Los ataques cibernéticos y los incidentes que afectan a las Tecnologías de la Información y la Comunicación (TIC), como plataformas en la nube o servicios de análisis de datos, constituyen un problema habitual al que las diferentes entidades financieras se enfrentan constantemente. Hasta ahora la regulación, la gestión de estas crisis y las respuestas no estaban unificadas. No había una efectiva coordinación en la gestión de la ciberseguridad en las entidades financieras de la Unión Europea.
Sin embargo, DORA (siglas en inglés de reglamento en Resiliencia Operativa Digital) fue aprobado a finales del 2022 con el fin de "aunar todas estas obligaciones regulatorias y que se siga un único esquema de cumplimiento por parte de las entidades", tal y como explicó Alfredo Díez, director de Cipherbit del Grupo Oesía en el encuentro sobre el tema organizado por EL ESPAÑOL e Invertia junto a Oesía.
Un aspecto principal de DORA es que las empresas deberán informar a sus clientes cuando dicho incidente pueda tener un impacto en sus intereses financieros. Además, a partir de ahora deberán comunicar igualmente a las autoridades competentes esos incidentes graves de las TIC.
"El sector financiero es un sector que está acostumbrado a la regulación intensa y esta norma pretende aunar todas las regulaciones obligatorias y, al menos en materia de ciberseguridad y de resiliencia operativa, que las obligaciones estén unificadas. Yo creo que es una oportunidad y ahí está la clave", afirmó Alfredo Díez.
Vivimos en una sociedad donde los clientes de las entidades cada vez más se conectan a éstas a través de canales digitales, lo que hace que las instituciones financieras estén adoptando tecnologías como la inteligencia artificial y la nube por parte de servicios externos, que aportan mucho a los clientes, pero también presentan un mayor riesgo para las entidades.
Precisamente en la palabra resiliencia está una de los puntos diferenciadores e importantes de DORA, esa capacidad de sobreponerse a momentos críticos y adaptarse a la situación posterior.
"La R de DORA es de resiliencia y esto va a poner mucho énfasis en la continuidad del negocio. No solo se trata de ciberseguridad, sino de resiliencia operativa de las entidades. Va mucho más allá", señaló en el encuentro Carles Solé, CISO del Banco Santander, al comienzo del mismo.
Un trabajo de todos: implicados y autoridades
Estamos ante un cambio de modelo cuando, según el director de Cipherbit del Grupo Oesía, "antes lo habitual era esconder un problema y ahora compartimos la información en el tema de ciberseguridad". Pero, y aquí estaban todos los expertos financieros de acuerdo, "lo que necesitaríamos sería elevarlo ante las autoridades y empresas de otros países", pero, y continúa, "el problema es que a nivel estatal no se está tan seguro de compartir esa información".
A lo que Gustavo Lozano, CISO de ING, añadió que "alguien tiene que tomar el liderazgo en el otro lado, en la administración pública. Es decir, yo me hago cargo de recibir estas notificaciones y monto un sistema de recopilación de información, allano el camino para otra regulación, pero es necesario que alguien coordine y condense esa información".
En esta misma línea, el CISO del Banco Santander lo tiene claro: "Ahora es necesario compartir las amenazas de manera más sistemática y accionable y no de manera puntual. Ahí necesitamos a los gobiernos o supragobiernos porque lo importante es que sean accionables".
Un 'llamamiento' a las autoridades y a los gobiernos para que se involucren más en un tema tan clave tanto para las entidades financieras como para los usuarios de las mismas así como para que pongan el foco en la importancia de ser capaces de alinear y unificar todos los procesos de los implicados en toda la Unión Europea (UE).
Así lo explicó Juan Francisco Losa, CISO de BBVA: "Creo que la tecnología no es un problema. La tecnología existe y es muy buena, además tenemos mucha capacidad interna en el sector financiero para cumplir con ella. Es más complicado en cuanto a todos los procesos, alinear todas las voluntades de las entidades para conseguir el cumplimiento. Desde el punto de vista tecnológico, ha habido un boom con la inteligencia artificial en ciberseguridad y ahora mismo para mí no es un problema. La complicación está en los procesos y aplicar la tecnología donde toca".
Y añadió: "Aquí es importante que de verdad sean eficientes esas regulaciones para evitar gestiones burocráticas que no aporten una mejora real al nivel de ciberseguridad".
Una norma extensible a otros sectores
DORA abarca empresas financieras de casi todos los tamaños en todos los sectores de la industria. Se trata del comienzo de un gran cambio, ya que la propia Comisión Europea tiene la intención de extender los esquemas regulatorios incluidos en este borrador a otros sectores estratégicos como el agua, la energía o los transportes. "Creo que es un marco que desde un punto de vista jurídico es totalmente extensible a cualquier otro sector", opinó María Vidal, experta en DORA y el marco jurídico.
En palabras de Gustavo Lozano, "estamos en un sector privilegiado y lo que hay que hacer es ayudar a otros sectores a que la importancia de la seguridad sea la misma. Ahora es una cuestión de supervivencia para las empresas, ya sean grandes o pequeñas".
La Comisión Europea tiene como fin hacer que Europa se adapte a la era digital y construir una economía de futuro y siempre al servicio de las personas. "Nunca falta presupuesto para la parte normativa de ciberseguridad. Por eso, cuanto más práctica, realista y mejor sea la normativa, mejor para nosotros porque es un dinero invertido que luego recae en la seguridad del propio ciudadano", concluyó Gonzalo Asensio, director de Seguridad Digital de Bankinter.