Henry Matta, Socio de Riesgos de Integridad de EY Perú
Según diversos estudios y reportes globales, los servicios financieros son 300 veces más probables de ser víctimas de un ciberataque, en comparación a compañías de otros sectores. Asimismo, en un mundo cada vez más digitalizado aparecen nuevos retos en la seguridad de los sistemas. Ahora las empresas deben velar por que sus sistemas puedan enfrentar ataques como el malware o la ingeniería social, y mantener la seguridad y disponibilidad de la información de sus miles de usuarios.
No tomar medidas para estos riesgos trae graves consecuencias, por lo que la seguridad de las tecnologías e información son una mayor preocupación hoy en día. De acuerdo con un reciente reporte global de IBM, una brecha de datos puede generar un costo de US$ 4.35 millones por incidente. En este mismo reporte se presenta que, de las empresas encuestadas, el 83% han sido víctimas de brechas de datos en más de una ocasión.
Es en este contexto que la Unión Europea aprobó en noviembre de 2022 el reglamento Digital Operational Resilience Act, también conocido como DORA, que tiene como objetivo homogenizar las regulaciones del sector financiero en cuanto a resiliencia digital y manejo de riesgos de Tecnologías de la Información (TIC). Si bien este reglamento aplicará para entidades financieras en la Unión Europea y terceros quienes les prestan servicios TIC esenciales, los riesgos que inspiraron su creación podrían tener un impacto en el sector financiero a nivel global.
El reglamento DORA está basado en cinco pilares que abarcan diferentes aspectos de la resiliencia digital y que pueden servir de guía para que instituciones financieras en el Perú fortalezcan su gestión de riesgos de ciberseguridad: procedimiento uniforme para el reporte de incidentes ante la autoridad, gestión del riesgo relacionado a las TIC, pruebas de resiliencia operativa digital, gestión del riesgo relacionado a terceros y, finalmente, inteligencia e intercambio de información entre entidades financieras, protegiendo siempre la información confidencial.
Lograr implementar estos cambios requerirá que las instituciones financieras sigan una serie de buenas prácticas globales, siendo una de ellas la gestión e investigación forense de los incidentes ocurridos. Esto no solo podrá ayudar a preparar la información que será reportada a las autoridades (uno de los pilares), sino que permitirá crear una base de datos de inteligencia que permite modelar el comportamiento de las amenazas, facilitando el intercambio de información con otras entidades financieras (otro de los pilares) para juntos hacer frente a los ciberataques.
