Más de 200 asistentes (sumadas a las cerca de 400 personas inscritas online) fueron testigos de un encuentro sectorial que centró el debate en el Reglamento DORA (Digital Operational Resilience Act), que establece normas uniformes relativas la ciberresiliencia de las entidades financieras, como bancos, aseguradoras o empresas de inversión, entre otras. La “Jornada de ciberseguridad en el sector financiero. Dora: fortaleciendo un marco sólido de resiliencia” contó con tres mesas redondas protagonizadas por CISO y ponencias de proveedores donde más de una veintena de expertos abordaron cómo está siendo la implementación de este reglamento, así como los retos a los que se enfrentan las entidades tras su entrada en aplicación.
El inicio del acto corrió a cargo de Juan Peláez Álvarez, responsable del Sector Estratégico Financiero y TIC en INCIBE, que puso el acento en la compartición de información entre entidades para hacer frente al aumento de los ciberataques. En ese sentido, marcó como referencia el modelo de colaboración e intercambio de indicadores de ENISA Information Sharing Analisys Centres (ISAC).
Seguidamente, Silvia Senabre López, jefa del Grupo de Riesgo Tecnológico en la Dirección General de Supervisión del Banco de España, aportó la visión del supervisor respecto al Reglamento DORA. Senabre defendió que esta norma “es un hito” y destacó el fuerte “componente sistémico” para el sector financiero. No en vano, la representante del Banco de España concluyó que este reglamento “ha venido para ayudar a que todo el sector (no solo entidades financieras) contribuya a ser realmente resiliente, resistente y adaptable”.
Los proveedores en el marco del Reglamento DORA
Una de las mesas redondas de la jornada fue la moderada por Yolanda Duro, directora de Red Seguridad, sobre el papel de los proveedores tecnológicos en el marco del Reglamento DORA. En la charla María Eugenia Tsani, Head of Financial Services Public Policy and Regulatory Affairs EMEA de AWS; Mónica Campanet, directora de Operaciones y Tecnología de Bizum; y José Ramón Monleón, Third Party Risk Management & Awareness de MásOrange. Tsani apuntó que un beneficio ligado a esta armonización “es la generación de oportunidades en el proceso de modernización del sector financiero en Europa”. Campanet destacó cómo Dora “es una oportunidad de valor añadido a los servicios” porque, al armonizar tres organismos de supervisores en un solo, “va a reducir dependencias y desventajas que hasta ahora se estaban produciendo”. Monleón, por su parte, apuntó dos grandes retos a los que hacer frente: las relaciones entre proveedores y la vulnerabilidad.
Retos de las entidades financieras con el Reglamento DORA
La segunda mesa redonda contó con la participación de varios responsables de seguridad de la información y del supervisor de las entidades aseguradoras, para debatir sobre el impacto de la norma y los retos que plantea. Participaron Francisco Javier Baena, director de la División de Supervisión Tecnológica y de Innovación Digital de la Dirección General de Seguros; Idoia Mateo, CISO de Grupo Santander; Damián Ruiz, CISO de Singular Bank; José Ignacio Garrido, Global Head of Information Security de BBVA; Llorenç Malo, CISO de Caixabank; y Guillermo Llorente, director de Seguridad Corporativa de Mapfre, como moderador. Los expertos coincidieron en que la gestión a terceros es uno de los aspectos más complejos y que “no es suficiente según marca la normativa”, puntualizó Mateo. Baena incidió en que “hay que dejar que el mercado se desarrolle porque es básico un modelo competitivo”. Los ponentes estuvieron de acuerdo en que es un sector que se tiene que industrializar ya y contar con recursos y medios.
