Los proveedores de servicios financieros y sus proveedores de tecnología digital están bajo una intensa presión para cumplir con las estrictas nuevas normas de la UE que requieren que refuercen su ciberresiliencia.
Para el inicio del próximo año, las empresas de servicios financieros y sus proveedores de tecnología deberán asegurarse de cumplir con una nueva ley entrante de la Unión Europea conocida como DORA, o Ley de Resiliencia Operativa Digital.
CNBC explica lo que necesitas saber sobre DORA, incluyendo qué es, por qué es importante y qué están haciendo los bancos para asegurarse de estar preparados para ello.
¿Qué es DORA?
DORA requiere que los bancos, compañías de seguros e inversión refuercen su seguridad informática. La regulación de la UE también busca garantizar que la industria de servicios financieros sea resiliente en caso de una interrupción severa de las operaciones.
Estas interrupciones podrían incluir un ataque de ransomware que haga que las computadoras de una empresa financiera se apaguen, o un ataque de denegación de servicio distribuido (DDoS) que haga que el sitio web de una empresa se desconecte.
La regulación también busca ayudar a las empresas a evitar eventos de apagones importantes, como el histórico colapso informático del mes pasado causado por la empresa cibernética CrowdStrike cuando una simple actualización de software emitida por la empresa provocó que el sistema operativo Windows de Microsoft se bloqueara.
Varias bancos, empresas de pago y compañías de inversión —desde JPMorgan Chase y Santander, hasta Visa y Charles Schwab— no pudieron prestar servicio debido al apagón. A estas empresas les tomó varias horas restablecer el servicio a los consumidores.
En el futuro, tal evento sería considerado como el tipo de interrupción de servicio que enfrentaría escrutinio bajo las nuevas reglas de la UE.
Mike Sleightholme, presidente de la empresa de tecnología financiera Broadridge International, señala que un factor destacado de DORA es que no se enfoca solo en lo que los bancos hacen para garantizar la resiliencia, sino que también examina de cerca a los proveedores tecnológicos de las empresas.
Bajo DORA, los bancos deberán llevar a cabo una gestión rigurosa de riesgos informáticos, gestión de incidentes, clasificación e informes, pruebas de resiliencia operativa digital, información e intercambio de inteligencia en relación con amenazas cibernéticas y vulnerabilidades, y medidas para gestionar los riesgos de terceros.
Las empresas deberán realizar evaluaciones de “riesgo de concentración” relacionadas con la externalización de funciones operativas críticas o importantes a empresas externas.
Estos proveedores de tecnología a menudo brindan “servicios digitales críticos a los clientes”, dijo Joe Vaccaro, gerente general de ThousandEyes, una empresa de monitoreo de calidad de Internet propiedad de Cisco.
“Estos proveedores de terceros ahora deben ser parte del proceso de pruebas e informes, lo que significa que las empresas de servicios financieros deben adoptar soluciones que les ayuden a descubrir y mapear estas dependencias a veces ocultas con los proveedores”, dijo a CNBC.
Los bancos también tendrán que “ampliar su capacidad para asegurar la entrega y el rendimiento de las experiencias digitales no solo en la infraestructura que poseen, sino también en la que no poseen”, añadió Vaccaro.
¿Cuándo entra en vigor la ley?
DORA entró en vigor el 16 de enero de 2023, pero las normas no serán aplicadas por los estados miembros de la UE hasta el 17 de enero de 2025.
La UE ha priorizado estas reformas debido a cómo el sector financiero depende cada vez más de la tecnología y las empresas tecnológicas para ofrecer servicios vitales. Esto ha hecho que los bancos y otros proveedores de servicios financieros sean más vulnerables a ciberataques y otros incidentes.
“Hay mucho enfoque en la gestión del riesgo de terceros” ahora, dijo Sleightholme a CNBC. “Los bancos utilizan proveedores de servicios externos para partes importantes de su infraestructura tecnológica.”
