1. Página de inicio
  2. La Lupa
  3. DORA entra en vigor y "todavía hay entidades que no entienden de qué va"

DORA entra en vigor y "todavía hay entidades que no entienden de qué va"

DORA entra en vigor y "todavía hay entidades que no entienden de qué va"

Miguel Ángel Valero

"Hay entidades que llevan mucho tiempo preparándose, y otras más retrasadas. También entre los proveedores tecnológicos de éstas. Queda mucho por hacer. DORA entra en vigor y todavía algunos no entienden bien de qué va esto". Es la advertencia que lanza jefa del grupo de Riesgo Tecnológico de la Dirección General de Supervisión del Banco de España, Silvia Senabre, en la presentación del Informe DORA. Impacto y principales desafíos en la implantación del Reglamento de Resiliencia Operativa Digital en las entidades financieras, elaborado por Analistas Financieros Internacionales (AFI) para Kyndrylprecisamente en el día previo a la entrada en vigor de la Digital Operational Resilience Act (DORA).

David Soto, presidente de Kyndryl España y Portugal, subraya que“el Reglamento DORA no solo exige un ajuste tecnológico, sino también un cambio profundo en la cultura y la organización de las empresas para garantizar su capacidad de respuesta ante incidentes. Este nuevo enfoque refuerza la resiliencia operativa digital como una prioridad estratégica”. Según un estudio del proveedor de servicios de tecnologías de la información, solo el 41% de los directivos de las empresas considera que están preparados, el 91% asegura que su modernización tecnológica es prioritaria, el 76% invierte en IA pero solo el 42% obtiene un retorno positivo, el 66% está preocupado por la obsolescencia de su tecnología. Apenas el 29% cree estar preparado para estos riesgos, y el 65% está preocupado por los ciberataques, que han aumentado el 24% en España, quinto país que más sufre estos incidentes.

Cuidado con la falsa seguridad

Borja Foncillas, presidente de AFI, y Esteban Sánchez, socio director de Banca, ponen el foco en el contexto de negocio que origina DORA y cómo esta norma ha acelerado las inversiones en resiliencia operativa y ciberseguridad en el sector financiero, al facilitar una transición de un enfoque preventivo a uno de resiliencia, involucrando a diferentes áreas de las organizaciones y sus proveedores. Pero dejan muy claro que DORA "es un punto de partida en un cambio de paradigma" y que, frente a riesgos que pueden colapsar una entidad, la ciberseguridad solo tiene sentido si hay una integración efectiva como herramienta de gestión en la actividad diaria.

En ese sentido, tanto el informe como los expertos de Afi alertan sobre "el riesgo de la falsa seguridad por un cumplimiento escrupuloso de DORA", cuando la norma "es un medio para fortalecer la estabilidad financiera, pero no puede verse como un fin en sí mismo".

Otras conclusiones del informe son:

  • Necesidad de profundizar en una cultura específica de los riesgos vinculados a las tecnologías de la información y comunicación (TIC)
  • DORA fomenta la comunicación con el supervisor y entre entidades
  • dudas sobre el concepto de entidad mínima viable en un incidente extremo de ciberseguridad
  • la implantación de la norma puede convertirse en un factor de diferenciación competitiva entre entidades
  • riesgo de expulsión de los proveedores TIC más pequeños
  • riesgo de fragmentación supervisora entre sectores o geografías
  • supervisión colaborativa y de acompañamiento continuo, sin que pueda condicionar decisiones operativas o comerciales de las entidades
  • el principio de proporcionalidad está insuficientemente definido: debe aplicarse asegurando la resistencia del "eslabón más débil de la cadena"
  • necesidad de garantizar la interoperabilidad con otras normas y con los estándares de los proveedores, que por primera vez serán supervisados
  • el papel del sector público es crítico para la reducción de las asimetrías de información y de los costes de protección, y para el fomento de la colaboración entre entidades.

En este último punto, el Instituto Nacional de Ciberseguridad (Incibe) está desarrollando una plataforma para fomentar el intercambio seguro y estructurado de inteligencia sobre ciberamenazas entre entidades financieras, en línea con DORA.

En el debate sobre DORA organizado por Kyndryl, la representante del Banco de España insiste en que “DORA no introduce controles nuevos, sino que agrupa buenas prácticas existentes en un marco coherente, marcando un hito en la gestión de riesgos con una estructura legal sólida y detallada. Lo novedoso es ponerlo todo junto”, y en que "la complejidad en ciberseguridad no depende del tamaño de la entidad, sino de su nivel de resiliencia".

El director de Riesgos No Financieros de Cecabank, Ricardo López Lázaro, avisa que "mientras que las aseguradoras se ven más expuestas a riesgos vinculados a la privacidad de los datos, las entidades bancarias tienen una mayor exposición a vulnerabilidades vinculadas a la continuidad del negocio. Aunque el planteamiento que establece DORA es único, la percepción del riesgo en función del escenario dentro del marco común es diferente”.

