En la entrada previa continuábamos comentando el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero (Ley de Resiliencia Operativa Digital, Digital Operational Resilience Act DORA) dando cuenta de su estructura. Hoy seguimos intentando ofrecer a nuestros lectores un panorama sintético y claro de su muy complejo funcionamiento.
(…)
C) FUNCIONAMIENTO
Cuando expusimos -en el epígrafe precedente- los elementos objetivos que integran la estructura del sistema de resiliencia operativa digital (ROD) diseñado por DORA señalábamos que resultaban particularmente útiles las ideas que nos proporciona uno de los sectores del mercado financiero, cual es el sector de los seguros cuya “materia prima” es el riesgo. Y, en base a estas nociones esenciales del seguro, podíamos exponer de forma lógica y cronológicamente ordenada, los elementos objetivos o funcionales que integran el sistema de resiliencia diseñado por DORA que son el riesgo, el incidente y la resiliencia.
Cuando ahora abordamos la exposición del funcionamiento del sistema de resiliencia operativa digital (ROD) diseñado por DORA, retomamos aquellos elementos en una secuencia trifásica que parte de la gestión del riesgo operativo digital, sique con la prevención de incidentes mediante la resiliencia y acaba con la solución de los incidentes que sin duda acaecerán, a pesar de las medidas preventivas que se adopten.
C.1) La gestión del riesgo operativo digital
Las entidades financieras deben tener establecido un sistema global de gestión de riesgos, del que formará parte el subsistema de gestión del riesgo operativo digital (ROD), que se regula en el Capítulo II (art.5 y ss.) del DORA dedicado a la “gestión del riesgo relacionado con las TIC”. Este subsistema de gestión del ROD reposa sobre un documento básico cual es el marco de gestión del riesgo relacionado con las TIC que debe reunir los requisitos de calidad exigidos por el DORA y ser gestionado eficientemente por el órgano de dirección de la entidad financiera. Ello requiere que las entidades financieras adopten las medidas siguientes:
C.1.1) El establecimiento de un marco de gestión del riesgo operativo digital relacionado con las TIC
Según acabamos de señalar, el subsistema de gestión del ROD -integrado en el sistema global de gestión de riesgos de las entidades financieras- reposa sobre un documento básico cual es el marco de gestión del riesgo relacionado con las TIC que debe reunir los requisitos de calidad y de contenido exigidos por el DORA (ver la Sección II del Capítulo II, artículos 6 y ss. sobre el “marco de gestión del riesgo relacionado con las TIC”):
C.1.1.1) Requisitos de calidad del marco de gestión del ROD: adecuación fiabilidad; capacidad y resiliencia
Este marco de gestión del ROD relacionado con las TIC debe reunir las siguientes notas cualitativas: ser sólido, completo y bien documentado para permitir que las entidades financieras puedan hacer frente al riesgo relacionado con las TIC de forma rápida, eficiente y exhaustiva y asegurar un alto nivel de resiliencia operativa digital (art.6.1). Para ello, los sistemas, protocolos y herramientas de TIC deberán ser “adecuados a la magnitud de las operaciones que sustentan la realización de sus actividades, de conformidad con el principio de proporcionalidad; ser fiables; disponer de capacidad suficiente para tratar con exactitud los datos necesarios para llevar a cabo las actividades y prestar los servicios a tiempo, y para hacer frente a los volúmenes máximos de pedidos, mensajes u operaciones, según sea necesario, también en caso de introducción de nuevas tecnologías; y ser tecnológicamente resilientes a fin de hacer frente adecuadamente a las necesidades adicionales de tratamiento de la información que surjan en condiciones de tensión del mercado u otras situaciones adversas” (art.7). El resultado último que se persigue es que este marco de gestión permita que las entidades financieras minimicen las consecuencias del ROD mediante el despliegue de estrategias, políticas, procedimientos, protocolos y herramientas de TIC adecuados y proporcionen a las autoridades competentes que lo soliciten información completa y actualizada sobre el riesgo relacionado con las TIC y sobre su marco de gestión de dicho riesgo (art.6.3).
C.1.1.2) Requisitos de cantidad o contenido del marco de gestión del ROD: estrategias, políticas, procedimientos, y protocolos y herramientas
El marco de gestión del ROD relacionado con las TIC deberá incluir, al menos, las estrategias, las políticas, los procedimientos, y los protocolos y herramientas de TIC que sean necesarios para proteger debida y adecuadamente todos los activos de información y activos de TIC, incluidos el software, el hardware y los servidores, así como para proteger todos los componentes e infraestructuras físicos pertinentes, como locales, centros de datos y zonas sensibles designadas, a fin de garantizar que todos los activos de información y activos de TIC estén adecuadamente protegidos de los riesgos, incluidos los daños y el acceso o uso no autorizados.
