Cuenta atrás para DORA: claves para que los CISO se preparen para su cumplimiento
El sector financiero se encuentra entre los objetivos favoritos de los ciberdelincuentes. Casi una quinta parte de todos los ciberataques recientes iban dirigidos a empresas financieras, siendo los bancos los más vulnerables de todos, según el Fondo Monetario Internacional. Para ayudar a las entidades financieras a resistir estas amenazas, la UE ha redactado la Ley de Resiliencia Operativa Digital o DORA, que se aplicará a partir del 17 de enero de 2025.
DORA pretende reforzar la seguridad de las entidades financieras, tanto tradicionales como las que no lo son, incluidos bancos, empresas de inversión, entidades de crédito, empresas de auditoría, agencias de calificación crediticia, así como proveedores de servicios de criptoactivos y plataformas de crowdfunding. Este reglamento va un paso más allá y se aplica a los proveedores de servicios de terceros que trabajan con entidades financieras, lo que significa que los proveedores de infraestructuras, como los operadores de centros de datos y los proveedores de servicios en la nube, deben adherirse a las normas descritas en el documento.
Objetivos de DORA
En pocas palabras, DORA persigue dos objetivos: ofrecer un marco global para abordar la gestión de riesgos en el sector financiero y armonizar la normativa sobre gestión de riesgos en toda la UE, ya que actualmente los distintos países tienen normas diferentes para las organizaciones financieras.
La armonización es uno de los mayores logros de DORA, y Joel Brandon, responsable de ventas para EMEA de ProcessUnity, tiene claro que el documento “va a simplificar las cosas para todos a largo plazo”.
La Ley ofrece a las entidades financieras la oportunidad de centrarse en la concepción de elementos defensivos frente a las amenazas, añade Brandon; y animará a las organizaciones a mejorar su postura general de seguridad y fomentar la colaboración. “Lo que realmente apreciamos de DORA es la oportunidad que brinda a las entidades incluidas en su ámbito de aplicación de centrar realmente su atención en la interrupción de las TIC y el impacto que podría tener no sólo en sus propias funciones empresariales, sino también en el ecosistema más amplio en el que opera”, explica Brandon a CSO.
Sin embargo, lograr el cumplimiento de DORA para enero de 2025 es más fácil de decir que de acometer, y muchos CISO podrían tener problemas con ello en los próximos meses. Aunque muchos se han esforzado por prepararse, aún queda mucho trabajo por delante. Una pequeña encuesta de McKinsey realizada en marzo de 2024 reveló que cinco de los 16 ejecutivos y jefes de programa encuestados dudaban de que fueran a cumplir el plazo de DORA, y sólo cinco de ellos confiaban en su capacidad para cumplirlo a tiempo.
Con el reloj ya en marcha, las entidades financieras necesitan intensificar sus esfuerzos y establecer sus prioridades.
Brandon explica que “muchas empresas no se dan cuenta de lo complejo que puede ser el cumplimiento de DORA, sobre todo porque implica la colaboración de muchas partes diferentes de la organización. Vemos que, a menudo, los clientes subestiman los recursos y el tiempo necesarios, en particular para gestionar los riesgos de terceros y establecer sistemas eficaces de notificación de incidentes”.
Qué es la Ley de Resiliencia Operativa Digital
La Ley de Resiliencia Operativa Digital (DORA) establece requisitos en cuatro áreas clave: gestión de riesgos, respuesta a incidentes, pruebas de resiliencia operativa digital y gestión de riesgos de terceros. Además, anima a las entidades financieras a compartir información sobre ciberamenazas, aunque no es obligatorio.
El primero de los cuatro, gestión de riesgos y gobernanza, pone la responsabilidad sobre los hombros del órgano de dirección. Estipula que los miembros del consejo de administración, los líderes ejecutivos y los altos directivos deben definir estrategias sólidas de gestión de riesgos y asegurarse de que se aplican. Además, DORA exige que todos los responsables de la toma de decisiones se mantengan al día de los últimos riesgos de seguridad. El incumplimiento de cualquiera de estas obligaciones implica que los miembros del consejo de administración y los directivos pueden ser considerados responsables de manera personal.
En este contexto, el papel de los CISO de proporcionar a las partes interesadas información sobre las tendencias de seguridad adquiere cada vez más importancia. Se enfrentan al reto de ofrecer información clara a audiencias no técnicas y asegurarse de que todos comprenden los riesgos que entraña. “Una vez que se pueda responsabilizar a los miembros de los consejos de administración y a otros ejecutivos, se tomarán la seguridad más en serio”, afirma Sagie Dulce, vicepresidenta de investigación de Zero Networks.
