Ley de Resiliencia Operacional Digital (DORA): Un nuevo estándar en la industria financiera
DORA tiene como propósito reforzar la resiliencia operativa dentro de la industria financiera para que se pueda garantizar la continuidad del negocio, incluso cuando las TIC de una organización están sufriendo interrupciones, tal como sucede durante un ciberataque.
César Pallavicini, CEO de Pallavicini Consultores y presidente de la Comunidad de Riesgo Operacional
La Unión Europea pronto lanzará una nueva regulación que va a requerir que los bancos y empresas de la industria financiera global maduren sus programas de gestión de riesgos de terceros. Esto, para incluir requisitos de ciberseguridad, los mismos que se aplicarán a la tecnología crítica de la información y la comunicación con proveedores de servicios con los que se trabaja.
Mientras en Chile existen leyes obsoletas y que llevan más de cinco años en la burocracia del Congreso, como por ejemplo la reforma a la Ley de Protección de Datos Personales, esta ley de Resiliencia Operacional Digital (DORA) es el intento de la Unión Europea por agilizar el proceso de gestión de riesgos de terceros en todas las instituciones financieras. Sin esta ley no existe un estándar objetivo de gestión de riesgos de tecnologías de la información y la comunicación en Europa.
DORA tiene como objetivo reemplazar múltiples marcos de gestión de riesgos de tecnología y comunicaciones con un único enfoque de mitigar todos los incidentes relacionados con estos dos ámbitos en la industria financiera europea. Se trata, además, de una respuesta intencionada a la Estrategia de Financiamiento Digital de la Comisión Europea.
DORA, adicionalmente, tiene como propósito reforzar la resiliencia operativa dentro de la industria financiera para que se pueda garantizar la continuidad del negocio, incluso cuando las TIC de una organización están sufriendo interrupciones, tal como sucede durante un ciberataque.
Esta Ley de Resiliencia se organiza en cinco pilares: gestión de riesgos TIC, notificación de incidentes TIC, pruebas de resiliencia operativa digital, intercambio de información e inteligencia y gestión de riesgos de terceros TIC.
En este contexto, DORA garantiza que todas las partes interesadas del sector financiero hayan tomado las medidas de seguridad necesarias para prevenir o mitigar los ciberataques y otros incidentes relacionados. Se espera que DORA permita a las autoridades de supervisión europeas revisar los servicios subcontratados e introducir un marco de supervisión para los proveedores de TIC de terceros que operan en el sector financiero, como los proveedores de servicios de computación en la nube.
La resiliencia operativa digital resulta clave debido a la reciente proliferación de ciberataques dirigidos al sector financiero europeo. A nivel mundial se aprecia como la ciberguerra ya no solo es entre China y Estados Unidos, sino que ahora intervienen otros países, producto de los conflictos físicos. Chile no está exento de estos ciberataques. Es lógico, entonces, aprender de la experiencia de Dora para agilizar nuestras leyes e incorporar pronto a la agenda nacional la Ley de Resiliencia Operacional Digital.
Por Alejandro Ubilla Ginieis.