El DORA identifica, entre otros, los siguientes componentes del marco de gestión del ROD relacionado con las TIC:
a) La estrategia de resiliencia operativa digital que establecerá cómo se aplicará el marco. Para ello, la estrategia de resiliencia operativa digital incluirá métodos para hacer frente al riesgo relacionado con las TIC y alcanzar los objetivos específicos en materia de TIC; explicando cómo apoya el marco de gestión del riesgo relacionado con las TIC la estrategia y los objetivos empresariales de la entidad financiera; estableciendo el nivel de tolerancia al riesgo relacionado con las TIC, de acuerdo con la propensión al riesgo de la entidad financiera; analizando la tolerancia al impacto de las perturbaciones de las TIC así como objetivos claros en materia de seguridad de la información, incluidos indicadores clave de rendimiento y parámetros clave de medición del riesgo; explicando la arquitectura de referencia de TIC y cualquier cambio necesario para alcanzar objetivos empresariales específicos; etc. (art.6.8).
b) El documento de identificación, clasificación y documentación de todas las funciones, cometidos y responsabilidades empresariales sustentados por las TIC; de los activos de información y activos de TIC que sustenten dichas funciones; y de sus cometidos y dependencias en relación con el riesgo relacionado con las TIC. Las entidades financieras revisarán en caso necesario, y al menos una vez al año, la idoneidad de esta clasificación y de cualquier documentación pertinente (art.8.1).
c) El documento de identificación permanente de todas las fuentes de riesgo relacionado con las TI y, en particular, de la exposición al riesgo para con otras entidades financieras y derivada de otras entidades financieras y de evaluación de las ciberamenazas y vulnerabilidades en materia de TIC pertinentes para sus funciones empresariales sustentadas por TIC, activos de información y activos de TIC. Las entidades financieras revisarán periódicamente, y al menos una vez al año, los escenarios de riesgo que les afecten (art.8.2).
d) El documento de las políticas y procedimientos de respaldo y procedimientos y métodos de restablecimiento y recuperación que tendrá por finalidad garantizar el restablecimiento de los sistemas de TIC y los datos con un tiempo mínimo de inactividad y una perturbación y pérdida limitadas y que identificará dos componentes básicos que serán: las políticas y procedimientos de respaldo que especifiquen el alcance de los datos objeto de respaldo y la frecuencia mínima de este, en función del carácter esencial de la información o del nivel de confidencialidad de los datos; y procedimientos y métodos de restablecimiento y recuperación (art.12).
C.1.2) Gobernanza y control del marco interno de gestión del ROD por el órgano de dirección de la entidad financiera
Las entidades financieras deberán disponer de un marco interno de gobernanza y control que garantice una gestión efectiva y prudente del riesgo relacionado con las TIC cuya definición, aprobación y supervisión corresponderá al órgano de dirección que adoptará cuantas disposiciones se relacionen con el marco de gestión del riesgo relacionado con las TIC y será responsable de su aplicación (ver la sección I del capítulo II del DORA, artículo 5 sobre “gobernanza y organización”). Resulta pertinente recordar que el DORA define al órgano de dirección (art,.3.30) como “un órgano de dirección tal como se define en el artículo 4, apartado 1, punto 36, de la Directiva 2014/65/UE, el artículo 3, apartado 1, punto 7, de la Directiva 2013/36/UE, el artículo 2, apartado 1, letra s), de la Directiva 2009/65/CE del Parlamento Europeo y del Consejo(31), el artículo 2, apartado 1, punto 45, del Reglamento (UE) n.o 909/2014, el artículo 3, apartado 1, punto 20, del Reglamento (UE) 2016/1011 y las disposiciones pertinentes del Reglamento relativo a los mercados de criptoactivos, o las personas equivalentes que dirijan efectivamente la entidad o desempeñen funciones clave de conformidad con el Derecho de la Unión o nacional pertinente”.
