Entrevista | José Luis Álvarez: «Las entidades que no cumplan con DORA podrán enfrentarse a multas de hasta el 1 % de su facturación»
La norma entra en vigor el 17 de Enero de 2025, que es cuando la autoridad nacional de supervisión y la Autoridad Bancaria Europea podrán empezar a poner multas
|
10/4/2024 00:45
|
Actualizado: 10/4/2024 00:13
|
José Luis Álvarez es un ingeniero de telecomunicaciones que actualmente trabaja en la empresa NetApp para Europa, Oriente Medio, África y Latinoamérica. En su rol actual, desempeña una función esencial como consultor, revisando y adaptando normativas de seguridad y protección de datos para garantizar la resiliencia y el cumplimiento regulatorio en grandes compañías.
En su labor asegura que las organizaciones no sólo estén protegidas contra las amenazas cibernéticas, sino que también estén preparadas para el futuro con infraestructuras robustas y estrategias de recuperación efectivas.
En esta entrevista en Confilegal, habla sobre en qué consiste la Ley de Resiliencia Operativa Digital (DORA), cómo se están preparando las instituciones financieras para adaptarse a sus requerimientos y las sanciones a las que se podrían enfrentar aquellas empresas que no cumplan, entre otros asuntos.
La implementación de esta ley ofrecerá una mayor transparencia y confianza en el sistema bancario europeo. Tiene el objetivo de fortalecer la seguridad en el sector financiero de la Unión Europea frente a las crecientes amenazas en ciberseguridad.
¿En qué consiste la Ley de Resiliencia Operativa Digital? ¿A quién afecta? ¿Cuándo entrará en vigor?
La Ley de Resiliencia Operativa Digital (DORA por sus siglas en inglés) busca establecer un conjunto común de estándares para reforzar la seguridad en el sector financiero de la Unión Europea, probar y reducir el riesgo de amenazas cibernéticas, así como crear un marco robusto para aumentar la seguridad.
También se enfoca en el reporte de incidentes de Tecnologías de la Información y las Comunicaciones (TIC) y la concentración de servicios de TIC de terceros, como los proveedores de la nube.
DORA afecta a bancos, instituciones de crédito, firmas de inversión, aseguradoras, instituciones de pago y proveedores de servicios de criptoactivos, entre otros. También a proveedores de servicios de TIC de terceros.
La norma entra en vigor el 17 de Enero de 2025, que es cuando la autoridad nacional de supervisión y la Autoridad Bancaria Europea (EBA por sus siglas en inglés) podrán comenzar a poner multas.
¿Cómo se están preparando las instituciones financieras para adaptarse a los requerimientos de DORA? ¿Qué desafíos enfrentan en este proceso?
Las instituciones financieras se están preparando para DORA realizando análisis de brechas, desarrollando planes de continuidad de negocio y estrategias de salida de servicios en la nube, y asegurando la resistencia operativa y cibernética.
«DORA afecta a bancos, instituciones de crédito, firmas de inversión, aseguradoras, instituciones de pago…»
Los desafíos incluyen la implementación de políticas y protocolos de seguridad, la gestión del riesgo de TIC, y la adaptación a los requisitos de reporte y pruebas de resistencia.
Se trata de un proceso que requiere un enfoque integral y donde participan distintos grupos dentro de la compañía, como equipos de seguridad, TI, almacenamiento, legal o dirección. La definición de roles /responsables de DORA dentro de la compañía y la cooperación entre los distintos grupos es clave para tener éxito durante este año.
¿A qué sanciones podrán enfrentarse aquellas entidades financieras que no cumplan con sus disposiciones?
Las entidades financieras que no cumplan con las disposiciones de DORA podrían enfrentar sanciones como multas de hasta el 1% de su facturación mundial diaria por no proporcionar información o documentación que permita investigaciones o controles, o por no presentar un informe de remediación tras una recomendación.
¿Está Europa, y en concreto España, viviendo sus peores momentos en cuanto a ciberseguridad se refiere?
Sí, y la respuesta se puede observar en la creación de regulaciones como DORA que indica una respuesta proactiva a los desafíos en curso en la ciberseguridad.
No cabe la menor duda de que el conflicto de Rusia con Ucrania y la inestabilidad que se está viviendo en Europa han incrementado los ataques cibernéticos y también han elevado la preocupación de la Comisión Europea.
¿Cómo ha evolucionado la ciberseguridad financiera en los últimos años?
En los últimos años, la ciberseguridad financiera en Europa ha evolucionado significativamente, impulsada principalmente por la creciente complejidad y frecuencia de las amenazas cibernéticas, la transformación digital de los servicios financieros y la necesidad de un marco regulatorio armonizado en toda la Unión Europea (UE). El desarrollo de nuevas regulaciones, como DORA, refleja esta evolución.
«El uso de las últimas tecnologías y soluciones de ciberseguridad será clave en los próximos años»
La ciberseguridad financiera ha evolucionado hacia un enfoque en la resiliencia operativa y la protección contra amenazas cibernéticas, con adaptaciones a regulaciones más estrictas para proteger los sistemas financieros y la información de los clientes.
El uso de las últimas tecnologías y soluciones de ciberseguridad será clave en los próximos años.
¿Cuáles son las amenazas más comunes a las que se enfrentan los bancos? ¿Cómo pueden mitigarse?
Los bancos enfrentan amenazas como ataques de ransomware, phishing y violaciones de datos.
Estas amenazas pueden mitigarse con fuertes políticas de seguridad, con la educación de los empleados, con respuestas rápidas a incidentes y con tecnologías de detección y prevención de intrusiones.
¿Qué tendencias o tecnologías emergentes crees que jugarán un papel crucial en la ciberseguridad financiera en los próximos años?
Sin duda, en los próximos años, veremos una explosión de tecnologías de Inteligencia Artificial y Aprendizaje Automático. Estas tecnologías permiten la detección proactiva de amenazas y comportamientos anómalos al analizar grandes volúmenes de datos en tiempo real. Las mismas pueden mejorar la capacidad de respuesta y anticipación ante incidentes de ciberseguridad.
Será interesante ver el papel que juega el BlockChain en los próximos años para ofrecer mejoras en la seguridad, la transparencia y la trazabilidad de las transacciones financieras.
También será muy importante la Seguridad de Dispositivos Móviles. Con el aumento en el uso de aplicaciones financieras móviles, la seguridad de estos dispositivos y las plataformas que los soportan será cada vez más crítica.
Noticias Relacionadas: