Los proveedores de servicios financieros son esenciales para el mundo moderno, ya que suministran los sistemas críticos para el flujo de negocios. Garantizar que estos sistemas sean resistentes y estén disponibles las 24 horas del día, los 7 días de la semana es important para mantener la confianza del cliente, impulsar la continuidad del negocio y mantener el cumplimiento normativo.
La Ley de Resiliencia Operacional Digital (DORA), un reglamento de la Unión Europea (UE) introducido en enero de 2023, tiene como objetivo respaldar esto mejorando la resiliencia digital en entidades financieras como bancos y compañías de seguros. En julio de 2024 se publicará un segundo lote de requisitos de política de DORA que detallarán los pasos adicionales que los proveedores de servicios financieros deben tomar para cumplir con la Ley. Con la fecha límite ultimate el 17 de enero de 2025, no hay tiempo que perder. Los proveedores de servicios deben actuar rápidamente y realizar las inversiones necesarias para garantizar el cumplimiento.
DORA en el Reino Unido
El objetivo de DORA es equipar al sector financiero europeo para resistir graves perturbaciones operativas, como los ciberataques impulsados por la IA. Si bien no se aplica directamente en el Reino Unido, sigue siendo relevante para cualquier institución financiera que preste servicios en la UE, ya que deberán cumplirlo para continuar sirviendo a sus clientes europeos.
Sin embargo, es importante evitar ver a DORA como un obstáculo regulatorio más que debe superarse. Aquellos que hayan invertido en establecer los procesos y capacidades necesarios para cumplir estarán en mejores condiciones para asegurar relaciones duraderas y construir asociaciones más sólidas con sus clientes de la UE. Al adherirse a las pautas establecidas por DORA, las organizaciones pueden garantizar las mejores prácticas y, en última instancia, ayudar a impulsar la experiencia del cliente y generar confianza con los consumidores.
Requisitos clave para cumplir el mandato
Los ciberataques se han vuelto más frecuentes y difíciles de defender a lo largo de los años. Investigaciones recientes revelan que el 72% de los CISO dicen que su organización ha experimentado un problema relacionado con la seguridad de las aplicaciones en los últimos dos años, y el uso creciente de la IA está empeorando las cosas. El cumplimiento de DORA colocará a los servicios financieros en una posición más sólida para resistir estas amenazas cibernéticas más sofisticadas, proteger la información confidencial de los clientes y mantener la confianza en el sistema financiero.
Para garantizar el cumplimiento, los proveedores de servicios financieros deben cumplir con lo siguiente:
1) Gestión de riesgos de TI: los proveedores de servicios financieros deben asegurarse de contar con un marco sólido para identificar, evaluar y neutralizar posibles amenazas de TI. Uno de los requisitos de DORA incluye escanear periódicamente paisajes digitales para identificar posibles vulnerabilidades.
2) Informe de incidentes: DORA también exige que los proveedores de servicios financieros informen un incidente dentro de las 4 horas posteriores a la clasificación, o a más tardar 24 horas desde el momento de la detección. Para que esto suceda, las empresas financieras deben tener las herramientas correctas para identificar amenazas rápidamente y no depender de capacidades de detección y respuesta manuales.
3) Pruebas de resiliencia operativa: las pruebas periódicas de resiliencia operativa también son un requisito clave de DORA, lo que obliga a las organizaciones de servicios financieros a simular ciberataques e interrupciones dentro de sus sistemas para exponer las vulnerabilidades en sus activos.
Estos requisitos subrayan que ya no es suficiente que los proveedores de servicios financieros puedan demostrar el cumplimiento durante un período de dos semanas para una auditoría anual. DORA requiere un nuevo enfoque de cumplimiento, mediante el cual las empresas deben estar constantemente preparadas para responder de manera rápida y eficiente en cualquier momento del año.
Herramientas del oficio: garantizar el cumplimiento
Cumplir estos requisitos puede ser un desafío, especialmente para aquellos que todavía dependen del cumplimiento normativo tradicional y de las prácticas de gestión de vulnerabilidades. Los equipos de seguridad a menudo tienen dificultades para monitorear eficazmente los sistemas internos para identificar rápidamente amenazas potenciales, lo que dificulta informar incidentes rápidamente de conformidad con DORA.
La dificultad es que los bancos suelen tener una visibilidad limitada debido a que sus sistemas se ejecutan en entornos de nube complejos. Si no se controlan, los puntos ciegos dentro de estos entornos pueden causar interrupciones en servicios bancarios importantes debido al riesgo de que se pasen por alto las vulnerabilidades hasta que ocurra un incidente de seguridad. Estos desafíos se ven agravados por la precise escasez de habilidades en ciberseguridad. Con private limitado y los mayores requisitos de monitoreo e informes de incidentes de DORA, los proveedores de servicios financieros tendrán dificultades para cumplir si no encuentran una manera más efectiva de identificar y responder a las amenazas a la seguridad.
Para respaldar sus esfuerzos, las organizaciones financieras deben converger sus datos de seguridad y observabilidad en un solo lugar, donde puedan usarse para permitir el análisis automatizado de vulnerabilidades en tiempo de ejecución. Al hacerlo, los proveedores de servicios financieros tendrán una fuente clara de información en tiempo actual sobre posibles amenazas e incidentes de seguridad. Luego, los equipos de finanzas pueden identificar rápidamente la gravedad y el impacto de los incidentes y reportar esta información a la velocidad necesaria para cumplir con DORA.
La cuenta atrás ya ha comenzado
Faltando sólo seis meses, las instituciones financieras deben finalizar pronto sus preparativos si quieren cumplir el plazo de cumplimiento. Pero DORA no se trata sólo de marcar casillas; se trata de construir un negocio seguro y resiliente en el panorama de amenazas en constante cambio. Aquellos que vean el valor de adoptar las mejores prácticas que ello implica estarán en buena posición para sentar las bases de un éxito continuo, previniendo proactivamente los ciberataques en lugar de luchar por contenerlos en el último minuto.