C.1.3) Ejecución del marco de gestión del ROD
El DORA diseña un proceso de ejecución del marco de gestión del ROD que consta de las fases siguientes:
c.1.3.1) La protección y prevención
Esta primera fase de ejecución del marco de gestión del ROD exigirá que las entidades financieras realicen un seguimiento y un control permanentes de la seguridad y el funcionamiento de los sistemas y herramientas de TIC y minimicen las repercusiones en dichos sistemas del riesgo relacionado con las TIC mediante el despliegue de herramientas, políticas y procedimientos adecuados en materia de seguridad de las TIC (art.9).
c.1.3.2) La detección de actividades anómalas
Esta segunda fase de ejecución del marco de gestión del ROD exigirá que las entidades financieras dispongan de mecanismos para detectar rápidamente las actividades anómalas, incluidos los problemas de rendimiento de las redes de TIC y los incidentes relacionados con las TIC, y para identificar los posibles puntos únicos de fallo significativos (art.10).
c.1.3.3) Respuesta y recuperación
Esta tercera fase de ejecución del marco de gestión del ROD exigirá que las entidades financieras pongan en práctica una política global de continuidad de la actividad en materia de TIC, que podrá ser adoptada como una política específica propia que forme parte integrante de la política global de continuidad de la actividad de la entidad financiera. Las entidades financieras aplicarán la política de continuidad de la actividad en materia de TIC mediante disposiciones, planes, procedimientos y mecanismos específicos, adecuados y documentados que cumplan los requisitos especificados en el art.11 de DORA.
c.1.3.4) Aprendizaje y evolución
Situamos como cuarta fase de ejecución del marco de gestión del ROD la de aprendizaje y evolución porque se alimentará de la información recopilada por las entidades financieras sobre vulnerabilidades, ciberamenazas e incidentes relacionados con las TIC, en particular ciberataques que servirá para analizar las repercusiones que es probable que tengan en su resiliencia operativa digital. Para ello, las entidades financieras deberán realizar las revisiones oportunas tras producirse los incidentes relacionados con las TIC y, en particular, después de que un incidente grave relacionado con las TIC perturbe sus actividades principales, analizando sus causas e identificando las mejoras necesarias para las operaciones de TIC o en la política de continuidad de la actividad en materia de TIC (art.13).
c.1.3.5) Comunicación
Ubicamos cronológicamente como quinta fase de ejecución del marco de gestión del ROD a esta de comunicación porque acaecerá tras los incidentes puesto que las entidades financieras deberán disponer de planes de comunicación de crisis que permitan la divulgación responsable de, al menos, los incidentes graves relacionados con las TIC o las vulnerabilidades importantes a clientes y contrapartes, así como al público, según proceda (art.14).
C.2) La prevención del incidente operativo digital: las pruebas de resiliencia operativa digital
C.2.1) Programas de pruebas
Cuando nos disponemos a abordar la explicación de un instrumento regulatorio tan complejo y novedoso como son las pruebas de resiliencia operativa digital reguladas en el Capítulo IV (artículos 24 a 27) del DORA; no está de más comenzar recordando las definiciones más adecuadas de las partículas elementales que nos facilita el DRAE: del programa como una “serie ordenada de operaciones necesarias para llevar a cabo un proyecto” o, con mayor adaptación a lo digital, como “conjunto unitario de instrucciones que permite a una computadora realizar funciones diversas, como el tratamiento de textos, el diseño de gráficos, la resolución de problemas matemáticos, el manejo de bancos de datos”; y de la prueba como “razón, argumento, instrumento u otro medio con que se pretende mostrar y hacer patente la verdad o falsedad de algo”.
Una vez que nos hemos pertrechado con estas ideas básicas, ya podemos exponer que las entidades financieras -que no sean microempresas- deberán establecer, mantener y revisar un programa de pruebas de resiliencia operativa digital sólido y completo que forme parte del marco de gestión del riesgo relacionado con las TIC y que incluya una serie de evaluaciones, pruebas, métodos, prácticas y herramientas que se aplicarán de conformidad con los artículos 25 y 26 del DORA que, según veremos, se refieren a los objetos (las pruebas) y a los sujetos (los probadores) (art.24).
C.2.2) Requisitos objetivos de las pruebas normales y avanzadas
El DORA distingue dos tipos de pruebas que deben cumplir los respectivos requisitos:
C.2.2.1) Pruebas normales
Las pruebas normales de las herramientas y los sistemas de TIC deben cumplir el requisito general de adecuación que se proyectará en “evaluaciones y exploraciones de vulnerabilidad, análisis del software de código abierto, evaluaciones de seguridad de la red, análisis de carencias, exámenes de la seguridad física, cuestionarios y soluciones de software de detección, revisiones del código fuente cuando sea posible, pruebas basadas en escenarios, pruebas de compatibilidad, pruebas de rendimiento, pruebas de extremo a extremo y pruebas de penetración” (art.25).
