La Ley de Resiliencia de Operaciones Digitales (DORA) es el intento de la Unión Europea de agilizar el proceso de gestión de riesgos de terceros en todas las instituciones financieras.
Sin esta ley, no existe un estándar objetivo de gestión de riesgos de TIC en Europa.
DORA será, en efecto, un estándar objetivo en este sentido. Como gran meta, busca reemplazar múltiples marcos de gestión de riesgos de TIC, con un enfoque unificado para mitigar todos los incidentes de seguridad relacionados con las Tecnologías de Información y Comunicaciones en la industria financiera europea.
También tiene como objetivo reforzar la resiliencia operativa dentro de la industria financiera, para que se pueda garantizar la continuidad del negocio, incluso cuando las TIC de una organización están sufriendo interrupciones, como durante un ciberataque. Además, presenta sus requisitos a través de cinco pilares clave:
• Gestión de riesgos de TIC.
• Notificación de incidentes de TIC.
• Pruebas de resiliencia operativa digital.
• Intercambio de información e inteligencia.
• Gestión de riesgos de terceros de TIC.
Resiliencia operativa digital
En este contexto, DORA garantizará que todas las partes interesadas del sector financiero hayan tomado las medidas de seguridad de la información necesarias para prevenir o mitigar los ciberataques y otros incidentes relacionados con las TIC. Además, se espera que DORA permita a las autoridades de supervisión europeas revisar los servicios subcontratados.
Con este fin, se introducirá un marco de supervisión para los proveedores de TIC de terceros que operan en el sector financiero, como los proveedores de servicios de computación en la nube.
Finalmente, es importante la resiliencia operativa digital, debido a la reciente proliferación de ciberataques dirigidos al sector financiero europeo. A nivel mundial hemos visto cómo la ciberguerra ya no solo es entre China y Estados Unidos, sino que ahora intervienen otros países, producto de la guerra física que lamentablemente estamos viviendo en la actualidad.
Mientras tanto en Chile estamos con leyes obsoletas y, las que podrían ayudarnos, llevan más de cinco años de trámites en la burocracia del Congreso, como por ejemplo la Reforma de la Ley de Protección de Datos Personales que, sin duda alguna, aportaría al resguardo de la información que deben hacer las empresas y está muy relacionada con la ciberseguridad.
Como nuestro país no está exento de estos ciberataques, y debemos conocer el entorno que nos podría afectar, sería lógico aprender de esta experiencia (DORA), para agilizar nuestras leyes e incorporar pronto a la agenda la Ley de Resiliencia de Operaciones Digitales.