DORA, un antes y un después en la regularización de los ciberataques

Desde septiembre de 2020 está disponible el texto del Reglamento Europeo de Resiliencia Operativa Digital (DORA), actualmente en fase de aprobación por el Parlamento y el Consejo, y con visos de publicarse en breve. Como su propio nombre indica, este reglamento establece una serie de requisitos de resiliencia de los medios digitales (redes y sistemas de información) en los que se apoyan las entidades financieras para prestar sus servicios, de forma que estos gocen de las debidas garantías de seguridad, para evitar que cualquier evento devenga en un mal funcionamiento, o una modificación o acceso indebido. En definitiva, mitigar las amenazas que puedan comprometer la seguridad de los procesos empresariales dependientes de la tecnología en términos de integridad, confidencialidad y disponibilidad de la información gestionada por dichos medios tecnológicos. 

El sector financiero es un sector muy regulado y, entre los requisitos a los que están obligados, cada vez están cobrando más importancia los relativos a la seguridad de la información/ciberseguridad. En este sentido, podemos mencionar la siguiente legislación: Requisitos de seguridad de PSD2 (soportados por las guías EBA) requisitos de seguridad de SWIFT, PCI-DSS, Legislación NIS (para entidades financieras que hayan sido designadas operadores esenciales), protección de infraestructuras críticas (LPIC – para entidades que hayan sido declarados críticas) y legislación de protección de datos (RGPD/LOPDGDD). 

Además, no son pocas las entidades financieras que han decidido adoptar estándares de seguridad y continuidad que, si bien no son legalmente obligatorios, sí que se han considerado muy convenientes como palanca de cumplimiento de los requisitos legales obligatorios. Entre estos estándares podemos citar la ISO 27001 (Sistema de Gestión de Seguridad de la Información: SGSI) y la ISO 22310 (Sistema de Gestión de Continuidad del Negocio: SGCN), ambos certificables.  

Aunque se ha hablado de entidades financieras, el reglamento no se centra únicamente en el sector bancario, sino que el ámbito de aplicación de esta regulación va más allá, afectando también a otros sectores, entre ellos las empresas de seguros y de reaseguros y las agencias de calificación crediticia, aunque para el caso de las microempresas, y siguiendo el principio de proporcionalidad, algunos de los requisitos sean menos exhaustivos. 

Pues bien, en este contexto regulatorio y de estándares aplicables, DORA viene a integrar bajo un mismo paraguas exigencias que ya existían y las refuerza con nuevos elementos que se hacen necesarios en el actual panorama complejo y creciente de ciberamenazas. Así pues, se enfatiza la gestión del riesgo TIC, la gestión de proveedores TIC y la necesidad de realizar pruebas exhaustivas de resiliencia. 

En este nutrido puzzle normativo en materia de seguridad, al que se va a incorporar una nueva pieza con DORA, se hace imprescindible aplicar un modelo integrador multinorma, en el que se tenga en cuenta los aspectos comunes y se camine con una hoja de ruta única y compartida, es decir, considerando el cumplimiento normativo de ciberseguridad como un proceso corporativo holístico y no como actividades independientes para cada normativa. En este modelo multinorma, el resultado será indudablemente mayor que la suma de las partes en cuanto a eficacia de los mecanismos de ciberseguridad, recursos internos, costes e inversiones y éxito en las auditorías. 

Dicho lo anterior, ¿cuáles son esos pilares comunes a la diferente normativa de seguridad?  

• Uno de ellos, que además es clave, es la gestión de riesgos de seguridad TIC, a la que DORA dedica todo un capítulo. Analizar los riesgos a los que están sometidos los activos tecnológicos y gestionarlos conforme a un marco es clave para proteger de forma óptima, sin sobre proteger ni infra proteger. Por ello la gestión de riesgos se exige en la legislación NIS, en la legislación de protección de datos, en la de infraestructuras críticas y en el estándar ISO 27001. Y es conveniente realizar análisis de riesgos combinados que aglutinen los diferentes “objetos” afectados por la diferente legislación. 

