Reglamento DORA: ¿Puede tu banco resistir un ciberataque?

Los ciberataques están al orden del día. Las organizaciones que desarrollan sus actividades en sectores tan complejos y relevantes como la energía, el agua o el sector financiero, no deben preguntarse si se va a producir un ataque, sino «¿estoy preparada para afrontarlo con éxito?».

El CIO de uno de las principales entidades financieras de España resumió la cuestión de forma categórica: la seguridad del dinero no es negociable. Las personas y los negocios invertimos una gran cantidad de esfuerzo, tiempo y talento en ganar el dinero. Este es el fruto de nuestro trabajo, pero también un bien que nos da certeza. Si una compañía lo pone en peligro, la confianza en ella se verá resquebrajada durante años.

Precisamente, la confianza es uno de esos activos intangibles que forman parte del core de una compañía de éxito. Y al que, a menudo, no prestamos atención. Si bien la confianza es importante en cualquier sector económico, para el negocio bancario es, directamente, vital. Una cuestión de vida o muerte.

Por eso, el reglamento DORA, sobre la resiliencia operativa digital del sector financiero, busca salvaguardar la confianza de la ciudadanía en este tipo de entidades. Dicha normativa ha visto ya la luz, tras su aprobación definitiva por el Consejo Europeo. Su objetivo final es conseguir que la respuesta a la pregunta «¿Las entidades financieras de la UE pueden resistir un ciberataque?» sea un categórico «sí».

1. Gestión de riesgos TIC: prevenir, resistir… y recuperarse

Cuando pensamos en un ataque a una entidad financiera, resulta bastante plausible que nuestra mente se llene de imágenes de atracadores secuestrando una oficina bancaria o reventando una cámara de seguridad y extrayendo lingotes de oro. Pero lo cierto es que, hoy en día, el sector financiero está plenamente digitalizado y es más plausible que los malos se manifiesten a través de ciberataques que con medias en la cabeza.

Por ello, la gestión de los riesgos vinculados a las TIC es una cuestión de vital importancia y de valor estratégico para cualquier entidad financiera. De ahí que el reglamento DORA ponga el foco de atención en el papel que deben jugar los consejos de administración de las entidades financieras en la securización de sus activos. Estos órganos deberán:

• Establecer el nivel de tolerancia al riesgo adecuado para la entidad.
• Aprobar y revisar periódicamente los planes de continuidad de negocio, los planes de disaster recovery y los planes de auditoría de seguridad de las aplicaciones TIC.
• Supervisar los acuerdos con proveedores de servicios TIC.
• Ser informados periódicamente de los incidentes que se produzcan.

1.1. Marco de gestión de los riesgos TIC: de la identificación a la recuperación

Las entidades financieras deberán contar con un marco de gestión de los riesgos TIC completo y sólido, en el que figuren todos los procedimientos y acciones que se deben llevar a cabo en esta materia. Este marco debe cubrir los cuatro ámbitos fundamentales en la gestión de riesgos TIC:

• Identificación. Las entidades tienen que identificar con precisión y detalle todas sus funciones empresariales relacionadas con las TIC y los activos de información que respaldan estas funciones. Además, deberán identificar permanentemente las principales fuentes de riesgos TIC e identificar los procesos que dependan de proveedores terceros.
• Protección y prevención. Las entidades tendrán que diseñar e implementar estrategias, procedimientos y herramientas de seguridad de las TIC, para garantizar la resiliencia y disponibilidad de los sistemas, la continuidad de negocio y la protección de los datos.
• Detección. Las organizaciones deberán contar con mecanismos que faciliten la detección rápida de las actividades anómalas relacionadas con las TIC.
  • Respuesta y recuperación. Este ámbito es de capital importancia en el reglamento DORA. De tal manera que esta norma establecerá el deber de:
  • Registrar todos los incidentes.
  • Garantizar la continuidad de negocio.
  • Responder rápida y eficazmente a los incidentes.
  • Poner en marcha planes de contención.
  • Estimar los daños y las pérdidas.
  • Poner en marcha planes de comunicación y gestión de crisis.
  • Diseñar e implementar un plan de recuperación en caso de catástrofe.

Para ello, las entidades financieras deberán poner a prueba su política de continuidad de negocio y su plan de recuperación al menos una vez al año.

La totalidad del marco debe ser analizado por auditores TIC periódicamente, en función de las características de cada entidad, su subsector y los riesgos a los que debe enfrentarse.

