Analizador de tráfico | Vectores de Digitalvision | Getty Images
Las empresas de servicios financieros y sus proveedores de tecnología digital están bajo una intensa presión para lograr el cumplimiento de las nuevas y estrictas normas de la UE que les exigen aumentar su resiliencia cibernética.
A principios del próximo año, las empresas de servicios financieros y sus proveedores de tecnología tendrán que asegurarse de que cumplen con una nueva ley entrante de la Unión Europea conocida como DORA, o Ley de Resiliencia Operativa Digital.
CNBC repasa lo que necesita saber sobre DORA, incluido qué es, por qué es importante y qué están haciendo los bancos para asegurarse de estar preparados.
¿Qué es DORA?
La DORA exige a los bancos, las compañías de seguros y las entidades de inversión que refuercen su seguridad informática. El reglamento de la UE también pretende garantizar la resiliencia del sector de los servicios financieros en caso de una interrupción grave de las operaciones.
Estas interrupciones podrían incluir un ataque de ransomware que provoque que las computadoras de una empresa financiera se apaguen, o un ataque DDOS (denegación distribuida de servicio) que obligue a que el sitio web de una empresa quede fuera de línea.
La regulación también busca ayudar a las empresas a evitar eventos de interrupción importantes, como el Colapso histórico de TI el mes pasado causado por una empresa cibernética Golpe de masas cuando una simple actualización de software emitida por la empresa obligó a bloquear el sistema operativo Windows de Microsoft.
Múltiples bancos, empresas de pago y compañías de inversión, desde JPMorgan Chase y Santandera Visa y Charles Schwab — no pudieron prestar el servicio debido a la interrupción del servicio. Estas empresas tardaron varias horas en restablecer el servicio a los consumidores.
En el futuro, un evento de estas características podría considerarse como un tipo de interrupción del servicio que sería objeto de escrutinio en virtud de las nuevas normas de la UE.
Mike Sleightholme, presidente de la empresa de tecnología financiera Broadridge International, señala que un factor destacado de DORA es que no solo se centra en lo que hacen los bancos para garantizar la resiliencia: también analiza de cerca a los proveedores de tecnología de las empresas.
Bajo DORA, los bancos deberán llevar a cabo una rigurosa gestión de riesgos de TI, gestión de incidentes, clasificación y generación de informes, pruebas de resiliencia operativa digital, intercambio de información e inteligencia en relación con las amenazas y vulnerabilidades cibernéticas, y medidas para gestionar los riesgos de terceros.
Las empresas deberán realizar evaluaciones del «riesgo de concentración» relacionado con la subcontratación de funciones operativas críticas o importantes a empresas externas.
Estos proveedores de TI a menudo brindan «servicios digitales críticos a los clientes», dijo Joe Vaccaro, gerente general de la empresa de monitoreo de calidad de Internet ThousandEyes, propiedad de Cisco.
«Estos proveedores externos ahora deben ser parte del proceso de prueba e informes, lo que significa que las compañías de servicios financieros necesitan adoptar soluciones que les ayuden a descubrir y mapear estas dependencias a veces ocultas con los proveedores», dijo a CNBC.
Los bancos también tendrán que «ampliar su capacidad para garantizar la entrega y el rendimiento de las experiencias digitales no sólo en la infraestructura que poseen, sino también en la que no poseen», añadió Vaccaro.
¿Cuándo se aplica la ley?
La DORA entró en vigor el 16 de enero de 2023, pero los estados miembros de la UE no aplicarán sus normas hasta el 17 de enero de 2025.
La UE ha dado prioridad a estas reformas debido a que el sector financiero depende cada vez más de la tecnología y de las empresas tecnológicas para prestar servicios vitales, lo que ha hecho que los bancos y otros proveedores de servicios financieros sean más vulnerables a los ciberataques y otros incidentes.
«Actualmente se presta mucha atención a la gestión de riesgos de terceros», dijo Sleightholme a la CNBC. «Los bancos utilizan proveedores de servicios externos para partes importantes de su infraestructura tecnológica».