La Ley también obliga a las entidades financieras a “identificar, rastrear, registrar, categorizar y clasificar los incidentes relacionados con las TIC en función de su prioridad y gravedad y de la criticidad de los servicios afectados”, según se puede leer en el documento.
El impacto de un incidente se determina en función de varios criterios, entre ellos el número y la relevancia de los clientes afectados, la duración del incidente, la extensión geográfica, las posibles pérdidas de datos, la criticidad de los servicios afectados y los costes y pérdidas directos e indirectos.
Cuando se producen incidentes críticos, las organizaciones tienen que notificarlos a las autoridades competentes. Habrá tres notificaciones: una inicial que reconozca el incidente, un informe intermedio seguido de notificaciones actualizadas cada vez que se disponga de nueva información para explicar cómo se gestiona el incidente, y un informe final que analice la causa, el impacto real y las medidas de mitigación.
Otro aspecto clave es el requisito de probar los sistemas con regularidad. Las evaluaciones de vulnerabilidad y las pruebas basadas en escenarios deben llevarse a cabo una vez al año, mientras que la penetración basada en amenazas debe realizarse cada tres años.
DORA aborda el riesgo de terceros
Lo más destacable de la Ley es que no sólo se aplica a las entidades financieras: los proveedores de servicios a terceros también tienen que reforzar su seguridad.
Según la encuesta de McKinsey, la gestión del riesgo de terceros es una de las áreas que más dificultades plantea a las entidades financieras. Más de la mitad de los ejecutivos y responsables de programas encuestados para este pequeño estudio afirmaron que éste es uno de los elementos DORA más complejos de cumplir. El CISO desempeña un papel clave en este sentido, ya que ayuda a los empleados a evaluar las ciberamenazas de la cadena de suministro y se asegura de que entienden las consecuencias para la seguridad de la información de contratar a un socio concreto.
Las entidades financieras que no cuenten con un programa dedicado a los riesgos de terceros tendrán que implantar uno. “Vamos a ver una supervisión mucho más estricta y menos diligencia debida, tanto al inicio de la relación con un tercero como a lo largo de todo el ciclo de vida. Esto repercutirá en la forma en que las empresas contratan a sus terceros y esperamos que se preste mucha más atención a las cláusulas de seguridad, los derechos de auditoría, los mecanismos de información, así como a cláusulas de rescisión estrictas, que permitan a las organizaciones salir más fácilmente de las relaciones en caso de incidentes”, destaca Brandon.
Principales prioridades de cara a enero de 2025
Con DORA comenzando a aplicarse en solo seis meses, las organizaciones que operan en el sector financiero necesitan acelerar sus esfuerzos, y los CISO necesitan asegurarse de que están aplicando todas las políticas de seguridad requeridas por la Ley. “Seis meses es un plazo muy ajustado», afirma Wayne Scott, responsable de soluciones de cumplimiento normativo de Escode, parte de NCC Group, para añadir: “Lo ideal sería que las entidades reguladas ya hubieran completado un gran número de sus pruebas de escenarios, con un alto porcentaje de pruebas satisfactorias”.
Los CISO que trabajan para organizaciones pequeñas o medianas que no han invertido lo suficiente en ciberseguridad se enfrentarán a numerosos retos. Scott afirma que un buen punto de partida sería realizar un análisis de deficiencias para determinar en qué aspectos los controles existentes cumplen los requisitos de DORA y en cuáles es necesario trabajar más. Dado que el plazo se acerca rápidamente, no es realista cumplir todas y cada una de las obligaciones a tiempo, por lo que una recomendación es empezar centrándose en las más críticas.
Por supuesto, llegados a este punto, es crucial cartografiar el entorno. Las organizaciones necesitan “asegurarse de que pueden responder a las preguntas básicas de quién tiene acceso a qué, incluidos los trabajadores internos y terceros”, añade Dulce, quien prosigue: “Deben estar realizando pentests exhaustivos y tener alguna forma de registro y monitoreo en su lugar·.
Los CISO también deben tener en cuenta los sistemas heredados que podrían necesitar una actualización para cumplir con los requisitos de DORA. Actualizarlos puede ser difícil y costoso en este momento, sin embargo, hacerlo teóricamente hará que la organización sea más segura a largo plazo.
Las entidades financieras también deben afinar sus planes de salida. Según DORA, esos planes de salida deben ser completos, “suficientemente probados y revisados periódicamente”.
