Para las empresas del sector de servicios financieros, los datos nunca han sido más importantes que hoy. Cuando se aprovechan de manera efectiva, los datos son la clave para aumentar las ganancias, aumentar la productividad y mejorar el servicio al cliente. Por el contrario, como hemos visto con las recientes perturbaciones globales en el sector financiero y en muchos otros sectores verticales que dependen de datos transaccionales en tiempo real, cuando se elimina el acceso oportuno y confiable a estos datos, a través de medios maliciosos o no intencionales, el impacto negativo en la reputación y el negocio. puede ser desastroso.
Es precisamente por estas razones que los datos son un objetivo cada vez más importante para los malos actores que buscan extorsionar a las empresas de servicios financieros. De hecho, búsqueda reciente El estudio encontró que tres de cada cinco empresas de servicios financieros (64%) sufrieron ataques de ransomware el año pasado. Debido a la considerable cantidad de datos personales confidenciales que poseen estas empresas, el daño potencial de un ataque de este tipo plantea riesgos críticos para el negocio.
Esta es la razón por la que los gobiernos de todo el mundo están centrando, con razón, sus esfuerzos en fortalecer la resiliencia cibernética de todos los sectores altamente regulados mediante la introducción de nuevos requisitos legislativos y regulatorios. Al imponer el incumplimiento de estas regulaciones, que tienen repercusiones financieras y reputacionales muy significativas, el objetivo es evitar el daño aún mayor que actores externos maliciosos pueden causar a estas industrias nacionales esenciales.
Un paisaje lleno de pautas
En toda Europa, la reciente introducción de muchas directivas nuevas, incluidas NIS2 (Network and Information Services versión 2), CER (Critical Entities Resiliency) y DORA (Digital Operational Resiliency Act), significa un cambio de paradigma hacia una gestión de riesgos más proactiva. Estas regulaciones, que afectan a todas las empresas que operan dentro de la Unión Europea, requieren una mayor resiliencia cibernética y prevén sanciones en caso de incumplimiento. Demuestran un claro deseo de proteger las infraestructuras críticas y digitales.
DORA, una de las normativas europeas más novedosas, ha recibido especial atención en los últimos meses. Fue publicado en 2023 con el objetivo de fortalecer la ciberresiliencia del mercado financiero. Dado que se espera que todas las instituciones financieras –incluidos bancos, compañías de seguros, organizaciones de pago y crédito y proveedores de servicios– cumplan con las normas el próximo enero, se está acabando el tiempo para implementar las herramientas y los procesos necesarios.
DORA tiene como objetivo fortalecer la resiliencia de las infraestructuras digitales cada vez más interconectadas a nivel mundial del sector de servicios financieros. Requiere que las empresas se centren en una estrategia de resiliencia digital acompañada de un marco de resiliencia digital. De hecho, el reglamento de la UE de 64 artículos menciona la palabra “recuperar” 60 veces. Por lo tanto, cuando se trata de cumplir con DORA, no se puede subestimar la importancia de soluciones de respaldo efectivas.
Comunicación regulada y transparencia
Las empresas de servicios financieros necesitan un plan de respuesta integral, probado periódicamente, iterado y comunicado continuamente a todas las partes interesadas clave. Sólo entonces podrán ser proactivos y actuar rápidamente para garantizar la resiliencia empresarial.
NIS2, por ejemplo, impone disposiciones específicas sobre notificación y comunicación de incidentes. También destaca la importancia de cadenas de suministro seguras y certificadas para proteger el ecosistema digital. El incumplimiento de estas disposiciones podrá dar lugar a sanciones de hasta el 2% de la facturación.
Las nuevas reglas de Resiliencia de Entidades Críticas (CER) son un gran paso adelante para sectores regulados como la energía, el transporte, la banca y la infraestructura digital. Están diseñados específicamente para complementar las estrategias nacionales de ciberseguridad. Todas las entidades críticas deben notificar a las autoridades sobre las violaciones o enfrentar sanciones financieras importantes.
Un paso atrás para avanzar hacia el cumplimiento de DORA
En cuanto a DORA, las empresas que operan en la UE deberán poder demostrar que pueden restaurar copias de seguridad en otra ubicación física y lógica (segmentada) desde la fuente; y guardar datos de forma segura contra el acceso no autorizado y la corrupción (inmutable).
Dado que el sistema de respaldo es uno de los objetivos más importantes para un atacante, las entidades reguladas por DORA deben poder demostrar las medidas de protección implementadas. Esta es la razón por la que las organizaciones de servicios financieros deben utilizar soluciones que ya cumplan con los estrictos requisitos de la industria, de modo que la documentación esté disponible fácilmente durante una auditoría.
Las organizaciones de la industria de servicios financieros ya deberían estar muy avanzados en sus preparativos para que DORA entre en vigor el próximo enero. Sin embargo, aquellos que estén retrasados deben iniciar un proyecto interno de cumplimiento de DORA lo antes posible. Esto debe incluir la definición del alcance, el análisis de brechas, la validación del proceso y la validación del informe. Una comprensión completa de las regulaciones y de cómo una organización puede verse afectada es el primer paso para lograr el cumplimiento.
El cumplimiento es bueno para los negocios
Aunque las empresas del sector de servicios financieros han descubierto que no se ven afectadas por las próximas directrices, eso no significa que deban dormirse en los laureles. Estos requisitos existen por una razón: los ataques ocurren todos los días y los incidentes importantes son cada vez más comunes.
Aunque DORA es amplia y representa un requisito regulatorio importante para una amplia gama de entidades financieras de la UE, se pueden aprender lecciones de sus artículos. Implementarlos puede aumentar significativamente la resiliencia cibernética de una organización y garantizar que los datos valiosos de los servicios financieros estén mejor protegidos contra los atacantes. Es por eso que invertir en un enfoque proactivo del cumplimiento podría ayudar a las organizaciones de servicios financieros a mantenerse a la vanguardia.