La Ley de Resiliencia Operativa Digital europea pone el énfasis en reforzar la seguridad de las entidades financieras atendiendo, especialmente, a la red de proveedores terceros, la comunicación entre compañías y la generación de confianza.
Hoy, la Ley de Resiliencia Operativa Digital (DORA, por sus siglas inglesas) de la Unión Europea (UE) entra en vigor y es de obligado cumplimiento para las empresas del sector financiero. Esta pretende reforzar la seguridad de estas entidades atendiendo a toda la tipología de operadores, tanto más tradicionales como fintech, poniendo énfasis en la creación de un ecosistema que aglutine, también, a la cadena de suministro. Esto significa que otras compañías, como por ejemplo, los operadores de centros de datos o los proveedores de servicios de nube, deben sumarse a las normas descritas en el documento.
El texto viene también a armonizar la legislación de los diferentes estados miembro, y a fomentar la colaboración y comunicación entre organismos teniendo en cuenta que “nos encontramos en un momento en el que la tecnología se ha vuelto a descentralizar y es necesario trazarla, gobernarla y securizarla”, según ha comentado David Soto, presidente de Kyndryl para España y Portugal, durante la presentación del estudio Impacto y principales desafíos en la implantación del Reglamento de Resiliencia Operativa Digital en las entidades financieras, elaborado por Analistas Financieros Internacionales (AFI), y en el que el proveedor de servicios TI ha colaborado. De hecho, se ha destacado que esta “es una norma diseñada por tecnólogos y para tecnólogos”, tal y como ha recordado Borja Foncillas, presidente de AFI. El directivo ha subrayado, además, que el ciberriesgo ha crecido 30 puntos en el último año, hasta el 80%, como el principal riesgo que acometen las empresas en la actualidad, y que hasta el 25% de los ataques a infraestructuras críticas va dirigido al sistema financiero y tributario, por lo que la ley es “de mucha utilidad”.
De este modo, y dadas las conclusiones del estudio, DORA actúa como un generador de confianza teniendo en cuenta que “los riesgos TIC pueden llevar al colapso, no solo de una entidad, sino del sistema financiero por completo”, tal y como aseguraba Esteban Sánchez, socio director de Banca de AFI. Además, proseguía, propone un cambio de paradigma en el que entran en juego claves como la adaptación, respuesta y separación, amén de la resiliencia, que es el concepto central del texto.
En cualquier caso, admitía el experto, “no hay que caer en sensaciones de falsa seguridad solo por el hecho de cumplir”, ya que toda norma es simplemente un medio para conseguir una finalidad. Además, reiteraba, esa finalidad depende de los proveedores, y la colaboración del sector público también “es crucial”.
¿Qué es la resiliencia?
En el acto ha participado Silvia Senabre, jega del grupo de Riesgo Tecnológico de la dirección general de Supervisión del Banco de España, quien, preguntada por todas las matices que incluye el concepto resiliencia, respondía que cubre todo el ciclo de la seguridad con el objetivo de “estar preparados para cuando sucedan los eventos. […] Venimos de departamentos aislados dentro de las empresas, y muchas veces no hay comunicación entre ellos. Hay que establecer una figura de liderazgo”.
Por último, la directiva apuntaba que “la regulación debe ser agnóstica en cuanto a tecnologías y respetar la libertad de cada compañía a elegir las herramientas y estrategias que se ajusten a su operativa”.