A nadie se le escapa la importancia de un sector estratégico para la economía global. La paralización o alteración de sus actividades podría suponer graves consecuencias para muchas organizaciones tanto públicas como privadas, que dependen directa o indirectamente de este sector e incluso tener un impacto global, como señala el propio documento del FMI.
Para poder mitigar este alto riesgo, en diciembre de 2022, la Unión Europea (UE) publicó el Reglamento sobre la “resiliencia operativa digital del sector financiero” (en adelante, DORA)2. Con este Reglamento la UE busca incorporar la seguridad a los procesos y la operativa del negocio financiero y para ello pone el foco en cuatro áreas: el marco de gobierno, la gestión de incidentes, las pruebas de resiliencia operativa y la gestión de riesgos relacionados con terceros. No son medidas muy diferentes a las que cualquier organización debiera de aplicar para salvaguardar su seguridad y están alineadas con otras normativas existentes, como pudiera ser la ISO 27001, por citar quizás la más extendida y conocida.
El alcance del Reglamento es amplio y aplica a la mayoría de las organizaciones del sector: entidades de crédito, compañías de seguros, entidades de pago, entidades de dinero electrónico, gestoras, fondos de pensiones, agencias de calificación crediticia, entre otras.
El punto de partida es muy diferente existiendo diferencias importantes entre las entidades involucradas. Por un lado, muchas de las grandes entidades del sector dedican, desde hace muchos años, grandes recursos a la seguridad digital de su negocio, lo cual garantiza un cumplimiento casi inmediato. Pero son también muchas las empresas, no con tantos medios, para las que la nueva norma supondrá un esfuerzo extra importante.
Para las entidades ya maduras en ciberseguridad el reto mayor se centra en la monitorización de la cadena de suministro, siendo precisamente sus cadenas de suministro, el origen de los ataques con mayor impacto que han sufrido recientemente. Por el contrario, para otras entidades que no gocen de un nivel de seguridad apropiado a los tiempos, la nueva normativa puede suponer un antes y después en su seguridad al verse obligadas a implementar una verdadera estrategia de ciberseguridad.
Sigue en directo la cotización de Izertis
Esto supondrá que basado en un análisis de riesgos preliminar todas las entidades deberán desarrollar una serie de procedimientos documentados que habrá que implementar y cumplir en toda la organización. Se busca mejorar la seguridad de la organización de forma preventiva y también elevar la capacidad de recuperarse frente a incidentes, minimizando su impacto en caso de producirse y las posibles consecuencias.
El esfuerzo vale la pena. DORA va a dotar a la organización de grandes ventajas, como el aumento de la competitividad en el mercado por el valor añadido que aporta introducir seguridad en las operaciones, mayor prestigio de la marca, disminución de la probabilidad de ocurrencia de incidentes de seguridad, reducción de los tiempos de recuperación en caso de desastre, la incorporación de la cultura de ciberseguridad en la compañía, etc.
El tiempo pasa deprisa y estamos a poco más de seis meses de la fecha límite establecida por la UE, 17 de enero de 2025, para que todas las organizaciones, grandes o pequeñas, tengan implementadas las medidas que recoge DORA.
El Reglamento establece diferentes requisitos, desde la elaboración de los procedimientos hasta las pruebas de auditoría técnica, por lo que en Izertis ofrecemos un servicio ‘DORA Outsourcing’, adaptado a las necesidades particulares de cada entidad, que garantice su cumplimiento efectivo, mejore la seguridad de nuestros clientes y evite posibles sanciones.