Blog

DORA en el horizonte: Una nueva normativa de ciberseguridad para el sector financiero europeo

Publicado el 24 mayo 2022

Los usos de la banca digital han experimentado un creciente desarrollo desde los inicios de la década de los 2000, con la aparición de los bancos en línea y, posteriormente, los neobancos (entidades financieras que brindan sus servicios exclusivamente a través de internet). El desarrollo del pago móvil, por ejemplo, ilustra perfectamente estos acontecimientos.

Aunque estos servicios facilitan la vida de los consumidores, dependen de numerosas interconexiones que representan un mayor riesgo cibernético. Independientemente de que hablemos de una verificación de identidad o de transacciones seguras, el sector financiero debe fortalecer su ciberseguridad para protegerse.

Armonizar las prácticas de ciberseguridad en un ecosistema altamente regulado

Después de la crisis financiera de 2008, la Unión Europea reestructuró el sector y estandarizó sus prácticas para evitar nuevas quiebras. En aquel momento, el riesgo de TI no se tuvo en consideración dentro de las reformas adoptadas si lo comparábamos con otros tipos de riesgos. Al centrarse en la resistencia operativa digital, DORA es una prolongación lógica de esta normativa.

Naturalmente, algunos actores de este sector financiero altamente regulado ya se veían afectados por otros marcos normativos como la Directiva NIS a nivel europeo o la legislación nacional sobre ciberseguridad (por ejemplo, la Ley de Programación Militar en Francia).

Sin embargo, el riesgo asociado con las tecnologías digitales está aumentando sin que la madurez cibernética de los actores gane en homogeneidad. Esto es especialmente cierto y puede apreciarse en la medida en que proliferan en el mercado nuevos participantes, como las nuevas empresas de criptomonedas. De ahí la necesidad de nuevas regulaciones que tengan en cuenta todo tipo de ataques, armonicen reacciones, etc.

Por ejemplo, en la primavera de 2021, la Autoridad Bancaria Europea sufrió un ciberataque en sus servidores de Microsoft Exchange que le obligó a desconectar su sistema de mensajería. A pesar de esto, es importante comprender que el riesgo cibernético no se limita a las grandes empresas o instituciones.

A finales de 2016, el investigador de seguridad Vincent Haupert expuso varios defectos, ya corregidos, de la aplicación móvil del neobanco alemán N26. Estas vulnerabilidades le habían permitido llevar a cabo un ataque «man-in-the-middle», ¡abriendo la puerta a varias operaciones, incluida la modificación del destinatario de la transferencia!

Esta es la razón por la que DORA prevé adaptaciones para las microempresas e integra la dimensión sistémica del riesgo cibernético: los proveedores de servicios son, por lo tanto, una parte integral de los datos, como marca la GDPR.

¿En qué consiste DORA ?

DORA tiene como objetivo fortalecer la resiliencia del sector financiero ante incidentes relacionados con las tecnologías digitales. A diferencia de una directiva europea que cada país transpone a la legislación nacional, esta ley, que cuenta con una visión muy amplia, se aplicará de manera uniforme a todo el sector financiero europeo.

Se basa en 5 pilares que son:

  • Gestión de riesgos relacionados con las tecnologías digitales.
  • Informes de incidentes relacionados con estas tecnologías.
  • Pruebas de resiliencia operativa digital.
  • Gestión de riesgos de terceros de las tecnologías digitales.
  • Intercambio de información e inteligencia

«La notificación en caso de incidente suele ser el punto más débil de la cadena de cumplimiento para los actores afectados. A pesar de que el riesgo sea una parte intrínseca del sector y de que exista una fuerte cultura de cumplimiento, la correcta difusión de esta información entre los actores pertinentes todavía constituye un desafío para muchos.”

Aurélia Delfosse
Aurélia Delfosse • Gerente de la Oferta de Cumplimiento, Advens.

¿Qué impacto tiene para las empresas del sector?

Tal reglamento, que es vinculante para todas las estructuras del sector de manera uniforme, representa una ventaja para los operadores multinacionales que desarrollan su trabajo en diferentes países europeos, ya que su adopción supone la armonización de las prácticas.

En Advens, abordamos esta nueva regulación manteniéndonos fieles a nuestro principio de funcionamiento multirreferencial. Este enfoque global del cumplimiento permite identificar sinergias y capitalizar lo que ya existe.

Por ejemplo, en el caso de una violación de datos en un cliente, es posible diseñar un proceso común para notificar a la CNIL (NIS, aunque en España la institución encargada de sancionar en caso de cumplimiento de la normativa, o si hay algún tipo de incidente relacionado con los datos personales es la Agencia Española de Protección de Datos – AEPD) y a la autoridad competente ante DORA.

Por el contrario, la aplicación unitaria de cada reglamento crea desventajas operativas (redundancia, ineficiencia, etc.).

«Con la regulación DORA casi finalizada, ya hemos integrado sus requisitos en nuestros enfoques de resiliencia a los riesgos operativos y cibernéticos. Con el fin de agrupar, estamos trabajando con CIOs, CISOs, pero también con departamentos de riesgo operativo y financiero para incluir esta regulación en los procesos de cumplimiento existentes”.

Aurélia Delfosse
Aurélia Delfosse • Gerente de la Oferta de Cumplimiento, Advens.

Al involucrar a terceros proveedores de servicios, DORA introduce una lógica de ecosistema real en la ciberseguridad del sector financiero europeo.

¿El objetivo? Alinear las prácticas y mejorar la resiliencia operativa. Por lo tanto, su aplicación es un paso importante que, sin embargo, puede formar parte de un enfoque de cumplimiento existente gracias a la experiencia de un especialista como Advens.