C.2.2.2) Pruebas avanzadas
Las entidades financieras de dimensión normal (por ejemplo, las que no sean microempresas) deberán realizar, adicionalmente y al menos cada tres años pruebas avanzadas consistentes en pruebas de penetración basadas en amenazas. El DORA -en su art.26- realiza algunas precisiones sobre su contenido y su frecuencia:
a) En cuanto a su contenido, cada una de estas pruebas deberá abarcar algunas o todas las funciones esenciales o importantes de una entidad financiera y se realizarán sobre los sistemas de producción activos que sustenten esas funciones. A tal efecto, las entidades financieras determinarán todos los sistemas, procesos y tecnologías de TIC pertinentes subyacentes que sustenten funciones esenciales o importantes y servicios de TIC, incluidos aquellos que sustenten los servicios y funciones esenciales o importantes externalizados o contratados a proveedores terceros de servicios de TIC.
b) En cuanto a su frecuencia, la autoridad competente -a partir del perfil de riesgo de la entidad financiera y teniendo en cuenta las circunstancias operativas- podrá, en caso necesario, solicitar a la entidad financiera que reduzca o aumente esta frecuencia.
C.2.3) Requisitos subjetivos de los probadores externos e internos
Estas últimas pruebas de penetración basadas en amenazas podrán correr a cargo de dos tipos de probadores que deberán cumplir los requisitos respectivos. De tal manera que:
a) Si las entidades financieras recurren a probadores externos, estos deberán reunir los requisitos establecidos en el art.27.1 del DORA que se refiere a tener el más alto grado de idoneidad y prestigio; poseer capacidades técnicas y organizativas y demostrar conocimientos especializados en inteligencia sobre amenazas, pruebas de penetración y pruebas de equipo rojo; estar acreditados por un órgano de certificación de un Estado miembro o adherirse a códigos de conducta o marcos éticos oficiales; proporcionar una garantía independiente o un informe de auditoría que acrediten la buena gestión de los riesgos asociados con la realización de las pruebas la protección debida de la información confidencial de la entidad financiera y medidas de reparación en caso de riesgos empresariales para ella; y tener la cobertura debida por los seguros pertinentes de responsabilidad civil profesional, también frente a los riesgos de falta intencionada y negligencia. Además, las entidades financieras que recurran a probadores externos se asegurarán de que los contratos respectivos “exijan una buena gestión de los resultados de las pruebas de penetración basadas en amenazas y de que ningún tratamiento de datos del que sean objeto, incluido cualquier proceso de generación, almacenamiento, agregación, redacción, notificación, comunicación o destrucción cree riesgos para la entidad financiera” (art.27.3).
b) Si las entidades financieras recurren a probadores internos estos deberán reunir, adicionalmente, las condiciones previstas en el art.27.2 del DORA que se refiere a las circunstancias de que el recurso a estos probadores ha sido autorizado por la autoridad competente que debe haber verificado que la entidad financiera dispone de recursos específicos suficientes y ha garantizado que se eviten los conflictos de intereses durante todas las fases de constitución y ejecución de las pruebas. Además, el proveedor de inteligencia sobre amenazas deberá ser externo con respecto a la entidad financiera.
C.3) La solución de los incidentes operativos digitales
Entramos ahora e explicar la tercera fase del funcionamiento del sistema de resiliencia operativa digital (ROD) diseñado por DORA que -tal y como señalamos al comienzo de su exposición- se basa en un modelo inspirado en el seguro que se acomoda a una secuencia trifásica que parte del riesgo, sique con la prevención de incidentes mediante la resiliencia y acaba con la solución de los incidentes que sin duda acaecerán, a pesar de las medidas preventivas que se adopten. Esta tercera fase del funcionamiento del sistema de resiliencia operativa digital (ROD) diseñado por el DORA en su Capítulo III -que lleva por título “gestión, clasificación y notificación de incidentes relacionados con las TIC” (artículos 17 a 23)- busca la solución de los incidentes mediante un proceso que comienza con su pronta detección, sigue con su clasificación y finaliza con su notificación.
C.3.1) La detección de los incidentes operativos digitales
Las entidades financieras deberán definir, establecer y aplicar un proceso de gestión de incidentes relacionados con las TIC para detectar, gestionar y notificar dichos incidentes.
El primer paso consistirá en detectar y registrar todos los incidentes relacionados con las TIC y las ciberamenazas importantes. Las entidades financieras establecerán los procedimientos y procesos adecuados para que los incidentes relacionados con las TIC sean objeto de un seguimiento, un tratamiento y una respuesta coherentes e integrados, a fin de asegurarse de que se identifiquen, se documenten y se aborden las causas subyacentes para evitar que se produzcan (art.17).
