Lo que no se comunica no existe
2 Sep, 2024
Reglamento DORA y sus requisitos de comunicación de crisis ante las ciberamenazas
La Unión Europea ha elaborado nuevas directrices uniformes para proteger el sector informático financiero mediante la armonización de las políticas europeas y nacionales existentes, es el llamado Reglamento de Resiliencia Operacional Digital (DORA), que entrará en vigor a partir de 2025. La creciente digitalización y el incremento de las ciberamenazas ha llevado a establecer esta […]
La Unión Europea ha elaborado nuevas directrices uniformes para proteger el sector informático financiero mediante la armonización de las políticas europeas y nacionales existentes, es el llamado Reglamento de Resiliencia Operacional Digital (DORA), que entrará en vigor a partir de 2025. La creciente digitalización y el incremento de las ciberamenazas ha llevado a establecer esta normativa de protección en los ámbitos de la ciberseguridad, la gestión de riesgos y la planificación de la continuidad. Es decir, se regula actuar de manera proactiva, antes de que ocurran ciberincidentes que pongan en peligro el dinero o los datos de las personas.
Entre las empresas del sector al que afecta DORA figuran entidades financieras como bancos, empresas de inversión, cooperativas de crédito y compañías de seguros, así como proveedores externos de TIC, como los proveedores de servicios en la nube, los procesadores de pagos y las empresas del sector tecnofinanciero. En un mundo hoy tan vulnerable, con su aplicación se busca obligar a ser más resistentes y tener mayor seguridad: estas empresas tendrán que demostrar que pueden hacer frente a diferentes crisis en materia de TIC en todos los niveles y departamentos, y que la estabilidad operativa de los sistemas digitales está garantizada de forma sistemática.
La confianza del público y de los clientes puede mantenerse mediante la adopción de buenas prácticas de seguridad digital y también de buenas prácticas de gestión de la comunicación. Y es en este último aspecto donde me quiero centrar en este post porque la Directiva DORA obliga al sector financiero a establecer y mantener protocolos de comunicación en caso de incidentes de seguridad digital: es decir, deben tener definido un plan de comunicación en crisis. Incluir dentro del cumplimiento con la regulación y la seguridad la anticipación en gestión comunicativa lo valoro como un hecho muy relevante. No hay ningún otro reglamento en materia de ciberseguridad que lo haga y a continuación expondré a qué obliga específicamente.
El mantenimiento de la buena reputación es una cuestión de gran fragilidad. Como indica Francisco Pérez Bes, abogado y socio de Derecho Digital en ECIX Tech, en este post sobre el reglamento DORA y la reputación de las entidades financieras tras un ciberataque: “en algunas investigaciones ya se ha confirmado que un ciberataque, una vez difundido en prensa, provoca fluctuaciones del valor de cotización de las acciones de la compañía ciberatacada, debido -principalmente- a esta pérdida temporal de confianza del mercado, donde los inversores esperan una gestión reputacional acertada”. El artículo 2 de dicho Reglamento establece los criterios de cuándo se considera que el ciberincidente tiene repercusión en la reputación así como su nivel de visibilidad.
Tres aspectos claves a tener en cuenta los líderes directivos
Antes de pasar a exponer a qué obliga DORA específicamente en materia de gestión de comunicación, quiero señalar tres aspectos que los líderes directivos de las empresas y organizaciones deben tener presente, ya que van a condicionar la gestión:
• 1. MAYOR EXIGENCIA REGULATORIA EN CIBERSEGURIDAD. Ante la dependencia de la tecnología y de las empresas tecnológicas vamos hacia entornos cada vez más regulados y exigentes en materia de seguridad, con mayor normativa de cumplimiento en ciberseguridad y en protección de los datos.
• 2. MARCO DE REFERENCIA PARA OTROS SECTORES. Si esto se exige desde la Unión Europea al sector financiero ahora, DORA es un aviso de navegantes para el resto de sectores, ya que previsiblemente dicha exigencia de un Plan de comunicación de gestión de crisis irá extendiéndose como obligatoriedad a otros sectores en el medio plazo.
• 3. DESARROLLAR LA CULTURA DE RESILENCIA. La concienciación y la formación continuada en ciberseguridad se debe extender a toda la cadena de valor de una organización, es imprescindible para ir construyendo una sólida cultura de seguridad y ganar en capacidad de resilencia operativa.
¿Puede existir la excelencia en la comunicación de crisis? Sí, y es a lo que se debe aspirar en las organizaciones. Esa excelencia está vinculada a la previsión con la que una organización se prepara. Debe hacerlo con anticipación y con capacidad para ser lo suficientemente flexible para adaptarse a los rápidos cambios tecnológicos y de contexto cibernético si quiere reaccionar con eficacia ante dichas amenazas.
