• Afiliación

    CetifMás de 30.000 profesionales componen el ecosistema: facilitamos el encuentro y el intercambio entre bancos, aseguradoras y empresas en un centro académico, un entorno competente e independiente, para compartir conocimientos, experiencias y estrategias sobre los motores de cambio más innovadores.

  • Eventos

    Workshop Summit WebinarMás de 60 actos, entre los que se incluyen Actos principales ( y ) y Actos comunitarios (relacionados con actividades de investigación) y : reunimos a bancos, compañías de seguros y empresas para que compartan tendencias y retos con el fin de esbozar estrategias de desarrollo innovadoras.

research

DORA: Análisis de carencias en curso para el cumplimiento. Pero el reto es cultural

Editado por AziendaBanca | Alberto Grisoni
19.03.2024
Noticias
Editado por AziendaBanca | Alberto Grisoni

El Reglamento DORA exige una evolución cultural y organizativa, más que tecnológica. Desde el punto de vista de los procesos, las funciones y la infraestructura, de hecho, el nuevo Reglamento europeo formaliza varias áreas en las que los bancos ya han venido trabajando a lo largo del tiempo.

CeTIF"Las entidades financieras llevan tiempo recorriendo un camino", afirma Paolo Gatelli, Investigador Senior de, "que empieza con el concepto de continuidad de negocio expresado, por ejemplo, por Basilea II. Si nos fijamos únicamente en el cumplimiento, hoy en día los bancos están llevando a cabo un análisis de carencias para identificar aquellos aspectos en los que aún no son plenamente conformes y adaptarse a los dictados normativos".

La resistencia en el ADN de las empresas

Sin embargo, una mera perspectiva de cumplimiento hace que se pierda de vista el concepto sustantivo que subyace al DORA: situar la cuestión de la ciberresiliencia en el centro de las estrategias de los consejos de administración y la alta dirección.

"La normativa no es tan explícita", explica Gatelli, "pero en varios aspectos, como en las lógicas de información, surge la voluntad de elevar la seguridad informática y la resiliencia al centro de la gobernanza de la empresa. No se trata sólo de revisar la organización, las tecnologías o los controles, sino de reunir, también mediante la creación de un lenguaje común, a quienes siguen los aspectos técnicos de la seguridad y a quienes gobiernan la empresa".

Comprender el impacto de la resiliencia

No sólo, por tanto, garantizar que un banco o una compañía de seguros sea capaz de resistir un posible ciberataque.

Pero orientarlas hacia la resiliencia, es decir, la capacidad de volver rápidamente a un nivel adecuado de prestación de servicios y evitar una crisis potencialmente sistémica.

"Ya no se trata de gestionar el tiempo de inactividad o la recuperación en caso de catástrofe", confirma Gatelli, "sino de garantizar que el banco siga desempeñando su papel esencial ante los clientes y la sociedad. Esto significa también asegurarse de que el consejo de administración y la alta dirección sepan cómo abordar estas cuestiones y, al mismo tiempo, que quienes siguen los aspectos más técnicos y tecnológicos sepan contar el impacto potencial del riesgo cibernético en el negocio".

Un tema transversal

El nuevo enfoque sistémico se ve confirmado por el carácter transversal de las funciones corporativas implicadas en el cumplimiento del DORA.

Seguridad informática, conformidad y gestión de riesgos, por supuesto, pero también la gestión de proveedores, subcontratistas, compras. Porque Dora también incluye a terceros y proveedores de servicios informáticos en la evaluación de la resiliencia.

"También en este caso", afirma Gatelli, "DORA formaliza una serie de buenas prácticas que ya utilizan muchas instituciones financieras cuando tratan con su cadena de suministro.

Sin embargo, hay que distinguir entre las grandes empresas, que ya están acostumbradas a tratar ciertos temas y a veces ya están sujetas a supervisión, y las medianas y pequeñas empresas que pueden no estar preparadas para una "supervisión indirecta".

