La Resistencia de las Entidades Financieras ante las Ciber Amenazas

La Resistencia de las Entidades Financieras ante las Ciber Amenazas

El 27 de diciembre de 2022, se publicó en el Diario Oficial de la Unión Europea, el Reglamento UE 2022/2554 de Resiliencia Operativa (DORA) Digital del sector financiero, en cumplimiento de las directrices del refuerzo de la seguridad informática de entidades financieras como bancos, compañías de seguros y empresas de inversión. Se aprobó la Ley de Resiliencia Operativa Digital (DORA), que garantizará que el sector financiero en Europa pueda mantener operaciones resilientes a través de una grave perturbación operativa.

 DORA establece requisitos uniformes para la seguridad de las redes y sistemas de información de las empresas y organizaciones que operan en el sector financiero, así como de terceros esenciales que les presten servicios relacionados con las TIC (tecnologías de la información y la comunicación), como plataformas en la nube o servicios de análisis de datos. Estos requisitos son homogéneos en todos los Estados miembros de la UE. El objetivo principal es prevenir y mitigar las amenazas cibernéticas.

En 2022, las tecnologías antiphishing detectaron más de 350 millones de intentos de seguir un enlace de phishing en las computadoras de los usuarios y el 8,2% de los usuarios sufrieron un ataque. El 41,8% de esos ataques estaban relacionados con el phishing financiero. En 2021, el 8,2% de los usuarios sufrieron ataques de phishing. Zbot (20,5%) siguió siendo el malware bancario más frecuente, seguido de SpyEye (12,2%), que experimentó un aumento notable de su presencia, y CliptoShuffler (10,2%).

Entre los países y territorios de todo el mundo, el mayor porcentaje de usuarios de smartphones atacados por malware bancario se observó en Japón, España y Turquía. Turquía reemplazó a Taiwán entre los tres primeros, y este último abandonó el TOP 10

En virtud de la DORA, todas las instituciones financieras deben aplicar un programa de ciberseguridad que incluya políticas, procedimientos y actividades de gestión de riesgos. Estas políticas deben ser revisadas anualmente por un regulador financiero externo que proporcionará una evaluación de si son adecuadas o no con base a los estándares de la industria. DORA se ha adoptado formalmente, los aspectos que requieren una transposición nacional serán convertidos en ley por cada Estado miembro de la UE. Al mismo tiempo, las Autoridades Europeas de Supervisión (AES) pertinentes, como la Autoridad Bancaria Europea (ABE), la Autoridad Europea de Valores y Mercados (ESMA) y la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ), elaborarán normas técnicas que deberán cumplir todas las entidades de servicios financieros, desde la banca hasta las aseguradoras y los gestores de activos.

En general, las implicaciones del Reglamento DORA están relacionadas con el alcance que va a tener en las organizaciones:

• Gestión de riesgos digitales, estableciendo pruebas exhaustivas para los sistemas TIC. Las empresas deben tener un plan de respuesta a incidentes que incluya una descripción detallada de lo que constituye un ciberataque, cómo deben responder los empleados y cómo se restablecerán las operaciones en caso de que se produzca una infracción.
• Los incidentes y notificación: análisis de la causa, presentación de notificaciones e informes en un centro unificado y plantillas normalizadas para la comunicación de los accidentes.
• Pruebas de resiliencia operativa digital. Las empresas deben mantener un programa de ciberseguridad que incluya una evaluación de los riesgos que suponen los ciberataques y un plan de acción para mitigarlo.
• Riesgos de terceros: análisis y control exhaustivo de proveedores y del cumplimiento normativo, así como una revisión periódica de riesgos por externalizaciones.
• Intercambio de información entre entidades del sector financiero. Las empresas deben notificar los incidentes cuando se produzcan para que los reguladores puedan evaluar sus vulnerabilidades y hacer recomendación.
• Controles de seguridad. Las empresas deben mantener controles de seguridad adecuados sobre su infraestructura digital. Estos controles incluyen el cifrado, la autenticación, los controles de acceso, la custodia de los datos, así como su eliminación, los registros de auditoría, los sistemas de supervisión, los sistemas de gestión de eventos y los planes de respuesta a incidentes para mejorar su postura de seguridad.

El Reglamento DORA afecta a:

• Entidades financieras.
• Intermediarios de seguros
• Entidades de dinero electrónico
• Proveedores de servicios TIC, Cloud o servicios digitales
• Auditores legales
• Sociedades de gestión.
• Agencias de calificación

¿Cómo prepararse para la adopción de DORA?

Las empresas tendrán alrededor de un año para cumplir con todos los requisitos establecidos, es básico el establecer las siguientes políticas de seguridad. Deberían comenzar a:

Para más información, visite www.deletetechnology.com

 Autor,

 Rafael Chust Calero | Director de Delete Technology España y Portugal