La ciberseguridad como imperativo estratégico
La última mesa redonda de la jornada contó con la participación de Francisco Javier Santos, CISO de Santalucía; Javier Muriel Lucena, director de Gobierno y seguimiento de Riesgos No Financieros de Unicaja; Gustavo Lozano, CISO Spain & Portugal y CISO Retail de ING Bank; Adolfo Hernández, CISO de Sabadell Digital; e Iván Sánchez, CISO de Rural Servicios Informáticos (RSI), quien moderó la charla. En esta ocasión, los participantes coincidieron en que el Reglamento DORA introduce complejidad en el proceso y mucha carga operativa, si bien es cierto que “toda nueva regulación en materia de protección de datos o ciberseguridad en muchas ocasiones ayuda a mejorar e incrementar el nivel de madurez del sector”, según puntualizó Lorenzo.
En términos generales, las mesas redondas dejaron patentes los retos que plantea el Reglamento DORA, desde la supervisión de proveedores hasta notificación de incidentes, pasando por otras cuestiones como la gestión de incidentes o la compartición de información.
Proveedores confiables para ayudar a las entidades financieras a cumplir el Reglanento DORA
El papel de los patrocinadores del encuentro fue fundamental para comprender cómo los proveedores pueden ayudar a las entidades financieras a través de sus soluciones y tecnologías.
NTT Data: una iniciativa para compartir información
María Ángeles Gutiérrez Puente, experta en ciberseguridad de NTT Data, apuntó que la sensación sobre el Reglamento DORA es que hay aspectos que mejorar, como pueden ser “las pruebas exhaustivas, la gestión y la notificación e incidentes”. En ese sentido, la ponente puso en valor el “gran esfuerzo” en torno a la ciberseguridad de la regulación, sobre todo porque introduce elementos “necesarios” como la compartición de información. En ese sentido, Gutiérrez incidió en el aspecto esencial de compartir información: “Compartimos infraestructura, proveedores; si no compartimos problemas, no vamos a conseguir ser resilientes; menos del 20 por ciento de las entidades comparte información, y este es un valor muy bajo”, afirmó. Por ello, propuso llevar a cabo proyectos para definir el modo de intercambiar información entre sujetos obligados.
Akamai: microsegmentación para cumplir con DORA
Lilí López, Senior Security Sales Specialist de Akamai, abordó en primer lugar los cinco pilares fundamentales sobre los que se apoya esta regulación: gestión de riesgos, reporte de incidentes, pruebas de resiliencia operativa, gestión de riegos de terceros e intercambio inteligente de información. La experta incidió en que, para proteger los sistemas críticos, es crucial segmentar. Aunque la regulación no obligue a ello, considera la microsegmentación una herramienta muy eficaz en el cumplimiento normativo. La experta también apostó por la monitorización continua y por una clasificación óptima que posteriormente haya que compartir. Incidió también en la necesidad de aplicar medidas de seguridad y en tener la capacidad de adelantarse a incidentes. Con relación a la gestión de riesgos, “la rapidez en la respuesta a nuestros clientes muchas veces provoca que tengamos que dar acceso rápido”, por eso considera relevante que se controle “a quiénes acceden a las infraestructuras de una compañía”.
Crowdstrike: Criterios para la notificación de incidentes de ciberseguridad
Álvaro del Hoyo, Technology Strategist Sur de Europa de Crowdstrike, destacó que, respecto a la normativa, más que de dificultades, “hay que hablar de retos”. Su ponencia se centró en la notificación de incidentes, y explicó que Crowdstrike se centra “en documentos como el Reglamento delegado UE 2024/1772 y el Borrador Final Estándar Regulatorio y Técnico JC 2024 33, que inciden en la clasificación de incidentes, las condiciones de materialidad para entender si se está ante un incidente grave o una amenaza relevante, así como las pautas y modelos sobre la base de los cuales hacer la notificación”. Del Hoyo aseguró que, fundamentalmente, se enfrentan al reto de qué es lo que hay que notificar. Comentó que, para ello, hay establecida una serie de criterios: servicios, afectados, transacciones, impacto, datos, duración y alcance.
