Las organizaciones financieras están constantemente bajo la mira de los piratas informáticos, estos actores maliciosos disfrutan explorando los «amplios recursos» que ofrecen organizaciones como bancos, fondos de inversión y compañías de crédito, ya que siempre existe la oportunidad de extraer datos personales y obtener amplias recompensas financieras.
A medida que la industria bancaria adopta la digitalización para el manejo de finanzas y las criptomonedas continúan su auge, el sector financiero se ha vuelto más vulnerable a los ataques cibernéticos. Una migración de operaciones al ámbito digital, siempre requiere la contratación de servicios de terceros especializados en tecnologías de la comunicación de la información (TIC), lo que hace que los problemas de seguridad se vuelvan más visibles e impredecibles.
Todos estos cambios están ocurriendo de forma rápida, con pasos adelantados más allá de lo que pueden permitirse el avance de los procesos legislativos y reguladores, así como la adopción gubernamental de estas tecnologías; lo cual conlleva a que la situación sea más propensa a la manipulación y trae como resultado que muchos sistemas y mecanismos caigan en una zona legal gris.
En este artículo vamos a discutir la Ley de Resiliencia Operativa Digital (DORA), según sus siglas en inglés): sus alcances, sus objetivos y los requerimientos que busca atender, también vamos a discutir el cronograma de DORA y cómo podemos prepararnos para su implementación.
Pero antes de eso, vamos a repasar brevemente cuándo y cómo surgió esta ley.
Cómo comenzó DORA
La Ley de resiliencia operativa digital es parte de un paquete de legislación mucho más amplio que abarca múltiples campos de las finanzas digitales, entre estos se incluyen los mercados de criptoactivos y la tecnología de registros distribuidos; la ley fue desarrollada por La Comisión Europea con el fin de proteger al ciudadano común contra estafas y perdidas y minimizar el riesgo.
El Consejo Europeo propuso el reglamento el pasado 24 de septiembre del año 2020, y este pasó a la etapa de negociación el 24 de noviembre del año 2021 para luego ser adoptado como un documento provisional el 10 de mayo del año 2022.
El alcance: ¿A quién impacta DORA?
DORA cubre a todas las instituciones financieras que operan en la Unión Europea, incluidos bancos, empresas de crédito, compañías de seguros y auditores; de acuerdo a la legislación propuesta, incluso las organizaciones que operan en el extranjero se verán obligadas a abrir filiales europeas para ser supervisados de forma más conveniente y ofrecer respuestas oportunas ante cualquier consulta de sus negocios en los espacios de la UE.
La Ley de Resiliencia Operativa Digital (DORA) tiene como objetivo reafirmar un mayor control sobre la capacidad de las instituciones financieras para responder, informar y gestionar los riesgos de seguridad cibernética, ya que las instituciones financieras dependen de las Tecnologías de Información y Comunicación (TIC) de terceros, lo cual las expone a riesgos más amplios; esta es la razón por la cual uno de los objetivos principales de DORA es regular dichos servicios y sus capacidades de respuesta.
¿Cuáles son las principales reglas de DORA?
DORA se enfoca en aspectos muy específicos de la seguridad cibernética para entidades financieras, entre los que podemos enumerar los informes de incidentes, la ejecución de pruebas de penetración y el intercambio de información. Su objetivo general es igualar el campo de acción con requisitos proporcionales para todas las organizaciones.
Vamos a profundizar cada requisito para una revisión más detallada.
Requisitos de gobernanza
La gestión de riesgos de TIC deriva es el resultado de la integración que realiza una empresa entre sus estrategias comerciales y su seguridad cibernética, es por eso que el enfoque de esta sección es proporcionar a empresas y organizaciones un conjunto de reglas relacionadas con las TIC:
- Funciones y responsabilidades claras (saber quién se ocupa de qué)
- Seguimiento y gestión continua de riesgos
- Asignación de recursos de inversión y formación
Gestión de riesgos por parte de terceros
Esta sección de la Ley de resiliencia operativa digital cubre las prácticas de gestión de riesgos habituales que deben tomarse cuando lidiamos con terceros, tales como:
- Mantenerse al día con las medidas de prevención y protección acordadas
- Tener mecanismos apropiados para la detección de anomalías
- Actualización frecuente de sistemas y protocolos de seguridad
- Establecer prácticas adecuadas para garantizar la continuidad de operaciones y la gestión de desastres
Informe de incidentes
La notificación de incidentes es una parte integral de todas las prácticas de seguridad cibernética, por lo que la Ley de Resiliencia Operacional Digital (DORA) tiene como objetivo establecer procedimientos simples y eficientes para la emisión de este tipo de informes; a continuación, te presentamos algunos de los objetivos de esta sección:
- Agilizar la creación de plantillas para la emisión de informes iniciales, intermedios y finales
- Iniciar sistemas de comunicación fluida entre las autoridades y organizaciones financieras para obtener respuestas rápidas y eficientes
- Centralizar el sistema de informes en un colector de data exclusivo para la UE, que manejará todos los informes de ataques cibernéticos significativos de cada institución financiera.