¿Qué supone la obligación de DORA en materia de comunicación?
Hoy es fundamental que todas las organizaciones y las empresas tengan capacidad para hacer frente a estas cuatro líneas de acción: prevenir, detectar, dar respuesta (contención) y recuperar y repararse rápidamente de las amenazas cibernéticas relacionados con las TIC. El Reglamento DORA obliga en todos estos aspectos y también a establecer un plan de comunicación de crisis para que la alta dirección sepa cómo manejar la situación en sus primeras horas. Esto es algo que los directivos de Comunicación, Reputación y Asuntos Corporativos deben tener muy en cuenta ya que se deberá:
- Identificar los posibles escenarios de crisis de seguridad digital.
- Establecer sistemas para monitorear, administrar, registrar, clasificar e informar incidentes relacionados con las TIC. Los criterios para la evaluación de la gravedad serán el impacto en clientes, la interrupción de operaciones y el impacto en la seguridad de la información.
- Tener definido quién se encarga de la toma de decisiones en cada momento del proceso de la gestión y según sea el escenario de la amenaza TIC.
- Tener definido cómo se maneja la comunicación externa con los distintos grupos de interés, desde las autoridades competentes a los clientes/usuarios y los ciudadanos.
- Presentar informes a las autoridades competentes y a los clientes y socios afectados sobre incidentes graves, proporcionando informes iniciales, intermedios y finales, y, con carácter voluntario, incidentes importantes.
- Tener formado y entrenado al personal en los procedimientos de comunicación de crisis.
Así, este reglamento obliga con antelación a tener una metodología y unos recursos para gestionar desde la comunicación el potencial impacto que tienen los riesgos y crisis TIC e incidentes de ciberseguridad. Cumplir con esta regulación y sus requisitos incluye tener protocolos de comunicación en crisis. DORA no se aplicará hasta el 17 de enero de 2025, por lo que las empresas del sector informático financiero tienen todavía cuatro meses para adaptar sus procesos.
Directiva NIS 2 para los sectores estratégicos
Por otro lado, hay que recordar que también en breve se va a aplicar la Directiva europea NIS 2, que refuerza las obligaciones en ciberseguridad para operadores de sectores críticos estratégicos. La primera Directiva NIS (Seguridad de las Redes y de la Información, SRI) fue en 2016 y supuso la aplicación en toda Europa de exigencias en materia de protección de redes y sistemas frente a los ciberataques. El año pasado entró en vigor la SRI 2 que afecta a las empresas y organismos que operan en sectores críticos (cómo la energía, el retail, la banca, la salud, el transporte…) y el próximo 17 de octubre vence el plazo para adaptar dicha normativa a la realidad de España.
Básicamente lo que hace es reforzar las medidas que se deben de tomar para ganar en resilencia al enfrentarse a este tipo de amenazas. En lo que se refiere al aspecto de la notificación de ciberincidentes importantes estos deben notificarse a las 24 horas de su detección al CSIRT de referencia (Equipo de respuesta a incidentes de seguridad informática) como evaluar e informar en un plazo de 72 horas sobre la situación.
Lo que está claro es que los ciberataques cada vez son más sofisticados e incluyen el uso de inteligencia artificial y sus costes para las organizaciones van en aumento tanto en lo que afecta al negocio como a sus consecuencias negativas en la reputación. Un ejemplo claro de la preocupación ante esta realidad son las palabras del consejero delegado del Grupo Santander, Héctor Grisi, al presentar los resultados semestrales el pasado mes de julio, tras haber sufrido en mayo el banco un ciberataque.
En este Acceso No Autorizado al Santander le sustrajeron datos personales de clientes en España, Chile y Uruguay, así como de los 210.000 empleados que el grupo tiene en todo el mundo. «Uno de los pensamientos que tengo cada mañana es que no nos estalle una situación de este tipo. Es una amenaza global, no específica del banco. Estamos tomando este riesgo como una prioridad absoluta«, declaró Grisi y advirtió de los riesgos reputacionales y de negocio asociados al ciberataque sufrido.
Ante este alto riesgo reputacional, que exista una normativa como DORA que obligue a diseñar planes de comunicación de crisis para divulgar los incidentes o vulnerabilidades más importantes relacionados con las TIC y la ciberseguridad a clientes, homólogos y ciudadanos, es, sin duda, un paso muy importante que pone en valor su importancia estratégica para lograr ser más efectivos tanto en la protección como en minimizar sus efectos negativos.
Artículos relacionados
Si te ha gustado este artículo también te puede interesar
Deja una respuesta