SIA: El importante papel de los proveedores para ayudar a cumplir DORA
Hugo Cedillo Martínez, Manager de GRC para el sector financiero en SIA, adelantó que en esta regulación “los proveedores de terceros van a jugar un papel muy importante” y centró su intervención en el apartado del reglamento que hace referencia al riesgo sistémico. Destacó cómo DORA hace hincapié en los proveedores esenciales “que van a formar parte de la gestión de riesgos de la entidad financiera”. Con este reglamento, “los proveedores juegan un papel esencial dentro del esquema que brinda Dora para poder robustecer esta ciberresilencia en las entidades”. Estas compañías son especialmente relevantes “no solo en el intercambio de información y en el reporte de incidencia, sino también en las pruebas de resiliencia operativa digital que se demandan, en mayor medida, dentro de este reglamento”, comentó Cedillo. En relación con las vulnerabilidades, apuntó “la insuficiente supervisión de las partes terceras y, como tal, de la cadena de suministros”. En su intervención, el experto también mencionó las buenas prácticas que se pueden llevar a cabo para evitar incidentes.
Accenture: Resiliencia 360º como imperativo estratégico
Víctor Hernández, Managing Director responsable para el sector financiero en Accenture Security, incidió en la relevancia que tiene implementar la resiliencia como marco estratégico. “La ciberseguridad tradicional se centra en prevenir el acceso no autorizado y mitigar amenazas, pero la ciberresilencia va más allá”, puntualizó, pues “implica una capacidad integral para anticipar, resistir, responder y evolucionar”. Tal como mencionó Accenture entiende la resiliencia “como una resiliencia integral que combine la resiliencia por defecto y la resiliencia 360 grados”. Hernández destacó, además, los beneficios de un enfoque ciberresiliente: protección de la reputación, cumplimiento normativo y evitación de sanciones, continuidad de negocio, confianza del mercado y de los clientes, ahorro de costes a largo plazo y capacidad de adaptación e innovación.
Forescout: una plataforma para proteger operadores estratégicos
Miguel Ángel Rodríguez Fernández, Regional Account Manager Iberia de Forescout, habló de la plataforma de su para ayudar a las entidades financieras a cumplir con DORA. Rodríguez comentó que se trata de una herramienta que trabaja para infraestructuras estratégicas y explicó que su compañía gestiona el riesgo valorando el activo, lo que significa saber si se están cumpliendo los protocolos.
Rodríguez destacó la importancia del monitoreo continuo, la respuesta rápida, los informes detallados y el registro de auditoría como elementos cruciales para su abordaje. Rodríguez incidió en cómo con DORA la colaboración entre entidades será fundamental, así como la necesidad de clasificar los incidentes y la necesidad de llevar a cabo pruebas de resiliencia operativa. Por otra parte, explicó cómo Forescout cuenta con una gran base de datos y años de experiencia, y destacó, asimismo, la necesidad de apostar por el intercambio de información.
LEET Security: una calificación que asegure la eficacia de la ciberseguridad
Alfonso Pastor, director comercial de LEET Security, se centró en la manera de asegurar que las políticas y medidas de ciberseguridad de las entidades es realmente efectiva. Por ejemplo, para certificar que realmente medidas como la robustez de las contraseñas y la frecuencia de cambio son suficiente para proteger a la compañía. El invitado apostó por «implementar diversos requisitos» y» no solo cumplir unos mínimos”. En relación con esto, Pastor presentó la calificación de LEET Security que evalúa en detalle la ciberseguridad de una entidad y que comprende tres dimensiones: confidencialidad, integridad y disponibilidad. Esta calificación se materializa además en un informe que muestra los niveles obtenidos en 14 dominios y 73 secciones, e incluye información sobre factores limitantes (opciones de mejora). «Resulta una herramienta de enorme utilidad, tanto para conocer, controlar y mejorar el propio nivel y posicionamiento, así como para la gestión de riesgos asociados a la cadena de suministros».
Archivado en:
