DORA, la Ley de Resiliencia Operacional Digital

DORA reforzará la resiliencia operativa dentro de la industria financiera para   garantizar la continuidad, incluso bajo un ciberataque.

Por: César Pallavicini | CEO de Pallavicini Consultores y presidente de la Comunidad de Riesgo Operacional

 

La Unión Europea pronto lanzará una nueva regulación que va a requerir que los bancos y empresas de la industria financiera global maduren sus programas de gestión de riesgos de terceros. 

Esto es necesario, para incluir requisitos de ciberseguridad, los mismos que se aplicarán a la tecnología crítica de la información y la comunicación con proveedores de servicios con los que se trabaja. 

Mientras en Chile existen leyes obsoletas y que llevan más de cinco años en la burocracia del Congreso como, por ejemplo, la reforma a la Ley de Protección de Datos Personales, esta ley de Resiliencia Operacional Digital (DORA) es el intento de la Unión Europea por agilizar el proceso de gestión de riesgos de terceros en todas las instituciones financieras. 

Sin esta ley no existe un estándar objetivo de gestión de riesgos de tecnologías de la información y la comunicación en Europa. 

Fin primario 

DORA tiene como objetivo reemplazar múltiples marcos de gestión de riesgos de tecnología y comunicaciones por un único enfoque, lo cual permitirá mitigar todos los incidentes relacionados con estos dos ámbitos en la industria financiera del Viejo Continente. 

Se trata, además, de una respuesta intencionada a la Estrategia de Financiamiento Digital de la Comisión Europea.

Esta Ley, adicionalmente, tiene como propósito reforzar la resiliencia operativa dentro de la industria financiera para que se pueda garantizar la continuidad del negocio, incluso cuando las TIC de una organización están sufriendo interrupciones, tal como sucede durante un ciberataque. 

Esta Ley de Resiliencia se organiza en cinco pilares:  

1. Gestión de riesgos TIC
2. Notificación de incidentes TIC
3. Pruebas de resiliencia operativa digital
4. Intercambio de información 
5. E Inteligencia y gestión de riesgos de terceros

En este contexto, DORA garantiza que todas las partes interesadas del sector financiero hayan tomado las medidas de seguridad necesarias para prevenir o mitigar los ciberataques y otros incidentes relacionados.

Supervisión a toda prueba

Se espera que DORA permita a las autoridades de supervisión europeas revisar los servicios subcontratados e introducir un marco de supervisión para los proveedores de TIC de terceros que operan en el sector financiero, como los proveedores de servicios de computación en la nube.

La resiliencia operativa digital resulta clave debido a la reciente proliferación de ciberataques dirigidos al sector financiero europeo. 

En todo el mundo se aprecia como la ciberguerra ya no solo es entre China y Estados Unidos sino que, ahora, intervienen otros países, producto de los conflictos físicos. 

Chile no está exento de  ciberataques. Es lógico, entonces, aprender de la experiencia de la Ley de Resiliencia Operacional Digital (DORA) para agilizar nuestras leyes e incorporar pronto a la agenda nacional lesta ley para producir similares.