“Estos planes deben demostrar que tienen éxito y, además, también mostrar claramente que la entidad regulada puede traer la gestión de un servicio fallido en casa o pasar la gestión del servicio a un tercero. Establecer claramente si existen soluciones de custodia totalmente probadas en el escenario”, añade Scott.
DORA no nombra directamente el depósito en garantía como un componente proporcional viable de los planes de salida estresados, pero eso no significa que el depósito en garantía no sea la solución. «Recuerde que DORA es agnóstico a la tecnología y no puede nombrar una solución, pero hay una razón clara por la que entidades como la PRA, la OCC, la RBI y la MAS nombran el depósito en garantía: funciona”, afirma Scott.
Independientemente de las prioridades establecidas por una organización, es importante contar con un equipo multidisciplinar en el que el personal técnico desempeñe un papel central, y los CISO deben abogar por ello. De ese modo, las medidas de cumplimiento y seguridad pueden ir a la par. Según Beltug, la mayor asociación belga de directores de sistemas de información y líderes en tecnología digital, centrarse únicamente en un enfoque de cumplimiento de arriba abajo sin implicar al personal técnico podría crear problemas a largo plazo.
Si prepararse para la Ley parece abrumador, una buena ayuda puede ser contratar al personal adecuado y aportar asesoramiento y experiencia jurídica. Brandon afirma que una vez que “se comprenda bien cuál es el ámbito de aplicación, será más fácil formar un equipo interno con los departamentos pertinentes, como infosec, compliance, compras y jurídico”.
Errores que hay que evitar al prepararse para DORA
También hay escollos comunes que los CISO deben tener en cuenta. Quizás el mayor error que podrían cometer a la hora de alinearse con DORA es “ir demasiado despacio, hacerlo más complicado de lo que es y no buscar asesoramiento externo”, afirma Rois Ni Thuama, experto en cibergobierno y cumplimiento de riesgos.
Brandon, de ProcessUnity, está de acuerdo, y añade que “el error clave es dejar las cosas demasiado tarde o deliberar sobre la acción durante demasiado tiempo”.
Los CISO también deben ser conscientes de cómo DORA se solapa con otros requisitos. Un error común es asumir que cubre totalmente la directiva NIS-2, lo cual es falso. “NIS-2 tiene precedencia en áreas en las que el DORA carece de requisitos específicos”, dijo Beltug a CSO en un correo electrónico. Los Estados miembros de la UE deben adoptar la directiva NIS-2 antes del 17 de octubre de este año.
También hay cosas que las organizaciones financieras tienden a subestimar: el fallo del proveedor, el deterioro del servicio y el riesgo de concentración. Scott dice que los acuerdos de licencia deben modificarse para incluir los requisitos de los planes de salida del proveedor que ya vaya tarde. Esto, sin embargo, podría ser difícil de hacer dado el poco tiempo que queda hasta la fecha límite. “Las negociaciones contractuales llevan tiempo, y con sólo seis meses en el reloj, puede que no haya tiempo suficiente para concluir esas negociaciones”, añade Scott.
Impacto de DORA fuera de la UE
Es probable que la Ley de Resiliencia Operativa Digital marque la diferencia tanto dentro de la Unión Europea como a escala mundial. Si se demuestra que tiene éxito, la normativa podría reproducirse en otras partes del mundo, haciendo que los bancos y otras empresas financieras estén mejor preparados para los incidentes relacionados con la tecnología.
“Los reguladores estadounidenses han dado claras muestras de su admiración por DORA y han insinuado enérgicamente que Estados Unidos puede esperar debates normativos similares en un futuro no muy lejano”, afirma Scott.
Por lo que sabe, algunos CISO y organizaciones con sede en Nueva York también están muy atentos a DORA para ver cómo cambiará el sector financiero europeo y cómo podría impactar en todo el mundo.
Brandon añade que, en última instancia, DORA podría hacer más seguro el sector financiero mundial, impidiendo que las entidades financieras pierdan dinero como consecuencia de incidentes relacionados con la tecnología. “Se trata de establecer un conjunto unificado de normas en todos los países, lo que debería ayudar a gestionar mejor los riesgos de los servicios tecnológicos externos”.
DORA también puede afectar a otros sectores, no sólo al financiero. “Creo que veremos cómo estos cambios normativos se extienden fuera de los servicios financieros, principalmente al sector de la energía y las comunicaciones”, explica Scott.
A medida que el efecto dominó de la Ley se haga más evidente, podría ser útil para otros sectores estar preparados para cambios normativos similares. Como dice Rois Ni Thuama, “DORA es sólo el principio de cambios muy necesarios”.
Source: Computerworld.es
Comentarios desactivados