DORA y la gestión de los riesgos tecnológicos en las empresas
Hoy se cumple un año desde la publicación del Reglamento de Resiliencia Operacional Digital (DORA), y también hoy se conocerán más detalles sobre cómo los sujetos obligados por el Reglamento deben prepararse para cumplir con esta norma a partir del 17 de enero de 2025.
Así, siguiendo el calendario previsto, hoy las Autoridades Europeas de Supervisión (AES), compuestas por la European Banking Authority (EBA), la European Insurance and Occupational Pensions Authority (EIOPA), y la European Securities and Markets Authority (ESMA), harán pública la primera hornada de Normas Técnicas de Regulación (RTS por sus siglas en inglés) comunes que desarrollan aspectos técnicos de ciertos Artículos de dicho Reglamento. En los próximos meses, una segunda hornada de RTS, cuyos borradores actualmente se encuentran en proceso de audiencia pública, detallará las obligaciones derivadas de otra parte del articulado.
Entre otras disposiciones, tanto el Reglamento DORA, como las RTS que lo desarrollan, y la reciente publicación de normas similares en los EE.UU., introducen serias responsabilidades para los miembros de Comités de Dirección. Veamos ahora únicamente dos: la gestión de los riesgos tecnológicos y la supervisión del riesgo de proveedores críticos.
El artículo 5 del Reglamento establece la responsabilidad del CEO y la Junta Directiva de las entidades financieras en el establecimiento de un marco interno de gobernanza y control que garantice una gestión eficaz y prudente del riesgo tecnológico.
Por un lado, como parte de la estrategia de resiliencia operativa digital, y entre otras responsabilidades, el CEO y la Junta Directiva determinarán cuál es el nivel adecuado de tolerancia al riesgo tecnológico de la entidad financiera.
Por otro lado, aprobarán y revisarán periódicamente la política de la entidad financiera sobre los acuerdos relacionados con el uso de servicios informáticos y de comunicaciones suministrados por terceros, y supervisarán el impacto potencial que puedan producirse por cambios en dichos acuerdos, incluido un resumen del análisis de riesgos relacionado con las tecnologías y el posible impacto de un ciber incidente, así como la respuesta, medidas correctivas y de recuperación en caso de producirse.
Las entidades financieras, distintas de las microempresas, establecerán una función para monitorear estos acuerdos con los proveedores de estos servicios tecnológicos, o designarán a un miembro de la alta dirección como responsable de supervisar la exposición al riesgo y la documentación pertinente.
Los miembros del órgano de dirección de la entidad tendrán los conocimientos y habilidades suficientes para comprender y evaluar los riesgos de las tecnologías y su impacto en las operaciones de la entidad financiera, los planes de seguridad, formular opiniones y políticas, así como discutir actividades y soluciones que protejan los activos de su organización.
También les requiere mantenerse activamente actualizados incluso siguiendo una formación específica de forma regular, proporcional al riesgo tecnológico que se está gestionando y advierte de que la falta de una supervisión adecuada de los riesgos puede exponer a responsabilidades tanto a la empresa, como a empleados y directivos.
Al otro lado del Atlántico, la situación es muy similar. El 26 de Julio de 2023 la Comisión de Bolsa y Valores norteamericana adoptó reglas que requieren que todas las empresas que cotizan en EE.UU., incluidas las extranjeras, declaren anualmente información importante sobre su estrategia y gestión de riesgos de ciberseguridad.
Entre las nuevas obligaciones se encuentra el Artículo 106 del Reglamento S-K, que requiere que las empresas cotizadas describan sus procesos para evaluar, identificar y gestionar los riesgos materiales de las amenazas a la ciberseguridad, así como los efectos materiales razonablemente probables derivados de dichos riesgos. También deben describir la supervisión que hace la junta directiva de los riesgos de las amenazas de ciberseguridad y el papel y la experiencia de la administración en la evaluación y gestión de riesgos materiales de las amenazas de ciberseguridad. Estas declaraciones se requieren en el informe anual mediante el Formulario 10-K. Las empresas extranjeras están sujetas a obligaciones comparables, en el Formulario 20-F.
Un granjero de Nebraska, que ha invertido parte de su pensión en cualquier empresa que cotiza en el Dow Jones o el Nasdaq tiene derecho a conocer, en términos que él pueda entender, cuál es el apetito al riesgo tecnológico de la Junta Directiva. ¿Qué porcentaje de la facturación anual supondrían las pérdidas ocasionadas por un ciber incidente?. ¿Podrían eventualmente llevar esas pérdidas a la quiebra de la empresa?. Por eso Gary Gensler, presidente de la SEC, declaró que, aunque muchas empresas ya ofrecen información sobre ciberseguridad a los inversores, ambos se beneficiarían si esta divulgación se hiciera de una manera más coherente, comparable y útil para la toma de decisiones.
Más allá de disponer un mínimo de controles de seguridad con el objetivo de cumplir un listado de requisitos legales, o de obtener un certificado, resulta necesario un enfoque estratégico basado en el riesgo y que esté orientado a los resultados, es decir, en la gestión del rendimiento de las inversiones en seguridad. Necesitamos un marco que evalúe la exposición al riesgo y traduzca esta exposición a lenguaje financiero para que el Responsable de Seguridad pueda entablar conversaciones significativas con la dirección ejecutiva, y con otras partes interesadas, sobre el impacto comercial de los incidentes y de las medidas de seguridad que los previenen.
La plataforma Armatum de ABAI para la cuantificación del riesgo cibernético permite a los responsables de seguridad crear el contexto para tomar decisiones de inversión en seguridad que estén mejor informadas, y comunicar estas decisiones en el lenguaje universal del dinero, lo que ayuda a cerrar la brecha entre la seguridad y el negocio. Esto cambiará la forma en cómo se discute hasta ahora sobre la ciberseguridad: cuando los responsables del negocio y otras partes interesadas no técnicas puedan comprender y evaluar, en términos financieros, los desafíos tecnológicos y operacionales de ciberseguridad.
Pero es que además, esta plataforma sirve también como instrumento válido y confiable para supervisar el riesgo que entrañan los proveedores críticos, como exigen los reguladores norteamericano y europeo. Con Armatum, estos proveedores están incluidos dentro del perímetro del análisis de riesgos, y pueden ser clasificados en función de su nivel de riesgo y de la fortaleza de sus controles.
Manuel Carpio, director de Ciberseguridad en Armatum (Abai Group)