La resiliencia operativa digital en el sector financiero es crucial para mantener la estabilidad económica global. La aprobación del Digital Operational Resilience Act, conocido como DORA, en diciembre de 2022, marcó un hito en la búsqueda de garantizar la continuidad de las operaciones financieras frente a incidentes de seguridad cada vez más frecuentes. La plena aplicación de este reglamento será obligatoria a partir del 17 de enero de 2025, lo que implica un desafío y una oportunidad para las entidades financieras.
A seis meses de la implementación total de DORA, expertos se reunieron en la jornada 'Cuenta atrás para el Reglamento DORA' para discutir la importancia de estar preparados. Según Joaquín Castellón de Izertis, DORA afecta tanto a grandes entidades globales como a pymes del sector financiero, generando diversas percepciones sobre cómo abordar este desafío. Por otro lado, Juan Peláez de Incibe destaca que la regulación europea ayuda a gestionar amenazas cibernéticas a través de la gestión de riesgos, notificación de incidentes, pruebas de ciberresiliencia, entre otros aspectos.
El Balance de Ciberseguridad de Incibe de 2023 reveló un aumento del 24% en los incidentes de ciberseguridad, siendo el sector financiero uno de los más afectados. Se registraron más de 83,000 incidentes, con el fraude online y el phishing como los más comunes. En España, se detectaron más de 4 millones de dispositivos vulnerables. El Fondo Monetario Internacional advierte que uno de cada cinco incidentes afecta a entidades financieras.
Según Javier Piqueres del Banco de España, DORA representa una oportunidad para hacer al sector financiero más resiliente en su conjunto. El reglamento abarca la gestión del riesgo relacionado con las TIC, la notificación de incidentes, pruebas de resiliencia operativa, gestión de riesgos tecnológicos y acuerdos de intercambio de información. Se requerirá un análisis de riesgos como base central de la estrategia de seguridad y resiliencia.
Piqueres destaca la proporcionalidad en la implementación, los plazos de notificación de incidentes, la identificación de subcontratistas, y los criterios para proveedores de inteligencia. La implementación de DORA también incluye el doble reporte de incidentes, el desarrollo de procedimientos de notificación, la incertidumbre sobre los registros de terceros, y las estructuras de gobierno.
DORA busca fortalecer la ciberseguridad y la resiliencia del sector financiero a través de la implementación de un Sistema de Gestión de Seguridad de la Información inspirado en normas como la ISO 27001. Las organizaciones financieras deben cumplir con la regulación para aumentar su competitividad, prestigio, seguridad, y cultura de ciberseguridad.
Para garantizar el cumplimiento efectivo de DORA, Izertis ofrece un servicio global de adecuación DORA Outsourcing. Este servicio no solo prepara a las entidades para el cumplimiento normativo y mejora la seguridad, sino que también ayuda a evitar posibles sanciones.