«Los objetivos de tiempo de recuperación mejorados son una parte importante de esto. Realmente se trata de seguridad en torno a la tecnología, con un enfoque particular en la recuperación de ciberseguridad tras eventos cibernéticos», agregó.
Muchas de las reformas de política digital de la UE de los últimos años tienden a centrarse en las obligaciones de las propias empresas de asegurarse de que sus sistemas y marcos sean lo suficientemente sólidos como para proteger contra eventos dañinos como la pérdida de datos a manos de piratas informáticos o personas y entidades no autorizadas.
El Reglamento General de Protección de Datos de la UE, o RGPD, por ejemplo, exige que las empresas garanticen que el modo en que procesan información de identificación personal se realiza con consentimiento y que se maneja con protecciones suficientes para minimizar la posibilidad de que dichos datos queden expuestos en una violación o filtración.
DORA se centrará más en la cadena de suministro digital de los bancos, lo que representa una dinámica legal nueva y potencialmente menos cómoda para las empresas financieras.
¿Qué pasa si una empresa no cumple?
Para las empresas financieras que incumplan las nuevas normas, las autoridades de la UE tendrán el poder de imponer multas de hasta el 2% de sus ingresos globales anuales.
Los directivos individuales también pueden ser considerados responsables de infracciones. Las sanciones a personas dentro de las entidades financieras podrían ascender a un millón de euros (1,1 millones de dólares).
En el caso de los proveedores de TI, los reguladores pueden imponer multas de hasta el 1% de los ingresos diarios globales promedio del año comercial anterior. Las empresas también pueden ser multadas todos los días durante un máximo de seis meses hasta que cumplan con las normas.
Las empresas de TI de terceros consideradas «críticas» por los reguladores de la UE podrían enfrentarse a multas de hasta 5 millones de euros o, en el caso de un directivo individual, un máximo de 500.000 euros.
Esto es ligeramente menos severo que una ley como el RGPD, bajo la cual las empresas pueden ser multadas con hasta 10 millones de euros (10,9 millones de dólares) o el 4% de sus ingresos globales anuales, cualquiera que sea el monto mayor.
Carl Leonard, estratega de ciberseguridad para EMEA en la empresa de software de seguridad Proofpoint, destaca que las sanciones penales pueden variar de un estado miembro a otro dependiendo de cómo cada país de la UE aplique las normas en sus respectivos mercados.
DORA también exige un «principio de proporcionalidad» en lo que respecta a las sanciones en respuesta a las violaciones de la legislación, añadió Leonard.
Esto significa que cualquier respuesta a las fallas legales tendría que equilibrar el tiempo, el esfuerzo y el dinero que las empresas gastan en mejorar sus procesos internos y tecnologías de seguridad frente a la criticidad del servicio que ofrecen y los datos que intentan proteger.
¿Están preparados los bancos y sus proveedores?
Stephen McDermid, director de seguridad de EMEA de la empresa de ciberseguridad Okta, dijo a CNBC que muchas empresas de servicios financieros han priorizado el uso de la resiliencia operativa interna existente y los programas de riesgo de terceros para cumplir con DORA e «identificar cualquier brecha que puedan tener».
«Ésta es la intención de DORA: crear una alineación de muchos programas de gobernanza existentes bajo una única autoridad supervisora y armonizarlos en toda la UE», añadió.
Fredrik Forslund, vicepresidente y gerente general internacional de la empresa de desinfección de datos Blancco, advirtió que si bien los bancos y los proveedores de tecnología han estado avanzando hacia el cumplimiento de DORA, aún queda «trabajo por hacer».
En una escala del uno al diez (donde uno representa el incumplimiento y diez el cumplimiento total), Forslund dijo: «Estamos en el 6 y estamos luchando por llegar al 7».
«Sabemos que tenemos que llegar al 10 en enero», dijo, añadiendo que «no todos estarán ahí en enero».
