La resiliencia del sector financiero frente al riesgo digital
El nuevo reglamento europeo DORA introduce normas estrictas sobre tecnología que pueden impulsar la innovación
El sector financiero se ha caracterizado por tener un alto nivel de digitalización para impulsar una relación más personalizada con los clientes. Esto se ha intensificado en los últimos años como consecuencia de la creciente demanda de servicios siempre disponibles y accesibles desde cualquier lugar. La crisis del Covid-19 ha servido además para acelerar esta evolución, lo que ha supuesto una mayor dependencia tecnológica. En este contexto, se hace imprescindible cada vez más la gestión del riesgo digital.
Los Gobiernos y los reguladores están poniendo mucha atención a esta evolución y están trabajando en mecanismos para mejorar la resiliencia y la ciberseguridad dentro del sector financiero. La Unión Europea, por ejemplo, está trabajando en el Reglamento sobre la resiliencia operativa digital (DORA, por sus siglas en inglés) para obligar a las empresas a garantizar la resiliencia de todas las tecnologías utilizadas y la estabilidad operativa de los sistemas digitales. Se trata de una normativa que se aplicará en todas las entidades que operan en este ámbito, desde la banca hasta las aseguradoras, los gestores de activos, las plataformas de cambio de criptomonedas y las de crowdfunding.
El objetivo es que estas entidades financieras puedan seguir funcionando de forma resiliente en caso de sufrir una perturbación operativa grave. Esto significa que todos los actores del sector financiero, incluidos los proveedores TIC esenciales, como plataformas en la nube y servicios de análisis de datos, deben cumplir con unos requisitos uniformes para garantizar que pueden resistir, responder y recuperarse de cualquier tipo de perturbación y amenaza relacionada con las TIC.
Un enfoque clave para los reguladores es el riesgo de concentración en la nube. Es decir, el riesgo sistémico asociado a la externalización de funciones críticas para el negocio, tales como los pagos o la compensación, a un único proveedor de la nube. El efecto colateral de una perturbación o vulnerabilidad que se produzca en un proveedor de este tipo podría ser significativo si varias instituciones financieras dependen de ese servicio y no tienen una alternativa.
El alto nivel de digitalización del sector financiero supone una gran complejidad de sus entornos tecnológicos, lo que también representa un riesgo para la cadena de proveedores tecnológicos. Los beneficios que representa la nube para las entidades financieras harán que se trasladen a la nube más cargas de trabajo críticas para el negocio, lo que supone medidas de seguridad específicas, no solo por parte del sector sino también de los proveedores de servicios.
Como resultado de este aumento del uso de la nube, tenemos un sector financiero hiperconectado con una vulnerabilidad potencialmente mayor. Según un informe de la Junta Europea de Riesgo Sistémico (JERS), el elevado nivel de interconexión en el sector financiero puede constituir una vulnerabilidad sistémica debido a que los ciberincidentes localizados podrían propagarse rápidamente desde cualquiera de las entidades financieras de la Unión Europea a todo el sistema, sin que los límites geográficos supongan un obstáculo. Esta situación podría alterar la estabilidad del sistema financiero de la UE, generando un pánico de liquidez y una pérdida general de confianza.
Este entorno de negocio expone a las organizaciones a dos tipos de riesgos digitales: los ciberincidentes causados por fallos en los sistemas y los ciberataques concertados. En 2021, el sector financiero ocupó el tercer lugar de las infraestructuras críticas más afectadas por ciberataques en España, según el Informe Anual de Seguridad Nacional (página 144), emitido por el Departamento de Seguridad Nacional. Un estudio en el que se observa una tendencia clara de aumento de los ciberataques a las infraestructuras críticas españolas.
Una tarea colectiva
La exposición del sector financiero a estos riesgos digitales apunta a la necesidad de un enfoque más comunitario. En la propuesta del reglamento DORA, la Unión Europea alienta a las entidades financieras a aprovechar colectivamente sus conocimientos individuales y su experiencia práctica a nivel estratégico, táctico y operativo, con el fin de mejorar sus capacidades para evaluar y supervisar las ciberamenazas, defenderse de ellas y responder a las mismas.
La resiliencia y la seguridad deben convertirse en un esfuerzo de equipo, puesto que los sistemas financieros ya no existen de forma aislada. Una solución unificada y transparente debe ser también el objetivo para todo el sector.
Uno de los principales retos a los que se enfrenta el sector es cómo ser resilientes cuando utilizan servicios en la nube. La respuesta está en conseguir tener la flexibilidad de usar diferentes entornos digitales, según las necesidades y las circunstancias de cada entidad, y ese es un atributo que se puede conseguir con tecnologías de código abierto y una estrategia de nube híbrida.
Una estrategia de nube híbrida abierta ofrece la flexibilidad de ejecutar y escalar las aplicaciones de forma coherente en todos los entornos –desde el físico hasta las máquinas virtuales, el edge computing, la nube privada y las múltiples nubes públicas– sin tener que redesarrollar las aplicaciones, volver a formar al personal o mantener entornos dispares. Se trata de componentes clave para impulsar el desarrollo y la implantación de aplicaciones innovadoras.
Al mismo tiempo, proporciona los estándares y las características necesarias para mejorar el enfoque de seguridad de múltiples entornos de nube, manteniendo la portabilidad de las aplicaciones, permitiendo a las instituciones financieras mantener la flexibilidad a la hora de elegir futuras opciones de nube.
Con DORA, la Unión Europea tiene la oportunidad de propiciar la innovación y la competitividad, al mismo tiempo que mitiga los riesgos propios de la digitalización, y cuenta con las herramientas para estimular la adopción de un enfoque global. Con una colaboración abierta y un enfoque holístico, las instituciones financieras pueden incorporar la seguridad en el ADN del ecosistema para lograr un futuro más adecuado.
Richard Harmon es vicepresidente y jefe global de servicios financieros de Red Hat
Sigue toda la información de Cinco Días en Facebook, Twitter y Linkedin, o en nuestra newsletter Agenda de Cinco Días