Dora, el antes y el después de la ciberseguridad financiera

«Presenta una oportunidad única para que las entidades refuercen sus sistemas y garanticen su resiliencia operativa frente a posibles interrupciones. Al establecer mecanismos de anticipación, reportes obligatorios y pruebas periódicas, las instituciones optimizan tiempos de respuesta ante incidentes, fortaleciendo la confianza del cliente al garantizar la seguridad de los datos y la transparencia en sus operaciones», explica Juande Lechuga, socio responsable de Tecnología para el sector financiero de KPMG en España.

Lechuga también destaca que Dora permite a las entidades posicionarse como referentes de confianza y seguridad, reforzando su reputación en un entorno donde la innovación y la capacidad de adaptación son esenciales. «Representa un aumento de valor relevante sobre sus clientes y accionistas, la regulación de las medidas de ciberseguridad y resiliencia mediante un marco regulatorio robusto y detallado no solo va a fortalecer la resiliencia operativa de las entidades financieras, sino que también protegerá los derechos de los consumidores y fomentará la confianza en el mercado», expone en este mismo sentido Pablo Blanco, gerente de Riesgo Operacional y Seguridad de la Información de CBNK, sobre el impacto de esta normativa.

Noticia Relacionada

El BCE examinará a los bancos sobre seguridad informática

Rosalía Sánchez

Las pruebas afectarán a 109 instituciones bancarias y estarán enfocadas a la defensa ante un ciberataque

Desde BBVA subrayan que Dora supone un reto y una oportunidad para transformar el sector, consolidando su capacidad de adaptación ante riesgos tecnológicos. Consideran que regula áreas clave como la gestión de riesgos ICT y de terceros, la seguridad de la información y la respuesta a incidentes, promoviendo además la modernización y eficiencia operativa. También remarcan que esta regulación refuerza la confianza del cliente.

Eva Gomes, manager de riesgos y cumplimiento en NTT DATA, apunta que muchas entidades están ya adoptando tecnologías como la automatización de pruebas de ciberseguridad, simulaciones de estrés, monitoreo continuo y planes de continuidad de negocio para cumplir con los requisitos de Dora. Además, subraya la importancia de la formación y la concienciación como pilares para garantizar no solo el cumplimiento normativo, sino también una mayor seguridad y resiliencia operativa.

Víctor Hernández, responsable de entidades financieras en Accenture Security, subraya que Dora plantea retos importantes para el sector financiero, especialmente a la hora de adoptar una visión integral de resiliencia digital. Esto implica no solo fortalecer la ciberseguridad, sino también garantizar la continuidad operativa y la gestión de riesgos en todas las áreas de la organización. Para muchas entidades, esta tarea resulta especialmente complicada debido a la segmentación de funciones y a la complejidad inherente de sus estructuras internas.

Otro reto crítico, según Hernández, es la gestión de riesgos asociados a proveedores tecnológicos clave, como los servicios en la nube, que exige desarrollar procesos sólidos de evaluación y monitoreo. «Los proveedores de TIC son un punto esencial en el reglamento DORA, por ello, además de una estrategia global multiproveedor que muestre las dependencias clave de los proveedores y los motivos subyacentes a la contratación, el marco de gestión de riesgo deberá contar con un registro de todos los contratos celebrados con proveedores de TIC», explica Marina Fontcuberta, profesora del Máster en Blockchain e Inversión en Activos Digitales del IEB.

Para Hernández, las pruebas de estrés y simulaciones de resiliencia también representan una barrera significativa, ya que requieren herramientas avanzadas y un cambio cultural en la preparación para crisis. Para el experto, el éxito de Dora dependerá de la capacidad de las organizaciones para convertir la resiliencia digital en una prioridad asumida en todos los niveles.

En todo caso, como explica Marina Fontcuberta, las exigencias de Dora no son iguales para todos los actores: «La base de Dora es el principio de proporcionalidad, y establece una exigencia gradual según el tipo de empresa que tenga que dar cumplimiento, ya que no tiene la misma implicación para un proveedor de 'hosting' mundial que para una compañía de seguros local».

