Después de dos años de preparativos, mañana comienza a aplicarse en la Unión Europea el Reglamento de Resiliencia Operativa Digital (conocido como DORA, por sus siglas en inglés), establecido por la UE el 16 de enero de 2023 y que tiene como objetivos reforzar la seguridad informática de algo más de 10.000 entidades financieras europeas –entre las que figuran bancos, compañías de seguros y empresas de inversión– y garantizar que el sector financiero europeo sea capaz de resistir en caso de ciberataques que traten de comprometer la seguridad de sus operaciones.
DORA armoniza las normas relativas a la resistencia operativa del sector financiero y se aplica a 20 tipos diferentes de entidades financieras y proveedores de servicios basados en tecnologías de la información y las comunicaciones (TIC) a terceros.
Para anunciar la puesta en marcha del reglamento, la multinacional estadounidense Kyndryl, proveedora de servicios de infraestructuras TIC y nacida en 2021 como escisión del negocio de servicios de infraestructura de IBM, ha organizado esta mañana un encuentro informativo en el que se presentó el Informe DORA, que analiza el impacto y los principales desafíos que supone la implantación de dicho reglamento en las entidades financieras.
El informe en cuestión, elaborado por la consultora financiera, económica y tecnológica española Analistas Financieros Internacionales (AFI), por encargo de Kyndryl, se ha realizado mediante entrevistas confidenciales y anónimas con organismos e instituciones financieras como el Banco de España, el INCIBE, la Banca March, Laboral Kutxa, Bankinter, Santander, Mapfre, Cecabank, Unicaja, Sanitas, CaixaBank, Sabadell y BBVA.
Después de las intervenciones de David Soto, presidente de Kyndryl España y Portugal, y Borja Foncillas, presidente y consejero delegado de AFI, que explicaron la importancia de DORA dentro de la transformación digital de las entidades financieras, Esteban Sánchez Pajares, Managing Partner de AFI, resumió las principales conclusiones del informe, entre las que destaca el trabajo que están efectuando las entidades por fortalecer su ciberresiliencia. Seguidamente, Kris Lovejoy, Global Security and Resilience Practice Leader en Kyndryl, entrevistó a Silvia Senabre, jefa del Grupo de Riesgo Tecnológico de la Dirección General de Supervisión del Banco de España, y a continuación se llegó al núcleo fundamental del acto: una mesa redonda en la que representantes de varias de las empresas y organismos entrevistados para la elaboración del informe –la citada Senabre; Òscar Domènech, director de Continuidad de Negocio de CaixaBank; Roberto Rodríguez, Chief Operational Resilience Officer del Banco Santander; Guillermo Llorente, director corporativo de Seguridad de MAPFRE y Ricardo López, director de Riesgos no Financieros y Cumplimiento de Cecabank–, ofrecieron sus puntos de vista sobre este nuevo marco regulatorio.
La jefa del Grupo de Riesgo Tecnológico de la Dirección General de Supervisión del Banco de España señaló que “DORA no es algo que se tenga que ver como que las empresas tienen, entre comillas, que ir ‘rellenando casillas’ para que el supervisor no me sancione. El objetivo es que las empresas incorporen la resiliencia a su negocio. Esos negocios necesitan una tecnología resiliente que apoye al negocio todo el tiempo, porque el negocio y la tecnología tienen que ir de la mano. En todos los momentos del negocio se tiene que ir pensando en su resiliencia. Tiene que ir embebido a todos los niveles. Y todas las personas que integran la organización, desde el conserje hasta el CEO, tienen que funcionar en pos de la resiliencia. DORA no es otra regulación más, ni otra petición más del supervisor, sino todo lo contrario: algo que ayuda, aunque, por supuesto, también va a generar mucho trabajo. ¡Y lo que nos queda! Porque mañana yo podré celebrar que el reglamento empieza a aplicarse, pero mañana no se acaba el trabajo, ni mucho menos”.
