Eduardo Ferrero, Socio de Ciberseguridad de Deloitte y Marta García Socia de Ciberseguridad de Deloitte explican como DORA obliga a las entidades a prestar más atención a la ciberseguridad.
COLABORACIÓN escrita por Eduardo Ferrero, Socio de Ciberseguridad de Deloitte y Marta García Socia de Ciberseguridad de Deloitte.
La ciberseguridad ha pasado de ser un componente meramente técnico a un eje vertebrador en la transformación de las organizaciones, en general, y en las de inversión colectiva y gestión de activos, en particular. En ellas, una adecuada integración en su estrategia de negocio puede derivar en beneficios tangibles. El panorama de amenazas incipientes y cambiantes, como las generadas por las amplias capacidades de computación existentes hoy en día, ha desencadenado ataques sofisticados que afectan no solo a la continuidad del negocio, sino también a la integridad y confidencialidad de los datos, lo que puede impactar de forma directa en la reputación de la marca y en la confianza del cliente, pudiendo, incluso, poner en riesgo la supervivencia de algunas empresas. Según 'El Estado de la Ciberseguridad en España', de Deloitte, el 90% del total de las entidades confirma haber aumentado o mantenido el número de ciberataques recibidos, lo que incide aún más en la importancia de considerar la ciberseguridad como un ámbito estratégico en la gestión de las organizaciones.
Con el objetivo de lograr organizaciones ciberresilientes, regulaciones como DORA (Digital Operational Resilience Act) o la Directiva NIS2, establecen obligaciones claras para las entidades y la Alta Dirección. Estas normativas buscan alinear las iniciativas de ciberseguridad con los objetivos estratégicos de las compañías. Para lograr cumplir estos requerimientos, es esencial que los órganos de dirección incluyan la ciberseguridad en sus agendas como temática de especial seguimiento, incorporando dentro de los comités la capacidad suficiente para evaluar los riesgos de seguridad de la información, teniendo en cuenta no solo la necesidad de prevención, sino también la de respuesta y recuperación rápida, con el objetivo de minimizar el impacto ante un posible incidente.
Asimismo, y guiados por uno de los principales pilares de DORA, las organizaciones deben contar con un plan de pruebas robusto para evaluar la eficacia de las medidas de resiliencia tecnológica. Las pruebas regulares, que incluyen simulaciones de ciberataques y ejercicios de respuesta a incidentes, permiten identificar posibles vulnerabilidades y ajustar las estrategias en consecuencia. Estas pruebas no solo mejoran la preparación ante incidentes reales, sino que también proporcionan una valiosa retroalimentación para el desarrollo continuo de la estrategia de ciberseguridad, por lo que deben diseñarse y definirse considerando la importancia de los activos protegidos.
El objetivo de DORA radica en lograr entornos digitales seguros. Es por ello, que profundiza de una manera realmente exhaustiva en los terceros y la seguridad dentro de la cadena de suministro, siendo esta la principal amenaza de ciberseguridad para 2030, según ENISA (Agencia Europea para la Ciberseguridad). La seguridad de una entidad no depende solo de su propia ciberseguridad, sino también de cada uno de los elementos o terceros que se conectan a su infraestructura tecnológica y conforman la cadena de valor. Es esencial implementar medidas para la gestión de riesgos de terceros. Estas pueden ir desde la exigencia de acuerdos contractuales, que incorporen medidas de seguridad para asegurar el cumplimiento de normas y buenas prácticas, hasta la realización de auditorías de seguridad.
Muchas entidades financieras, conscientes de la importancia de gestionar adecuadamente estos riesgos, han ido evolucionando sus capacidades de gobierno, protección, vigilancia y respuesta, pero DORA cuenta con un alcance de supervisión realmente amplio, donde entidades no supervisadas de forma directa actualmente en materia de ciberseguridad deben, aplicando la proporcionalidad y sus propios riesgos, contar con medidas técnicas y organizativas que garanticen la seguridad dentro del entorno, lo que implica para la gran mayoría un aumento de recursos para lograr cumplir con la regulación a partir de 2025.
Nos encontramos, de esta manera, en un momento en el que las entidades que no se sumen a los nuevos retos y regulaciones y, por ende, que no aumenten la inversión en ciberseguridad, perderán una ventaja competitiva estratégica, pudiendo ser la clave para garantizar la resiliencia y el éxito a largo plazo de las propias organizaciones. Por tanto, y en base al contexto de amenazas actual, solo sobrevivirán aquellos que incluyan la ciberseguridad como uno de los pilares estratégicos.