Pruebas de resiliencia
Las pruebas de penetración periódicas en operaciones digitales, son uno de los componentes esenciales que más resaltan en DORA, ya que, de acuerdo a los lineamientos estipulados en esta, todas las organizaciones financieras deben probar sus sistemas con frecuencia con el fin de identificar debilidades y encontrar todo lo que necesite una mejora; la forma en que lo establece el reglamento es la siguiente:
- Mecanismos de prueba proporcionales (siempre acorde al tamaño de la empresa y el nivel de riesgo del negocio)
- Requisitos de probadores en toda la Unión Europea
El intercambio de información
Esta directiva es la que resalta la importancia del intercambio de información entre organizaciones financieras, el cual es crucial por las razones que enumeramos a continuación:
- Creación de conciencia sobre los riesgos que implican las amenazas cibernéticas
- Para el continuo proceso de concientización, el cual mitiga la propagación de las amenazas ya mencionadas
- El apoyo mutuo en la creación y ejecución de prácticas de detección de amenazas resilientes
- DORA y DMARC
¿Qué tiene que ver DORA con DMARC?
El enlace entre ambas es simple: la persistente presencia de amenazas cibernéticas que están en todas partes, y el correo electrónico como una de las infraestructuras de comunicación más usadas por las instituciones financieras a nivel mundial.
Los ataques a correos corporativos (Business Email Compromise o BEC, según sus siglas en inglés) es una variante de phishing dirigido con el potencial de arruinar la operatividad de la mayoría de las empresas que trabajan en línea; en el caso de las organizaciones financieras, este tipo de ataque también amenaza a sus clientes.
Hay mucho más que cubrir en lo que se refiere al cumplimiento de la Ley de Resiliencia Operativa Digital (DORA), pero cumplir con protocolos DMARC es uno de los antídotos cruciales contra el phishing y la suplantación de identidad.
¿Qué sigue para DORA?
El borrador final del documento de la Ley de Resiliencia Operativa Digital (DORA) está programado para ser aprobado por el Consejo Europeo y el Parlamento Europeo a finales del verano del año 2022.
Posteriormente, la normativa recorrerá Europa, integrándose en la legislación de cada estado miembro de la Unión; una vez que dicho proceso esté completo, las Autoridades Europeas de Supervisión, incluida la Autoridad Bancaria Europea (EBA), la Autoridad Europea de Seguros y Pensiones de Jubilación (EIOPA) y la Autoridad Europea de Valores y Mercados (ESMA), desarrollarán una serie de requisitos técnicos bajo el marco legal que provee las normativas de DORA.
Las autoridades ya mencionadas también actuarán como órganos de control y aplicación de esta normativa.
Cómo prepararse para la adopción de DORA
La adopción de nuevas regulaciones siempre ejerce presión sobre empresas y organizaciones, por lo que DORA no es excepción; se hace necesario comprender e implementar el cambio, lo cual requiere mucho tiempo y recursos, especialmente para las organizaciones financieras que operan fuera de la Unión Europea con clientes dentro de esta.
Es probable que una vez aprobada DORA de forma oficial, las pequeñas y medianas empresas tengan alrededor de un año para cumplir con todos los requisitos impuestos por esta, lo cual por supuesto, depende de algunos factores, tales como la exposición al riesgo cibernético y el perfil comercial de cada empresa, razón por la cual las empresas y organizaciones más grandes pueden tener hasta 36 meses de plazo para la adopción total de estas nuevas regulaciones.
A continuación, hemos identificado para ti algunos pasos que las empresas pueden tomar para dar los primeros pasos hacia una transición sin problemas:
- Implementa buenas prácticas de seguridad cibernética: hay innumerables guías y marcos operativos para familiarizarse con la creación de un sistema de seguridad sólido, asegúrate de seguir las directrices de gestión de riesgos de TIC y los acuerdos de externalización.
- Mejora las defensas de tus sistemas: instala un cortafuego, adopta medidas de seguridad, haz que se cumplan normas para la buena higiene de contraseñas, ofrece programas de capacitación que promuevan la conciencia en línea a todo tu personal, accede al mundo de los protocolos de seguridad del correo electrónico si aún no lo has hecho y aprende tanto como puedas.
- Realiza pruebas para identificar problemas de seguridad: las pruebas de penetración pueden ser una herramienta poderosa para descubrir brechas en tus sistemas, así como en tus operaciones diarias.
- Asegúrate de que tus activos principales estén debidamente resguardados para una mejor gestión: cuando sepas qué activos tienes bajo tu control, es posible designar los roles correctos para gestionarlos y proporcionar un seguimiento constante.
- Asegúrate de establecer una mentalidad para generar informes rápidos: con roles y procesos a mano harás que sea mucho más fácil producir los informes de los incidentes relevantes con prontitud.
Pensamientos finales
La implementación de DORA es una realidad que está muy próxima a concretarse, esta normativa traerá nuevas normas específicas para la presentación de informes y el intercambio de información, por lo que es necesario contar con prácticas de seguridad cibernética adecuadas desde el principio para acelerar la integración; puedes descubrir cómo nuestro servicio DMARC puede ayudarte a lograr esto con precisión mientras mantienes tu correo electrónico seguro.