1.2. Reducir los tiempos de recuperación

El reglamento DORA se centra especialmente en el terreno de la recuperación frente a los ataques a las infraestructuras TIC. De ahí que establezca como objetivos prioritarios restaurar los sistemas TIC tras un incidente con un tiempo mínimo de inactividad y una perturbación limitada. Para ello, las entidades financieras deberán tener:

• Una política de copia de seguridad precisa, en la que se explicite el alcance de los datos que figuran en la copia de seguridad y la frecuencia con la que ésta se hace, en función de la relevancia y sensibilidad de la información.
• Métodos de recuperación.

Además, el reglamento especifica una serie de acciones concretas que deben cumplir los sistemas de copia de seguridad, incidiendo en la relevancia de la recuperación de las funciones.

En último lugar, también se pondrá en valor la capacidad de las entidades financieras de aprender y evolucionar, a partir de la revisión de los incidentes, pero también de las pruebas de resiliencia operativa digital de las que hablaremos más adelante.

2. Notificación de incidentes graves

Más allá de la gestión de los riesgos TIC, DORA impone a las entidades financieras la obligación de notificar los incidentes graves relacionados con las TIC. Así, tendrán que hacer llegar a las autoridades competentes tres comunicaciones diferentes:

1. Una notificación inicial antes de que finalice el día hábil en el que se produjo el incidente.
2. Un informe intermedio, cuyo plazo de envío es una semana después de la primera notificación.
3. Un informe final, que debe remitirse como muy tarde un mes después de la primera notificación. En este documento debe figurar un análisis de la causa y las cifras reales del incidente.

Para facilitar esta labor, el reglamento DORA armoniza las plantillas de notificación, estableciendo con precisión el contenido de la información que debe presentarse.

El objetivo de este esfuerzo informativo que se le pide a las entidades es incrementar la información que disponen las autoridades competentes sobre las vulnerabilidades y los riesgos TIC. De cara a incrementar la capacidad de prevención y de respuesta tanto de las instituciones como del propio sector financiero.

El reglamento DORA apunta, también, hacia la creación de un centro único de la UE para centralizar toda la información relacionada con los incidentes TIC graves. Si bien, esta medida no está contemplada en el articulado, sí se encarga a la Autoridad Bancaria Europea (ABE), la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ) y la Autoridad Europea de Valores y Mercados (AEVM) el estudio de su viabilidad, consultando al Banco Central Europeo (BCE) y a la Agencia de la Unión Europea para la Ciberseguridad (ENISA). La centralización de la recogida de la información vendría a completar la armonización normativa y del contenido de las notificaciones.

3. Pruebas de resiliencia operativa digital

El tercer punto clave del reglamento DORA, en lo que respecta a las entidades financieras que se verán cubiertas por dicha normativa una vez que entre en vigor, gira en torno a la obligación de realizar pruebas de resiliencia operativa digital.

Estas pruebas tienen por objetivo comprobar el estado de preparación de los sistemas de las entidades financieras ante incidentes relacionados con las TIC. De cara a detectar vulnerabilidades y emprender, de manera inmediata, acciones para subsanarlas. El programa de pruebas deberá formar parte del marco de gestión de riesgos TIC. Y las entidades estarán obligadas a:

• Tener en cuenta los cambios constantes que se producen el terreno de los riesgos TIC.
• Asegurarse de que las pruebas son realizadas por actores independientes, ya sean internos o externos a la organización.
• Contar con políticas claras para priorizar, clasificar y solventar las vulnerabilidades detectadas durante la realización de las pruebas.
• Probar todos los sistemas y aplicaciones TIC esenciales una vez al año como mínimo.

El reglamento DORA contempla dos tipos de pruebas diferentes: básicas y avanzadas. Las primeras incluyen desde evaluaciones de vulnerabilidad, hasta pruebas de extremo a extremo y test de penetración. Las segundas, más complejas y ambiciosas, tendrán que realizarse, al menos, cada tres años.

3.1. Threat-Led-Penetration Testing

Si bien este tipo de pruebas no son una innovación de DORA, el nuevo reglamento profundiza en su implementación a lo largo de la UE y en gran parte de las entidades del sector financiero.

Las pruebas de penetración guiadas por amenazas deberán abarcar, como mínimo, todas las funciones y servicios esenciales de la entidad y su alcance será definido por ésta, pero validado por la autoridad competente. Asimismo, los proveedores de servicios TIC deberán ser incluidos en dichas pruebas. Los riesgos asociados a las mismas deberán controlarse escrupulosamente y éstas correrán al cargo de testadores externos.

DORA no establece con precisión qué entidades financieras tendrán que llevar a cabo estas pruebas avanzadas, sino que delega dicha misión en las autoridades competentes (ABE, AEVM y AESPJ), las cuales, previa consulta al BCE, tendrán que tener en cuenta:

• El carácter esencial de los servicios y las actividades de cada entidad financiera.
• El carácter sistémico de la entidad, tanto a nivel nacional como de la UE.
• El perfil de riesgos TIC específico de cada organización, así como su nivel de madurez TIC y sus características tecnológicas.