• Otro aspecto destacado es la gestión de incidentes relacionados con las TIC. La gestión de incidentes (incluyendo violaciones de privacidad para la información de carácter personal) es requerida por la legislación de protección de datos, NIS, LPIC, PCI-DSS, ISO 27001, etc. Sería aconsejable disponer de un procedimiento único de gestión y comunicación de incidentes que aglutine la distinta casuística (datos personales, datos de tarjetas bancarias, etc.). Un proceso que recoja el ciclo completo en la gestión de un incidente, desde la identificación hasta la eventual recuperación, pasando por la contención y comunicación, sin olvidar lecciones aprendidas que permitan mejorar las medidas técnicas, organizativas y jurídicas para a su vez mejorar la prevención. 

• Siguiendo con los aspectos comunes, se hace hincapié en la obligación de realizar pruebas (o auditorías) periódicas. En el marco de DORA se dedica otro capítulo a la realización de pruebas de resiliencia operativa digital, que no deja de ser un mecanismo de verificación periódica para comprobar, y poder evidenciar, que las medidas de seguridad son eficaces, así como poder adoptar las mejoras que sugieran los resultados de estas pruebas. La norma ISO 27001 exige explícitamente la realización de auditorías internas (y externas para la certificación), PCI-DSS debe ser auditado por un equipo técnico que verifique la adecuación de los controles técnicos de seguridad para asegurar el tratamiento de datos de pago, la regulación de protección de datos necesita de auditorías para poder cumplir con el principio de responsabilidad proactiva, etc. Los programas de auditoría deberían contemplar que el personal participante y la temática de las entrevistas permita agrupar actividades de auditoría de distinta legislación, con el consiguiente ahorro de dedicación y de atención a los resultados. 

• Una figura que cada vez está adquiriendo mayor importancia es la gestión de riesgos de terceros relacionados con las TIC, entendiéndose por terceros relacionados con las TIC a aquellas entidades que proveen servicios y soluciones TIC. La creciente externalización de servicios TIC que ha tenido lugar en los últimos años ha generado un nuevo plantel de amenazas. Es fundamental gestionar que los terceros garanticen un nivel de seguridad no inferior al que se tendría si esos servicios se proporcionasen con medios internos, y las armas de esta gestión son, entre otras, el contrato de prestación de servicios y el derecho a auditar. De gestión de terceros se habla en diferente legislación y estándares de seguridad, donde estos terceros son un “activo” que hay que proteger como se haría con cualquier otro activo TIC.  

• A los puntos anteriores podríamos añadir otros requisitos comunes conocidos, tales como formación y concienciación, definición de roles y responsabilidades, mecanismos de seguridad lógica (control de acceso, protección de redes, datos y aplicaciones), seguridad desde el diseño y en todo el ciclo de vida, incluyendo el software, y por supuesto la documentación (política, normativas, procedimientos, planes). 

Este modelo de integración multinorma debe estar basado en un modelo de mejora continua PDCA (Plan, Do, Check, Act) y por tanto, no se trata únicamente de implantar, sino que hay que mantener y mejorar, y ello debería hacerse de forma común de manera que acompase a toda la normativa y que sea nuestro marco de gobernanza de la ciberseguridad. 

En Babel estamos muy atentos a la publicación definitiva del Reglamento DORA. Mientras tanto, nuestros expertos en ciberseguridad, con amplia experiencia en el sector financiero y seguros, siguen ayudando a nuestros clientes a sentar las bases para aprovechar los diferentes aspectos comunes en la legislación, normativa y estándares vigentes. Estamos trabajando hacia un modelo global, que será más eficaz, y repercutirá positivamente en la calidad y resiliencia de nuestros servicios digitales, esenciales para facilitar el negocio y ser más competitivos.