La dependencia del sector financiero de las soluciones digitales es una realidad casi total, ya que es la única forma de ofrecer servicios innovadores y competitivos a sus clientes. Sin embargo, esto también aumenta la exposición a riesgos generales de TI, en particular la ciberseguridad, lo que afecta la estabilidad financiera, la protección del consumidor, la integridad del mercado y la confianza. Sumado a este fenómeno, el sector financiero es un ecosistema interconectado y, en muchas situaciones, dependiente internamente de conversaciones de servicios, que pueden representar vectores de ataque, es decir, puntos de vulnerabilidad en la cadena de valor.

En realidad, y de forma simplificada, incluye un reglamento y un convenio sobre resiliencia operativa digital para el sector financiero, y este reglamento ya está en vigor. Se aplicará en su totalidad a partir de enero de 2025.

La Ley de Resiliencia Operacional Digital (DORA) es una nueva regulación que tiene como objetivo armonizar y reforzar las reglas existentes sobre la resiliencia operativa digital de las instituciones financieras en la UE. DORA se aplica a todas las entidades financieras, incluidos bancos, compañías de seguros, gestores de activos, bolsas de valores, cámaras de compensación, infraestructuras transaccionales de mercados de inversión y criptoactivos.

Los cuatro objetivos principales de DORA son:

• Establecer requisitos y estándares comunes para la gestión de riesgos de TI y ciberseguridad, incluida la identificación, clasificación, mitigación, monitoreo, prueba y notificación de incidentes.
• Crear un marco coordinado de supervisión e inspección entre las autoridades nacionales y europeas, incluyendo la posibilidad de imponer sanciones administrativas y medidas correctoras en caso de violación de las normas DORA.
• Definir un régimen específico de supervisión e inspección para los proveedores de servicios críticos contratados, como los proveedores de servicios en la nube, que deben cumplir con determinadas obligaciones de información, auditoría y acceso y registrarse en un repositorio público de la UE.
• Promover la cooperación y el intercambio de información entre autoridades competentes, instituciones financieras y proveedores de servicios, así como la participación en iniciativas de intercambio de información y alertas sobre amenazas informáticas.

Más que servir como mecanismo de defensa, DORA representa un paso esencial para garantizar un nivel alto y consistente de resiliencia operativa digital en el sector financiero de la UE, contribuyendo a la seguridad, la confianza y la competitividad del mercado único digital. El Reglamento DORA también tiene como objetivo alinear las normas de la UE con las normas y mejores prácticas internacionales, como las emitidas por la Supervisión Bancaria y otros órganos de gestión y supervisión.

¿Cuáles son los principales beneficios y desafíos de DORA para las instituciones financieras?

La implementación del Reglamento DORA trae consigo varios beneficios para las instituciones financieras, tales como:

• Mejorar la capacidad de prevenir, detectar y responder a incidentes de TI y ciberseguridad, reduciendo el impacto potencial en la continuidad del negocio, la reputación y la responsabilidad legal.
• Incrementar la confianza de clientes, inversores y autoridades en la calidad y seguridad de los servicios financieros digitales, fortaleciendo la fidelidad y satisfacción de los clientes y atrayendo nuevas oportunidades de negocio y mercado.
• Armonizar y simplificar las reglas y procedimientos aplicables a la resiliencia operativa digital, eliminando la fragmentación y duplicación entre regímenes nacionales y sectoriales y facilitando la cooperación y comunicación entre las partes interesadas.
• Promover la innovación y la competitividad en el sector financiero, fomentando la adopción de soluciones digitales avanzadas y eficientes, como la computación en la nube, la inteligencia artificial y blockchain.

Sin embargo, no todas las entidades financieras están todavía preparadas para su adopción ya que sus planes de madurez y continuidad de negocio, si bien pueden existir, generalmente están orientados a incidentes físicos y no a incidentes digitales y transversales. Es decir, más que asegurar que existen capacidades físicas para cambiar de ubicación a los equipos o realizar recuperación ante desastres de arquitecturas tecnológicas, es fundamental asegurar una sencilla implementación de los Planes Estratégicos de Ciberseguridad. Es por esto que DORA también implica varios desafíos para las instituciones financieras, entre ellos:

• Cumplimiento de los requisitos y estándares de DORA , que pueden requerir importantes inversiones en recursos humanos, técnicos y financieros y cambios organizativos y culturales.
• Adaptarse a los cambios regulatorios y a las expectativas de las autoridades, lo que puede implicar un mayor escrutinio y rendición de cuentas de las prácticas de resiliencia operativa digital y una mayor exposición a sanciones y medidas correctivas.
• Una gestión más escrutada y exigente de las relaciones con los proveedores de servicios, que pueden tener que cumplir con obligaciones adicionales de información, auditoría y acceso para colaborar en este sector financiero.
• Mantenimiento recurrente de actualizaciones y preparación para amenazas y riesgos emergentes de TI y ciberseguridad, que son cada vez más sofisticados y complejos.

¿Por dónde empezar y dónde puede ayudar Auren?

Auren , a través de sus servicios especializados de consultoría empresarial y tecnológica, apoya a sus clientes en la adopción de DORA a través de los siguientes cinco pasos:

• Conciencia
  • Actividades formativas y explicación del Reglamento DORA
  • Discusión de modelos estratégicos de adopción de DORA , según la organización y los procesos técnicos y culturales existentes.
• Evaluación
  • Evaluación de la madurez y nivel actual de resiliencia operativa digital
  • Identificación de las principales brechas y áreas centrales de mejora dentro del alcance de los requisitos y estándares DORA.
• Entrega de estrategia
  • Desarrollo del Plan Estratégico de DORA y Ciberseguridad, basado en cinco pilares: activos, cultura, tecnología, metodología y ecosistema
  • Desarrollar e implementar el plan de acción para cumplir con los requisitos y estándares de DORA , incluida la asignación de recursos, la definición de responsabilidades, la revisión de políticas y procesos, la actualización de sistemas y herramientas, la realización de pruebas y capacitación, y la preparación de informes y documentación.
• Informes operativos
  • Establecimiento y mantenimiento de modelos de comunicación eficaces y transparentes con autoridades competentes, proveedores de servicios y otras partes interesadas sobre las medidas y avances realizados en materia de resiliencia operativa digital.
• Operaciones y Mejora Continua
  • Monitorear y revisar periódicamente el desempeño y el cumplimiento de la resiliencia operativa digital, así como los cambios regulatorios y las tendencias del mercado, adaptándose a las nuevas circunstancias y necesidades.

Conclusión

DORA es un nuevo reglamento de la UE que tiene como objetivo mejorar la ciberseguridad y la resiliencia de las instituciones financieras mediante el establecimiento de requisitos y estándares comunes para la gestión de riesgos de TIC y la prestación de servicios por parte de terceros.

Los servicios Auren permiten minimizar los riesgos de implementación de la adopción del Reglamento DORA, garantizando la maximización de sus beneficios y la oportunidad para que las instituciones financieras fortalezcan su resiliencia operativa digital y aumenten su confianza y competitividad en el mercado único digital.

Rui Ribeiro, Consultoría y Tecnología de Auren Portugal