El pasado mes de enero se hizo obligatorio el cumplimiento de la normativa europea que aborda la ciberseguridad en el sector financiero, DORA (Reglamento de Resiliencia Operacional Digital). Con sanciones que incluyen hasta 10 millones de euros o el 5% de la facturación anual, este tipo de entidades han tenido hasta dos años para adaptar su actividad a requisitos basados ​​en la gestión de riesgos e incidentes, así como el intercambio de inteligencia, pruebas de madurez entre empresas y la gestión de la cadena de suministro.

Su redacción llama la atención porque sitúa a esta industria, que ya presumía de estar por delante en su posición en ciberseguridad respecto a otros sectores, en el epicentro de la estrategia continental en este sentidodemostrando, a su vez, la criticidad de bancos, compañías de seguros, gestoras de fondos y proveedores de tecnología hacia la economía del Viejo Continente.

Para muchos expertos, y en un tablero de juego hiperregulado digitalmente como es la de la Unión Europea (UE), es la “ley más exigente del mundo” en materia de ciberdefensa.

Pero de su severidad Se extraen prácticas y aprendizajes. más que optimista sobre el futuro de la carrera entre los ‘buenos’ y los ciberdelincuentes.

Y vivimos en un mundo totalmente ‘amenazado’ en términos de tecnología: la llamada economía del ciberataque Este año se han movido hasta 10 billones de dólares en todo el mundo y se espera que alcance los 15 billones en 2029.

Así, cita Rafael Vergara, director de estrategia y gobernanza de soluciones TIC y ciberseguridad de AENOR, una de las principales ventajas que han experimentado estas organizaciones es que “buena parte de la responsabilidad en ciberseguridad se transfiere a los órganos de dirección”. Es algo vital, continúa, “porque las futuras inversiones que realicen en el campo estarán muy alineadas con las necesidades del negocio”.

En términos similares se pronuncia David Ferrete, gerente del área de privacidad, ciberseguridad y cumplimiento de Ecix Group, quien también enfatiza el objetivo de “homogeneizar la madurez” en el sector. «Un incidente puede significar la pérdida de la continuidad del negocio para una de estas empresas».

La cadena de suministro, en el punto de mira

Pero la clave principal no es sólo proteger a estas grandes corporaciones. “DORA va mucho más allá del sistema financiero”, afirma Ferrete. Y no sólo porque existe una brecha de habilidades entre, por ejemplo, una entidad bancaria fuerte y puesta en marcha de criptomonedassino porque involucra a cualquier proveedor de estos.

“Aquí es donde se encuentra la verdadera revolución en la norma”, afirma. “Dedica buena parte de su contenido a establecer Cómo deberían ser los controles de la cadena de suministro. en la fase de entrada o aprobación. También a auditorías durante la fase de vida del contrato y cierre de la relación o servicio.”

«Dora dedica buena parte de su contenido a establecer cuáles deben ser los controles en la cadena de suministro»

David Ferrete (Grupo Ecix)

“Ahora, cualquiera que quiera trabajar con una de estas entidades tendrá que demostrar evidencia de ciertos aspectos de la ciberseguridad”, añade Vergara. Entonces, «“Quienes más están sufriendo este cambio son las empresas más pequeñas”. Es decir, los que contaban con menos presupuestos, personal y herramientas para la ocasión.

examen de madurez

Por otro lado, y aunque los principales bancos han tenido muchas herramientas para adaptarse a DORA durante los dos últimos años, es en este punto, insiste Ferrete, en el de las empresas adyacentes, en el que tienen que poner más recursos, tanto económicos como personales, para que las organizaciones terminen de adaptarse al estándar. “a pesar de que entró en vigor hace casi un año”.

“Lo ideal hubiera sido haber llegado más preparados”, afirma Vergara, y la empresa certificadora ha comprobado que la ciberseguridad se ha convertido en un imperativo y una preocupación principal desde hace varios años: «Está más interiorizado, con muchas más medidas y muchos más proveedores. Pero los retos siguen sumando».

«Quien quiera trabajar con entidades financieras va a tener que mejorar su ciberseguridad»

Rafael Vergara (AENOR)

Un ‘tsunami’ regulatorio en Europa

Uno de los principales responde al tsunami regulatorio de la propia UE, que desde que lanzó en 2018 el Reglamento General de Protección de Datos (GDPR), no ha dejado de publicar documentos relacionados con la seguridad.

Más allá de DORA, encontramos NIS2, Cybersecurity Act o el Reglamento de Ciberresiliencia. Ahora, Bruselas quiere homogeneizar estas regulaciones “avanzar hacia una regulación digital más simple y coherente” y no socavar la innovación.

Leyes que para Vergara tienen muchas exigencias en común, que han dado madurez al sector y que Responden a la preocupación de las nuevas tecnologías que están saliendo al mercado, como la inteligencia artificial.

Al final, dice, es el régimen sancionador de todos ellos el que está generando esa madurez, aunque en el caso de DORA aún no se han emitido multasal menos en España. «Lo que buscan es que no se vea nada grave aunque haya un cumplimiento muy cercano al estándar y no sea del todo completo. La tarea debería ser involucrar a las organizaciones en la mejora continua y no conformarse con su posición actual», concluye.