El director de Continuidad de Negocio de Caixabank, Óscar Doménech, destaca que “DORA es una herramienta con mucho potencial que contribuirá a reforzar la confianza de nuestros clientes, usuarios y ciudadanía en las capacidades y resiliencia no sólo de los bancos, sino del conjunto de actores del sistema. Un proyecto de éxito que establece un marco común de gobierno de los riesgos tecnológicos, que abrazamos en clave de oportunidad y que incrementa más aún las capacidades de resiliencia de las organizaciones y facilita la colaboración sectorial -elemento fundamental-. Partiendo de un nivel de preparación muy alto, ha supuesto un reto en el que CaixaBank se ha implicado por completo a todos los niveles, liderado desde los órganos de gobierno, y con el máximo compromiso”.

“Para evitar el solapamiento de esfuerzos, el papel del sector público es fundamental para incrementar la eficiencia. Esto permitiría disminuir los recursos destinados a la demostración de cumplimiento y destinarlos al cumplimiento en sí mismo aumentando la protección efectiva”, opina Guillermo Llorente, director corporativo de Seguridad en Mapfre.

“En un entorno cada vez más digital, la resiliencia debe ser considerada una prioridad dentro de los objetivos de negocio y articularse como un proceso en continua revisión y mejora que se adapte a un contexto de riesgos en constante evolución”, comenta Roberto Rodríguez, Chief Operational Resilience Officer de Santander España.

Karen Gaines, vicepresidenta de Cibersecurity & Resilence de Kyndryl, recomienda a las entidades:

  • Planificar la transición al nuevo paradigma que supone DORA de forma que se satisfaga la expectativa de reguladores y supervisores, garantizando la resiliencia operativa ante ciberamenazas.
  • Definir una estrategia de gobernanza de la resiliencia operativa digital
  • Identificar criterios para la entidad mínima viable
  • Evolucionar desde la prevención y la protección (ciberseguridad) a la respuesta y a la recuperación (resiliencia)
  • Contemplar todos los aspectos de la ciberresiliencia:
    • evaluar y comparar la madurez de la resiliencia, la viabilidad ante amenazas y vulnerabilidades, y gestionar el cumplimiento
    • uso responsable de los datos, derechos, y de la IA
    • proteger datos y aplicaciones críticos
    • descubrir y responder ante un incidente
    • mitigar el impacto con capacidad de recuperar automáticamente datos y procesos comerciales críticos

Pandora FMS: seis grandes empresas atacadas en 2024

Por otra parte, el último ciberataque sufrido por Telefónica se suma a un 2024 ‘negro’ para los sectores y empresas estratégicos de España, con otras cinco grandes empresas víctimas de este tipo de agresiones: Banco Santander, Endesa, Iberdrola, Repsol, Aena. Los operadores estratégicos “están más amenazados que nunca”. La monitorización de los sistemas e infraestructuras IT de las compañías es más importante todavía. Y la inversión en este tipo de áreas también porque además de la ciberseguridad de cara al usuario también cobra relevancia la propia ciberseguridad de la información interna.

Según un análisis de Pandora FMS, en los dos últimos años los ciberataques al sector financiero se han mantenido en el 25%, y el sector TIC y de comunicaciones ya acumula el 18% de los ciberataques. La energía es uno de los sectores más afectados, con un 22% de ciberataques recibidos pese a un descenso de casi un 10% en un solo año.   

En cuatro años la cifra de ciberataques a sectores estratégicos ha descendido casi un 80%. Sin embargo, esto no implica que ahora sean menos graves o poderosos porque “sigue haciendo falta inversión y formación”, indica Sancho Lerena, CEO de Pandora FMS. Sobre todo en tiempos de digitalización y tensión geopolítica.

Las compañías que han sufrido estos ciberataques son de diferentes sectores, lo que refleja que es su condición de empresa estratégica la que genera interés en los ciberdelincuentes. “El objetivo habitual suele ser el de pagar un rescate para reiniciar los sistemas y, en muchos otros casos, robar datos para de los usuarios para venderlos en el mercado negro”, explica este experto, que recomienda a las empresas invertir en sistemas y, muy importante, en personal cualificado. 

“En España existen soluciones lo suficientemente potentes como para reducir este tipo de agresiones. Falta invertir en sistemas que generen estabilidad en las infraestructuras y en personal cualificado”, subraya Sancho Lerena, que señala que es habitual que las empresas cuenten con muchos sistemas anticuados que no crean el entorno seguro que se necesita. Al no tener los sistemas adecuados, la propia plantilla y el personal indicado acaban saturándose.  “Monitorizar los sistemas y tener una visión general de toda la infraestructura IT es fundamental. La tecnología permite ver si hay algún comportamiento inusual y así dar la oportunidad de anticiparse a un contagio masivo”, detalla.

Además, la incorporación reciente de nuevas tecnologías como la inteligencia artificial mejora aún más estos sistemas de control frente a ciberataques. “El ciberataque no sucede solo por un fallo de ciberseguridad, también por errores en la configuración o por propios huecos que deja la compañía en su infraestructura”.  Los ciberataques sufridos por las grandes empresas españolas confirman lo que los expertos vienen alertando: que el entorno económico nacional debe aumentar su inversión y preparación para estas situaciones. La gestión de datos irá a más y la tensión geopolítica aumentará el riesgo de recibir este tipo de agresiones.  

DORA ciberseguridad Kyndryl AFI Pandora FMS
Europa entrará en recesión por los aranceles de Trump
El paro bajará un 5,6% en febrero
El negocio en la 'nube' de Alphabet y Amazon, bajo la lupa de los inversores