“La mejora de los objetivos de tiempo de recuperación es una parte importante. Realmente se trata de la seguridad en torno a la tecnología, con un enfoque particular en las recuperaciones de ciberseguridad de eventos cibernéticos”, añadió.
Muchas reformas de política digital de la UE de los últimos años tienden a centrarse en las obligaciones de las empresas mismas para asegurarse de que sus sistemas y marcos sean lo suficientemente robustos como para protegerse contra eventos dañinos como la pérdida de datos a manos de hackers o individuos y entidades no autorizados.
La Regulación General de Protección de Datos (GDPR) de la UE, por ejemplo, requiere que las empresas aseguren que la forma en que procesan la información personal se haga con consentimiento, y que se maneje con protecciones suficientes para minimizar el potencial de que dichos datos se expongan en una violación o fuga.
DORA se centrará más en la cadena de suministro digital de los bancos —lo que representa una dinámica legal nueva, potencialmente menos cómoda, para las empresas financieras.
¿Qué sucede si una empresa no cumple?
Para las empresas financieras que incumplan las nuevas normas, las autoridades de la UE tendrán el poder de imponer multas de hasta el 2% de sus ingresos globales anuales.
Los gerentes individuales también pueden ser responsables de violaciones. Las sanciones a individuos dentro de entidades financieras podrían llegar hasta 1 millón de euros ($1.1 millones).
Para los proveedores de tecnología, los reguladores pueden imponer multas de hasta el 1% de los ingresos globales promedio diarios del año comercial anterior. Las empresas también pueden ser multadas todos los días durante un máximo de seis meses hasta que cumplan con los requisitos.
Los proveedores de IT de terceros considerados “críticos” por los reguladores de la UE podrían enfrentar multas de hasta 5 millones de euros —o, en el caso de un gerente individual, un máximo de 500,000 euros.
Eso es ligeramente menos severo que una ley como la GDPR, bajo la cual las empresas pueden ser multadas hasta con 10 millones de euros ($10.9 millones), o el 4% de sus ingresos globales anuales —lo que sea el monto más alto.
Carl Leonard, estratega de ciberseguridad de EMEA en la empresa de software de seguridad Proofpoint, subraya que las sanciones criminales pueden variar de un Estado miembro a otro dependiendo de cómo cada país de la UE aplique las reglas en sus mercados respectivos.
DORA también exige un “principio de proporcionalidad” en cuanto a las penalizaciones en respuesta a incumplimientos de la legislación, agregó Leonard.
Eso significa que cualquier respuesta a fallas legales tendría que equilibrar el tiempo, esfuerzo y dinero que las empresas gastan en mejorar sus procesos internos y tecnologías de seguridad contra lo crítico que es el servicio que ofrecen y los datos que intentan proteger.
¿Están listos los bancos y sus proveedores?
Stephen McDermid, director de seguridad de la información de EMEA en la empresa de ciberseguridad Okta, dijo a CNBC que muchas empresas de servicios financieros han priorizado el uso de programas internos existentes de resiliencia operativa y gestión de riesgos de terceros para cumplir con DORA y “identificar cualquier brecha que puedan tener”.
“Esta es la intención de DORA, crear una alineación de muchos programas de gobierno existentes bajo una única autoridad supervisora y armonizarlos en toda la UE”, añadió.
Fredrik Forslund, vicepresidente y director general internacional de la empresa de sanitización de datos Blancco, advirtió que aunque los bancos y los proveedores tecnológicos han estado avanzando hacia el cumplimiento de DORA, todavía hay “trabajo por hacer”.
En una escala del uno al diez —donde un valor de uno representa el incumplimiento y diez representa el cumplimiento total— Forslund dijo: “Estamos en 6 y estamos luchando por llegar a 7”.
“Sabemos que tenemos que estar en 10 para enero”, dijo, agregando que “no todos estarán allí para enero”.