La Unión Europea está preocupada por garantizar la seguridad operativa de todas las entidades que prestan servicios financieros críticos en los estados miembros. Y es una preocupación más que justificada si tenemos en cuenta que este tipo de compañías tienen 300 veces más probabilidades que otras organizaciones en convertirse en objetivo de los ciberdelincuentes, según datos de la propia UE. En el caso de España, según un reciente estudio realizado por empresas aseguradoras, la siniestralidad en seguros cibernéticos afecta principalmente a grandes cuentas y clientes multinacionales, representando el 50% de los siniestros. Por sectores, tanto el financiero como el industrial son los más afectados. Precisamente, con el fin de proteger este sector tan sensible se estableció la Ley de Resiliencia Operativa Digital (DORA), también conocida como Reglamento UE 2022/2554, y que tiene el objetivo de garantizar la resiliencia operativa de todas las entidades que prestan servicios financieros críticos en la Unión.
La sensibilidad de este sector es el resultado no deseado de varios problemas de amplio alcance. Anotemos algunos de ellos: en primer lugar, el riesgo intrínseco y sistémico que plantea el alto grado de interconexión entre las entidades financieras y los terceros proveedores de servicios. En segundo lugar, el solapamiento de diferentes instrumentos legislativos que crea incertidumbre y podría hacer que los incidentes no se comunicasen. Como ejemplo, la normativa NIS 2 también se aplica a algunas partes del sector de los servicios financieros, pero tiene requisitos específicos para la notificación de incidentes, lo que podría imponer a las organizaciones la obligación de realizar una doble notificación. Y por último, la falta de una supervisión reglamentaria uniforme. Hasta ahora, la normativa europea de servicios financieros ha estado muy fragmentada, lo que ha sido el caldo de cultivo perfecto para la aparición de peligrosas lagunas.
La buena noticia es que DORA viene en parte a cubrir estas lagunas normativas, reforzando la supervisión y vigilancia de las organizaciones de servicios financieros por parte de las autoridades competentes y estableciendo un enfoque coordinado para informar, comprobar y responder a los incidentes. También resuelve los problemas de solapamiento con NIS2 aclarando qué aspectos cubre cada marco y, por lo tanto, DORA tiene como objetivo, entre otras cosas, reducir la vulnerabilidad digital de todo el sector financiero. Por eso se aplica no sólo a las organizaciones que ofrecen servicios financieros, incluidas las entidades de crédito y de pago, los proveedores de servicios de criptoactivos o las empresas de inversión, sino también a sus proveedores de servicios TIC a terceros. Todo ello beneficiará tanto a los consumidores como a los inversores, que verán aumentada su protección.
5 pilares de seguridad para las entidades financieras
Para enmarcar la resiliencia operativa digital, DORA ha identificado cinco pilares en los que deberán trabajar las entidades financieras, que son:
Gestión del riesgo informático. Las entidades financieras deberán contar con un sólido marco de gestión de riesgos de las TIC. Esto les permitirá protegerse y garantizar un alto nivel de seguridad.
- Notificación de incidentes relacionados con las TIC. En aras de la armonización, las entidades financieras tendrán que notificar a los supervisores en caso de incidente. Para ello, tendrán que definir e implantar un proceso de gestión para detectar, gestionar y notificar los incidentes que se les presenten.
- Pruebas de resistencia operativa digital. Para evaluar su resistencia operativa digital e identificar sus puntos débiles, la entidad financiera deberá establecer un programa de pruebas. Además, los sistemas y herramientas de IT se someterán a pruebas periódicas por parte de organizaciones independientes (internas o externas).
- Gestión de riesgos relacionados con terceros proveedores de servicios TIC. DORA ha desarrollado varios puntos clave para que las entidades financieras garanticen una gestión óptima de los riesgos relacionados con terceros proveedores de servicios de IT.
- Compartir información sobre ciberseguridad. DORA anima a las entidades financieras a compartir la información que recopilan en materia de ciberamenazas para garantizar un entorno seguro.
Soluciones PAM para cumplir con la nueva ley
En este contexto, la gestión de Accesos Privilegiados (PAM) se convierte en esencial para el cumplimiento de DORA, desempeñando un papel crucial en la protección de datos sensibles y sistemas críticos. Las soluciones PAM garantizan que tan sólo aquellas personas y aplicaciones autorizadas puedan acceder a los sistemas críticos y a la información sensible aplicando fuertes medidas de autenticación. Lo que ayuda a evitar accesos no autorizados y posibles brechas de seguridad en el acceso a datos, una de las principales vías de acceso de los ciberdelincuentes. Además, las soluciones PAM habilitan un control de acceso granular, lo que permite a los administradores definir y gestionar los privilegios en función de los roles y responsabilidades laborales, limitando el riesgo de exposición de los datos.
Por otro lado, haciendo foco en las mejores prácticas y soluciones PAM que facilitan el cumplimiento de los requisitos de DORA, las soluciones de Accesos Privilegiados imponen la supervisión y grabación de sesiones, lo que permite una visibilidad en tiempo real de las sesiones privilegiadas para identificar y dar la capacidad de responder rápidamente ante cualquier actividad maliciosa. Asimismo, la solución PAM rastrea y registra las actividades de los usuarios con privilegios, proporcionando una pista de auditoría clara y detectando cualquier acción sospechosa o no autorizada. Todo ello contribuye a que las empresas que ofrecen servicios financieros en la Unión Europea puedan cumplir con todos los requerimientos exigidos por la normativa comunitaria, de la mejor manera posible. Está claro, la implantación de una solución PAM es la mejor decisión para cumplir con DORA y proteger a consumidores e inversores.