3.2. DORA y TIBER-EU: fortificar el sector financiero

Como indicábamos antes, este tipo de pruebas avanzadas no supone una novedad. El BCE ya había lanzado, con anterioridad, el proyecto TIBER-EU: un marco común para implementar servicios de Red Team ético, basados en la inteligencia sobre amenazas. El objetivo de este programa es ayudar a las entidades financieras y a las compañías de ciberseguridad a definir las pruebas a realizar, centrándose en dos fases:

• Ciberinteligencia. De cara a identificar a los actores maliciosos, sus intenciones y sus formas de operar.
• Red Team. Ejecutar ciberataques para medir su efectividad y la capacidad de las entidades financieras de resistir ante ellos.

Si bien las pruebas de TIBER-EU son voluntarias, una vez que se pasan con éxito, la entidad financiera recibe una homologación que certifica la fortificación de sus sistemas y activos, frente a las agresiones.

De ahí que muchas entidades estén apostando por conseguir dicha homologación, contando con los servicios de compañías de ciberseguridad como Tarlogic Security, que acumulan un amplio conocimiento y una contrastada experiencia en servicios de ciberinteligencia y Red Team. De ahí que José Lancharro, director de BlackArrow, la división de servicios ofensivos y defensivos de Tarlogic, afirme que, en la actualidad, la compañía ya trabaja «con un esquema TIBER en proyecto que realizamos para entidades financieras».

Habida cuenta de lo que venimos de exponer, el reglamento DORA viene a extender la implementación de las pruebas de penetración guiadas, basadas en amenazas reales y específicas, a gran parte del sector financiero de la UE. De cara a contribuir a que las entidades financieras estén preparadas para resistir a los ciberataques, aumentando la protección de la economía y la ciudadanía europeas.

3.3. Requisitos que deben cumplir los testadores

Si bien son las entidades financieras las que deben someterse a estas pruebas, ¿quién debe acometerlas? Metodologías y actividades de tal importancia para las entidades financieras y de gran complejidad técnica deben ser realizadas por expertos en ciberseguridad que acumulen en su haber un amplio conocimiento de este ámbito. El reglamento DORA establece los requisitos que deben cumplir los testadores:

• Idoneidad y prestigio.
• Capacidades técnicas y organizativas específicas en inteligencia sobre amenazas, pentesting y servicios de Red Team.
• Acreditación de un órgano de certificación oficial de los estados miembros de la UE o adhesión a marcos éticos oficiales.

Si los profesionales de ciberseguridad que realizan las pruebas son externos a la compañía, deben contar con una auditoría que certifique la gestión óptima de los riesgos asociados a la ejecución de pentesting, prestando especial atención a la protección de la información confidencial y a las medidas para contrarrestar los riesgos operativos de las pruebas. Asimismo, el tratamiento de los resultados obtenidos durante las pruebas de penetración guiadas por amenazas deberá ser escrupuloso y evitar riesgos para la entidad financiera. Finalmente, dichos testadores deberán contar con un seguro de responsabilidad civil profesional, cubriendo los riesgos de conducta indebida y negligencia.

Tarlogic Security tiene en su haber un amplio bagaje en la prestación de servicios de ciberseguridad, diseño, implementación y análisis de pentesting y en la realización de servicios de Red Team. Asimismo, a lo largo de los años, ha trabajado junto a diversas entidades del sector financiero para ayudarlas a combatir los ciberataques, reducir los riesgos TIC y subsanar las posibles vulnerabilidades que se encuentren en sus sistemas.

4. ¿A qué entidades financieras afectará la regulación DORA?

A lo largo del artículo nos hemos referido de manera global a las organizaciones que componen el sector financiero europeo, pero ¿a qué entidades nos referimos exactamente?

Pues bien, DORA es de obligado cumplimiento para la práctica totalidad de los actores del sector:

• Entidades de crédito, de pago, de dinero electrónico y de contrapartida central.
• Empresas de servicios de inversión.
• Proveedores de servicios de criptoactivos.
• Depositarios centrales de valores.
• Centros de negociación.
• Registros de operaciones.
• Gestores de fondos de inversión alternativos.
• Sociedades de gestión.
• Proveedores de servicios de suministro de datos.
• Empresas de seguros y de reaseguros, así como intermediarios en estas áreas.
• Fondos de pensiones de jubilación.
• Agencias de calificación crediticia.
• Administradores de índices de referencia cruciales.
• Proveedores de servicios de financiación participativa.
• Registros de titulizaciones.
• Proveedores terceros de servicios TIC.

