simplemente perder el acceso a un activo, por ejemplo, puede ser igual de problemático.
Para ayudar a superar estos desafíos específicos de seguridad, las organizaciones pueden encontrar útil hacer referencia a un estándar de mejores prácticas como ISO 27005, que ofrece orientación sobre la gestión de riesgos de seguridad de la información.
Fuente y redacción: segu-info.com.ar