Riesgo de selección natural de proveedores

El regulador exigirá a los bancos que faciliten datos y análisis sobre aquellos terceros con los que tenga una relación relevante. Y esto dará lugar a una "selección natural" de la multitud de pequeños proveedores de TIC que prestan servicio al sector financiero en la actualidad.

"No todo el mundo tiene capacidad para cumplir determinados requisitos y cumplirlos adecuadamente", señala Gatelli. Algunos bancos ya nos han hablado de proveedores que tienen previsto echarse atrás y abandonar el mercado. El banco también tendrá que reflexionar sobre su cadena de suministro y evaluar si un proveedor pone en peligro la seguridad de la misma.

Si una institución, por ejemplo, compra código a una tercera empresa, resulta crucial saber quién lo desarrolla, si hay subcontratistas y dónde están ubicados geográficamente, tanto por razones de seguridad como éticas".

Nuevos modelos de colaboración

Pero aunque las actividades de información, las evaluaciones de vulnerabilidad, la formación y la certificación de recursos podrían resultar insostenibles para los pequeños proveedores, los bancos podrían colaborar para acompañar conjuntamente a los proveedores a través de los procesos necesarios para cumplir los controles impuestos por el DORA.

Una opción de eficiencia", prosigue Gatelli, "pero también de normalización de la gestión de la cadena de suministro. Los bancos y los proveedores pueden ayudarse y apoyarse mutuamente para cumplir los requisitos normativos.

Creo que el vínculo entre las instituciones financieras y los proveedores críticos se reforzará y será más transparente: no sólo por obligación reglamentaria, sino por interés mutuo".

Intercambio de información y enfoque sistémico

El objetivo de integrar la resistencia del sector financiero en un enfoque ecosistémico global queda claro cuando DORA habla del intercambio de información.

"Es la conclusión de una importante evolución cultural", afirma Gatelli, "porque desgraciadamente aún hoy persiste la idea de que el ciberataque es algo que hay que ocultar, porque repercute en la reputación de la institución. En cambio, la información sobre los ataques debe compartirse con otras personas que puedan enfrentarse a la misma amenaza en el futuro, o que puedan ser ya un objetivo sin saberlo".

Con este enfoque sistémico, las experiencias de los demás se convierten en algo de lo que aprender.

"Hay que analizar y comprender las amenazas para prevenir nuevos ataques", explica Gatelli. Si un banco, por ejemplo, detectó anomalías que luego resultaron ser un incidente, los demás saben que tienen que prestar atención a esas anomalías. Conocer las contramedidas aplicadas por otros también puede ayudar a reaccionar mejor y más rápido ante un ataque similar, respondiendo ya a los primeros indicios".

Tecnologías innovadoras y enfoque de confianza cero

Sin embargo, la adaptación al DORA no consiste únicamente en esta evolución cultural. Se trata más bien de examinar la cuestión de las tecnologías que deben adoptarse con este nuevo enfoque.

"Hablamos de una gama muy amplia de soluciones", concluye Gatelli, "que van desde la autenticación de usuarios hasta la protección perimetral. En términos de arquitectura, es interesante la ya famosa Zero Trust, es decir, una combinación de tecnologías para vigilar puntualmente los puntos de acceso externos.

En la era del trabajo inteligente, muchos puestos de trabajo de los empleados funcionan a distancia: blindar el perímetro de los sistemas del banco es, por tanto, más complejo. Se necesitan herramientas para gestionar cada punto de acceso, decidiendo a qué datos y aplicaciones se puede acceder, por ejemplo.

También observamos una tendencia hacia el uso de tecnologías que no tienen su origen en el ámbito de la seguridad, como la analítica y la inteligencia artificial, y que pueden aplicarse en este campo para evolucionar desde las actuales normas estáticas de ciberseguridad y avanzar hacia nuevos modelos dinámicos, que detecten posibles amenazas incluso a través de señales débiles, como la forma en que se utiliza un dispositivo o la coherencia de una transacción bancaria con el perfil de comportamiento del cliente".