La visión de las empresas reguladas fue proactiva. Para Òscar Domènech, “la idea clave es que la resiliencia es cultura corporativa”. Según él, DORA viene “a simplificar o, al menos, a situarse como núcleo cohesionador de varias regulaciones, pero van a seguir habiendo normativas diversas y vamos a seguir teniendo que reportar a diferentes reguladores en función de nuestros negocios y va a seguir habiendo actualizaciones de normativa. La normativa es un ser vivo. Si te adaptas o cumples las normativas simplemente por cumplir y lo haces ‘a golpe de inspección’ o a golpe de actualización de la norma, pues eso supone una disrupción en tu organización y en tus procesos, porque provocas siempre un atasco y un esfuerzo. En el momento en que incorporas la resiliencia a la cultura corporativa de tus procesos habituales, las normas te ayudan a ver por donde tienes que ir y el esfuerzo es mucho menor”.
Para Roberto Rodríguez, “las entidades financieras venimos siendo, históricamente, muy reguladas, de modo que DORA es parte de un proceso casi continuista. Y el hecho de que se incluyan en el reglamento otro tipo de actores, como proveedores tecnológicos, yo creo que ayuda, porque el objetivo final es que el sector sea más residente y eso garantiza que vamos a ofrecer mejor servicio a los clientes. En ese sentido, tener esas reglas comunes y un lenguaje común nos está ayudando”.
Representante de una de las más aseguradoras multinacionales, Guillermo Llorente, ahondó en que “todos nosotros venimos aplicando medidas de resiliencia mucho antes de que llegase DORA, porque si no no estaríamos vivos aquí. Todos nosotros queremos ofrecer al cliente el mejor servicio, en cualquier circunstancia, como, por ejemplo, en caso de una DANA. DORA no es lo que hace que ofrezcamos el mejor servicio, pero somos multinacionales y DORA lo que nos ofrece es un estándar común de homogeneidad frente a la dispersión normativa internacional, al menos en un territorio geográfico muy amplio”.
Finalmente, Ricardo López señaló que “los aspectos fundamentales de DORA es, por una parte, que no se trata de tener cubiertos aspectos marginales como continuidad, contingencias, detección de incidentes, notificación, etc. sino de coordinar todos esos elementos y eso es lo realmente complicado: es el marco de gestión del riesgo. Por otra parte, DORA es una herramienta que te permite afrontar permanentemente retos a tu modelo de resiliencia operativo, porque es una normativa universalmente reconocida”.
A modo de conclusión
El sector financiero depende cada vez más de la tecnología y de las empresas tecnológicas para prestar servicios financieros. Esto hace que las entidades financieras sean vulnerables a ciberataques o incidentes y desde hace años vienen estableciendo protocolos y medidas de seguridad informática, pero la situación de las amenazas aumenta constantemente. Con el Reglamento de Resiliencia Operativa Digital (DORA), la UE proporciona un marco para ayudar a construir la ciberresiliencia de forma holística, dado que, cuando no se gestionan adecuadamente, los riesgos TIC pueden provocar interrupciones (o, directamente, el colapso) en los servicios financieros transnacionales. Esto, a su vez, puede repercutir, como fichas de dominó que caen, en otras empresas, sectores e, incluso, el conjunto de la economía, lo que subraya la importancia de la resistencia operativa digital del sector financiero. Y es aquí donde entra en juego DORA, que, aunque inicialmente regulará la actividad de entidades financieras y proveedores de servicios basados en tecnologías de la información y las comunicaciones, es más que probable que en el futuro sea de obligado cumplimiento en otros sectores, a los que se aplique esta misma u otra normativa similar.
DORA aborda específicamente las vulnerabilidades existentes en materia de TIC, seguridad y gestión de riesgos que se dan en los proveedores de servicios financieros y de servicios de TIC. Pero estas vulnerabilidades también pueden darse en organizaciones de otros sectores. Por tanto, es probable que en el futuro se aplique una normativa similar a estos sectores, especialmente en las empresas que trabajan en ámbitos sensibles como las infraestructuras críticas, que deberían familiarizarse con los principales aspectos del DORA en una fase temprana.