Eduardo Prieto, director general de Visa en España, sostiene que el sector financiero debe afrontar el creciente desafío del cibercrimen mediante un enfoque integral que combine inversiones en tecnología avanzada, colaboración público-privada y educación ciudadana. Considera que la digitalización, aunque ha traído grandes beneficios, también ha abierto nuevas vulnerabilidades que los ciberdelincuentes explotan con sofisticación creciente. Por ello, subraya la necesidad de continuar invirtiendo en tecnología, señalando como ejemplo los más de 11.000 millones de dólares que Visa ha destinado en los últimos cinco años a mejorar la seguridad y prevenir fraudes, lo que permitió evitar pérdidas por valor de 40.000 millones de euros en el año 2023.

Para Prieto, la tecnología, aunque fundamental, no es suficiente por sí sola. El experto hace hincapié en que la colaboración entre el sector público y privado es clave para establecer estándares comunes y promover mejores prácticas de seguridad. Asimismo, resalta la importancia de la educación y la concienciación de consumidores y empresas, quienes deben estar preparados para identificar intentos de fraude y protegerse frente a las amenazas digitales, cada vez más complejas y sofisticadas.

Con respecto a los desafíos específicos que enfrentan las fintech para adaptarse a los requisitos de Dora, Alfonso Ayuso, vocal de la vertical de Activos Digitales y de la Junta Directiva de la Aefi, señala que su dependencia de proveedores externos, como servicios en la nube o financieros, las obliga a implementar sistemas de supervisión más rigurosos. Esto incrementa la complejidad operativa y tensiona sus recursos, mientras que las pruebas periódicas de ciberresiliencia requieren personal especializado y capacidades técnicas avanzadas, algo especialmente difícil para empresas con estructuras menos robustas.

Ayuso añade que todas las fintech reguladas en la Unión Europea bajo normativas como Psd2, MiFID II o Mica deben garantizar la resiliencia operativa y la ciberseguridad en sus operaciones digitales. Esto incluye plataformas de pago, criptoactivos, insurtech y crowdfunding. Aunque los requisitos de Dora son equivalentes para todas las entidades financieras, las fintech enfrentan mayores dificultades debido a su tamaño y recursos limitados, lo que hace más compleja la gestión integral de riesgos tecnológicos y de comunicación.

Sobre los mecanismos para cumplir con las exigencias de la regulación Dora, Gomes, de NTT Data, indica que las empresas financieras están adoptando estrategias como simulaciones de ataques, incluyendo red 'teaming' y 'pentesting', para evaluar su capacidad de respuesta ante incidentes. Además, la automatización de pruebas permite realizar evaluaciones con mayor frecuencia y eficiencia, reduciendo tiempo y recursos. También se recurre a la IA y el 'machine learning' en el monitoreo continuo para detectar anomalías y amenazas en tiempo real, mejorando la rapidez de respuesta.

En cuanto a los plazos para el cumplimiento de Dora, Gomes señala que, aunque muchas organizaciones han avanzado en la implementación de medidas estructuradas, la importancia y complejidad de la regulación han generado presión para acelerar procesos internos y con terceros. Este desafío es más evidente en entidades con dificultades previas en ciberseguridad o con un historial de incidentes. La necesidad de cumplir con las expectativas del mercado y minimizar riesgos convierte la implantación rápida y efectiva en un factor crítico para el sector, dice. Las entidades tienen que enfrentar ciertos cambios para adaptarse a Dora. Implica un cambio de mentalidad, porque como recuerda Blanco, de CBNK, la normativa impulsa el intercambio de información. «Este tipo de eventos adversos –dice– es un mal endémico y por ello se fomenta la cooperación entre entidades financieras y autoridades regulatorias».

Lechuga, de KPMG, enfatiza la necesidad de implementar sistemas tecnológicos robustos y resilientes que protejan frente a ciberataques e interrupciones. Herramientas de monitorización continua permiten identificar riesgos de manera proactiva, mientras que medidas como el cifrado de datos y la autenticación avanzada son clave para garantizar la protección y la integridad de la información, adaptándose a las exigencias de un entorno digital y regulado.

Por último, Lechuga pone de relieve la necesidad de adoptar una estrategia de resiliencia operativa que contemple una sólida gestión de riesgos TIC, planes de contingencia efectivos y pruebas periódicas para garantizar su eficacia. En el ámbito de los proveedores, menciona la importancia de una supervisión continua, acompañada de cláusulas contractuales que aseguren el cumplimiento de Dora. Estos ajustes no solo facilitan la adaptación a la normativa, sino que también refuerzan la seguridad y la capacidad operativa de las entidades financieras.