Aunque figuraban inicialmente en el reglamento, tras el acuerdo alcanzado por el Consejo y el Parlamento, los auditores no estarán sujetos, inicialmente, a DORA. Sino que pasarán a ser incluidos en una futura revisión de la normativa.

Otro aspecto a destacar es la inclusión de los proveedores terceros de servicios TIC, puesto que esta medida es una de las grandes novedades que incorpora el reglamento.

4.1. Requerimientos proporcionales

Asimismo, es importante señalar que las regulaciones que establece DORA se aplicarán de manera proporcional a las diferentes entidades afectadas, teniendo en cuenta su tamaño y complejidad, así como el subsector al que pertenecen, su relevancia para el sistema socioeconómico o su grado de madurez tecnológica.

De tal forma que, como ya apuntamos anteriormente, las pruebas de resiliencia operativa digital serán más exigentes para las organizaciones más significativas, como las grandes entidades de crédito o las bolsas de valores.

Asimismo, las pruebas en subsectores de vital importancia para las economías de la UE como la banca serán más complejas que en subsectores menos relevantes o cuyo carácter sistémico es menos acusado.

5. Poner el foco más allá del sector: los proveedores TIC

En primer lugar, debemos aclarar a qué se refiere el reglamento DORA cuando habla de proveedores TIC. Según la propia definición de la futura norma, son compañías que ofrecen servicios digitales y de datos, como servicios en la nube, software y análisis y centros de datos.

Este tipo de compañías, vitales para el día a día de las entidades financieras, deben ser capaces, también, de resistir y recuperarse frente a los ciberataques. Puesto que de nada sirve que los sistemas internos de las organizaciones financieras estén securizados, si los de sus proveedores TIC no lo están.

Por ello, DORA parte del principio general de que los riesgos relacionados con los proveedores deben estar integrados en el marco de gestión de riesgos TIC de cada entidad financiera. Por lo que éstas tendrán que llevar a cabo una supervisión constante de sus acuerdos con los proveedores en materia de seguridad.

Pero el reglamento va más allá, al facultar a las autoridades competentes para supervisar a dichos proveedores. Así, se podrá establecer como crítico a un determinado proveedor TIC, en función de las entidades financieras que dependen de sus servicios. Los proveedores críticos serán supervisados por alguna de las autoridades competentes (ABE, AESPJ y AEVM). Éstas podrán solicitar información y realizar investigaciones generales e inspecciones in situ. En caso de incumplimiento, las autoridades pueden imponer multas coercitivas a los proveedores diariamente.

Dichas multas serán iguales al 1% del volumen de negocios diario medio a nivel mundial del proveedor en el ejercicio anterior. Además, los proveedores TIC esenciales o críticos de países que no forman parte de la Unión Europea, deberán establecer una filial en la UE, de cara a facilitar que las tareas de supervisión se pueden llevar a cabo con completa normalidad.

6. DORA y NIS2: un nuevo marco normativo en ciernes

El reglamento DORA no es la única iniciativa que se ha puesto en marcha en el seno de la UE en los últimos tiempos. Además del ya mencionado programa TIBER-EU, la Unión está en proceso de reformar la directiva NIS, alumbrando NIS2.

De tal manera, que NIS2 y DORA sentarán las bases de un marco normativo europeo común para todos los países y focalizado en fortificar y proteger sectores estratégicos (NIS2) y, en especial, el financiero (DORA), frente a los ciberataques y los riesgos relacionados con las nuevas tecnologías.

La existencia de ambas normas no generará confusión a la hora de que las entidades financieras conozcan con precisión cuáles son sus obligaciones en materia de ciberseguridad. Sino que éstas tendrán a su disposición toda la normativa que les concierne, primando en la relación entre ambas disposiciones el principio de lex specialis.

En líneas generales, podemos señalar que el ya aprobado reglamento DORA contribuirá a ayudar a las entidades financieras a resistir frente a los ciberataques potenciando:

• La creación de marcos de gestión de riesgos TIC en los que no solo se valore la prevención, la identificación la resistencia frente a las agresiones, sino que se potencie especialmente las tareas de recuperación, de cara a garantizar la continuidad de negocio y que el sistema socioeconómico europeo no se vea afectado.
• Una mayor y mejor comunicación entre entidades y autoridades en lo que respecta a los incidentes graves.
• Los servicios de ciberinteligencia y Red Team para identificar las amenazas y poner a prueba los sistemas de las entidades.
• La supervisión de los proveedores TIC, dada su relevancia en el funcionamiento del sector financiero, sobre todo, teniendo en cuenta el salto a la nube.