DORA responsabilizará a los Consejos de Dirección de las brechas de Seguridad
La directiva DORA contempla sanciones asociadas a la falta de compromiso o evasión de las responsabilidades por parte de los directivos. En esta nueva entrada, nuestro Security Architect, José Luís Peciña, comparte su punto de vista y perspectiva sobre la situación actual con DORA.
De sobra es sabida la incapacidad de los gobiernos de la unión para abordar la ingente cantidad de ciberataques que a diario afectan a los distintos estratos de la economía comunitaria. Al igual que contener un virus como el COVID-19, que amenaza el devenir de la vida humana, consume una ingente cantidad de recursos de los estados y requiere de la alineación, coordinación y sincronización de todos los estados miembros en la implementación de las medidas que garanticen su contención, mitigación y posterior erradicación, en el mundo tecnológico actual, nos enfrentamos a una nueva pandemia. Esta pandemia, que es la ciberdelincuencia y que no deja de atormentar a las empresas, sin importar su ámbito (municipal, estatal, internacional), industria (aeroespacial, defensa, salud, telecomunicaciones, transporte) y que afecta tanto al normal desempeño de sus negocios como a la adecuada prestación de sus servicios, requiere de un enfoque similar, conjunto y coordinado. Es una constante encontrar departamentos de IT dimensionados con una, dos o un máximo de tres personas que, si bien no hacen milagros, realizan magia todos los días al asumir la enorme carga de trabajo, complejidad y el titánico esfuerzo que requiere mantener al día los sistemas TIC que permiten el normal desarrollo y funcionamiento del negocio. Estos mismos equipos infra dimensionados adicionalmente deben cubrir las necesidades de protección, detección, contención, recuperación y reparación de la infraestructura en caso de un ciberincidente. Los cibercriminales han demostrado ser capaces de aprovechar y sacarle el máximo partido y rentabilidad a la inacción de las empresas, la pasividad de los directivos, la incredulidad respecto a los riesgos y amenazas existentes y su negativa a dotar a los departamentos de IT de los recursos necesarios para implementar las mejores prácticas para identificar y prevenir de manera efectiva posibles brechas de seguridad, así como al desconocimiento de los usuarios por falta de formación. La educación, la concienciación, el compromiso, la responsabilidad y la puesta en marcha de las acciones correctoras pertinentes por parte de los equipos directivos, responsables y gestores de las empresas son los pilares más importantes en una estrategia de ciberseguridad corporativa. Lamentablemente, no hay retorno en la implementación de medidas de ciberseguridad en la empresa; la inversión en ciberseguridad que hoy en día muchos equipos directivos y gestores que asignan los presupuestos siguen contemplando como un gasto, no tiene retorno en el negocio. Los números no engordan los balances de resultados y garantizar una postura de seguridad sólida y robusta en la empresa es costoso. Culminar con éxito la puesta en marcha de una nueva política o capa de seguridad cibernética no es trivial, ni se asocia a la comodidad de la operación en los negocios. La primera línea de defensa es la concienciación del usuario y no hay usuario más relevante que el gestor, que debe apoyar, amparar, reafirmar, estimular y favorecer la implementación de las distintas medidas de seguridad, así como practicar con el ejemplo en su adopción. Y es realmente difícil avanzar cuando el gestor no tiene tiempo para asistir a un curso de formación en materia de ciberseguridad, o no le da la importancia que requiere, o simplemente no desea salir en la foto como un usuario sin los conocimientos adecuados que también se equivoca. Del mismo modo, ese mismo gestor que, desde su iPhone, realiza operaciones de negocio críticas para su empresa y que probablemente tiene acceso a información sensible y datos personales, se niega a implementar el doble factor de autenticación porque no le resulta cómodo. Los requisitos de cumplimiento, así como las recomendaciones en las mejores prácticas de ciberseguridad y por las que abogaba la GDPR para garantizar la protección de los datos de carácter personal y que, 5 años después, no se han implementado en un considerable número de empresas como consecuencia de la pasividad de los directivos, pasan a ser obligatorias con la nueva directiva. A pesar del cambio de paradigma que supuso la GDPR en la gestión del riesgo de IT, la falta de inspección y, por consiguiente, de sanción por parte de la autoridad competente ha resultado en una falta de adopción, adopción parcial, insuficiente o de mínimos por parte de las empresas, poniendo de manifiesto el riesgo para los datos de carácter personal de sus empleados y sus clientes y haciendo ostensible la abrumadora falta de concienciación e implicación de los equipos gestores o directivos. A pesar de las diferentes iniciativas, el riesgo sigue siendo muy elevado, razón por la cual la comisión se ha visto obligada a promulgar la directiva DORA sobre la resiliencia operativa digital del sector financiero para garantizar el cumplimiento de unos mínimos que aseguren una resistencia cibernética en el sector. Así pues, por fin la directiva DORA contempla sanciones asociadas a la falta de compromiso o evasión de las responsabilidades por parte de los directivos. La responsabilidad, que hasta ahora venía recayendo en la empresa en su conjunto, pasa a tener nombres y apellidos. El artículo 50 de la directiva DORA contempla las sanciones administrativas y medidas correctoras que la autoridad competente podrá implementar, en modo de medidas correctivas, sanciones administrativas e incluso sanciones penales a los miembros del órgano directivo y demás personas físicas que sean responsables de la infracción, en este caso incluso en modo de inanición por la no implementación de las medidas de seguridad exigidas por la directiva, como la no asignación de un presupuesto adecuado, la ausencia de un marco de gobernanza interno que gestione el riesgo, una inadecuada separación de funciones, la ausencia en la gestión de ciberincidentes, notificación y plan de respuesta a los mismos, la no realización de pruebas de resiliencia operativa y la falta de gestión de la cadena de suministro TIC, entre otras. La directiva DORA exige que el órgano de dirección de la compañía, asignando el presupuesto adecuado, promueva de forma activa un alto nivel de disponibilidad, integridad y confidencialidad, garantizando un nivel adecuado de tolerancia al riesgo y acreditando la formación continua de todo el personal, incluido el propio órgano de dirección. Sin duda, es momento de que los líderes y directivos asuman sus responsabilidades con compromiso y profesionalismo. Conclusión: En el dinámico y siempre evolutivo mundo de la tecnología de la información, el compromiso y la conciencia son fundamentales para garantizar la seguridad y la integridad de las empresas. La ciberseguridad no es solo una responsabilidad técnica, sino también una responsabilidad corporativa y directiva. Como proveedores de servicios de IT, estamos aquí para apoyar y guiar a las empresas en este camino crucial hacia una mayor resiliencia y protección. La directiva DORA marca un punto de inflexión, enfatizando la importancia de la acción proactiva y la responsabilidad individual y corporativa. Al colaborar juntos, podemos asegurar un entorno digital más seguro y confiable para todos. Confíe en nosotros para ser su aliado en esta misión crítica.