C.3.2) La clasificación de los incidentes operativos digitales y de las ciberamenazas
El proceso de gestión de incidentes relacionados con las TIC requiere que las entidades financieras clasifiquen los incidentes relacionados con las TIC y las ciberamenazas. El DORA se ocupa de regular dos aspectos de este proceso de clasificación (art.18):
a) En cuanto a los incidentes relacionados con las TIC, establece los criterios que deberán emplear las entidades financieras para clasificarlos y determinar su repercusión por referencia a la clientela afectada (el número o pertinencia de los clientes o las contrapartes financieras afectados; la cantidad o el número de transacciones afectadas por el incidente relacionado con las TIC; si dicho incidente ha repercutido en la reputación); a su extensión temporal (duración del incidente relacionado con las TIC, incluida la duración de la interrupción del servicio) y geográfica (extensión geográfica de las zonas afectadas por el incidente relacionado con las TIC, en especial si afecta a más de dos Estados miembros); a su impacto cuantitativo (pérdidas de datos que el incidente relacionado con las TIC acarree, en relación con la disponibilidad, la autenticidad, la integridad o la confidencialidad de los datos) y cualitativo (carácter esencial de los servicios afectados, incluidas las transacciones y operaciones de la entidad financiera); a sus repercusiones económicas (las consecuencias económicas, en particular los costes y las pérdidas directos e indirectos, del incidente relacionado con las TIC, tanto en términos absolutos como relativos).
b) En lo que se refiere a las ciberamenazas, establece que las entidades financieras deberán clasificarlas como importantes en función del carácter esencial de los servicios en situación de riesgo, incluidas las transacciones y operaciones de la entidad financiera, el número y/o la pertinencia de los clientes o de las contrapartes financieras a las que se dirigen las amenazas y la extensión geográfica de las zonas de riesgo. Es pertinente recordar que el art.3 de DORA define ciberamenaza por referencia al artículo 2.8 del Reglamento (UE) 2019/881; y ciberamenaza importante, como “una ciberamenaza cuyas características técnicas indican que podría dar lugar a un incidente grave relacionado con las TIC o a un incidente operativo o de seguridad grave relacionado con los pagos”.
C.3.3) La notificación de los incidentes operativos digitales y de las ciberamenazas
El proceso de notificación de los incidentes operativos digitales y de las ciberamenazas por las entidades a las autoridades competentes se regula en función del tipo de acontecimiento, de su gravedad y del tipo de entidad financiera de modo tal que podremos distinguir entre (art.19):
a) La notificación obligatoria de los incidentes graves relacionados con las TIC a la autoridad competente pertinente. Tanto la notificación inicial como los informes intermedio y final incluirán toda la información necesaria para que la autoridad competente pueda determinar la importancia del incidente grave relacionado con las TIC y evaluar sus posibles efectos transfronterizos. Es pertinente advertir que, debido a su posición estratégica en el sistema financiero, los requisitos establecidos en el capítulo III del DORA se aplicarán a todos los incidentes operativos o de seguridad relacionados con los pagos cuando atañan a entidades de crédito, entidades de pago, proveedores de servicios de información sobre cuentas y entidades de dinero electrónico; con independencia de su gravedad (art.23 sobre los “incidentes operativos o de seguridad relacionados con los pagos que atañen a entidades de crédito, entidades de pago, proveedores de servicios de información sobre cuentas y entidades de dinero electrónico”).
b) La notificación voluntaria de las ciberamenazas importantes a la autoridad competente pertinente cuando consideren que la amenaza es pertinente para el sistema financiero, los usuarios del servicio o los clientes. La autoridad competente pertinente podrá transmitir esta información a otras autoridades pertinentes.
Este doble régimen de notificación obligatoria de los incidentes graves y voluntaria de las ciberamenazas importantes responde a que la ciberamenaza importante es la antesala del incidente grave relacionado con las TIC o a un incidente operativo o de seguridad grave relacionado con los pagos.
El DORA se ocupa finalmente del proceso de gestión para el aprovechamiento por las autoridades de supervisión de la información remitida por las entidades financieras comenzando por la armonización del contenido de aquella información conforme a unas plantillas para presentarla (art.20); siguiendo con la centralización de la información sobre los incidentes graves relacionados con las TIC (art.21) al objeto de permitir las observaciones pertinentes de las autoridades de supervisión (art.22).