GOBERNANZA DE LA CIBERSEGURIDAD: ENFOQUES DISTINTOS PARA LOGRAR RESILIENCIA Y CUMPLIMIENTO
Nuestra colaboradora invitada hace una comparativa entre la Ley de Resiliencia Operativa Digital (DORA) y las normativas de ciberseguridad de la SEC, analiza su impacto en organizaciones globales y proporciona recomendaciones para el cumplimiento y la adaptación a estos marcos normativos.
En una era donde las amenazas cibernéticas continúan creciendo en complejidad y frecuencia, los organismos reguladores de todo el mundo están implementando nuevos marcos normativos para mejorar la resiliencia operativa y proteger los mercados financieros. Entre los desarrollos más significa- tivos se encuentran la Ley de Resiliencia Operativa Digital (DORA) de la Unión Europea y las regulaciones de ciberseguridad de la Comisión de Bolsa y Valores de EE. UU. (SEC, por sus siglas en inglés). Estos marcos buscan abordar los riesgos asociados con la transformación digital, la seguridad de los datos y la estabilidad operativa.
Exploremos los componentes clave de DORA y las regulaciones de la SEC, comparando sus enfoques y proporcionando información sobre su impacto en las organizaciones globales que navegan por el panorama actual de la ciberseguridad, así como sus implicaciones si actualmente estás operando u ofreces servicios en alguna de estas regiones.
ANTECEDENTES
Vamos un poco al contexto y analicemos algunos antecedentes, sabemos que las amenazas cibernéticas han evolucionado de incidentes aislados a un riesgo generalizado que afecta a empresas, gobiernos e individuos en todo el mundo. Brechas de seguridad de alto perfil, como lo fueron el hackeo de SolarWinds y el ataque de ransomware a Colonial Pipeline, que han puesto de manifiesto las vulnerabilidades inherentes en los ecosistemas digitales. En respuesta, las autoridades reguladoras han intensificado su enfoque en la ciberseguridad y la resiliencia operativa.
DORA, introducida por la Comisión Europea, busca mejorar la resiliencia operativa digital de las instituciones financieras mediante la imposición de una gestión integral de riesgos para los sistemas de tecnología de la información y la comunicación (TIC). Su objetivo principal es garantizar que las instituciones, desde bancos hasta compañías de seguros, puedan prevenir, responder y recuperarse de incidentes disruptivos de TIC. La regulación establece requisitos específicos para la evaluación de riesgos, la notificación de incidentes y las pruebas de resiliencia, al tiempo que enfatiza la necesidad de estrictas prácticas de gestión de riesgos de terceros.
En contraste con el marco prescriptivo de DORA, la SEC se ha centrado en mejorar la gobernanza y la transparencia de la ciberseguridad a través de requisitos de divulgación. Las empresas públicas en EE. UU. ahora deben proporcionar información detallada sobre sus prácticas de gestión de riesgos de ciberseguridad, protocolos de respuesta a incidentes y el impacto po- tencial de las amenazas cibernéticas en sus operacio- nes. Este enfoque enfatiza la rendición de cuentas y la protección de los inversionistas.
Ambos marcos reflejan el impulso global hacia una supervisión regulatoria en el ámbito de la ciberseguridad, pero adoptan enfoques distintos para lograr la resiliencia y cumplimiento.
DEMOS UN VISTAZO A AMBAS REGULACIONES Y LO QUE CADA UNA ABARCA
1. La Ley de Resiliencia Operativa Digital (DORA)
DORA es una regulación pionera destinada a armonizar la gestión de riesgos de TIC en las instituciones financieras de la UE. Sus elementos clave incluyen:
Gestión de Riesgos de TIC: Establece requisitos estrictos para que las empresas identifiquen, monitoreen y gestionen los riesgos cibernéticos.
Notificación de Incidentes: Obliga a la notificación oportuna de incidentes cibernéticos importantes a los reguladores.
Pruebas de Resiliencia Operativa: Exige pruebas periódicas
de las defensas de ciberseguridad de una institución.
Gestión de Riesgos de Terceros: Introduce una supervisión estricta sobre los proveedores externos de servicios TIC, incluidos los servicios de computación en la Nube.
El objetivo de DORA es crear un marco de ciberseguridad uniforme en la UE, reduciendo la fragmentación y garantizando defensas cibernéticas sólidas en el sector financiero principalmente. Es posible que en el futuro pueda tener influencia en otros sectores.
2. Regulaciones de Ciberseguridad de la SEC
La SEC ha adoptado un enfoque basado en la divulgación para la regulación de la ciberseguridad, exigiendo que las empresas que cotizan en bolsa proporcionen una mayor transparencia sobre los riesgos e incidentes cibernéticos. Sus componentes clave incluyen:
Divulgación de Incidentes Cibernéticos Materiales: Las empresas deben informar los incidentes de ciberseguridad considerados materialmente significativos dentro de cuatro días hábiles.
Informe Anual de Gestión de Riesgos: Requiere que las empresas divulguen sus políticas de gobernanza de ciberseguridad y estrategias de gestión de riesgos en sus informes anuales.
Supervisión del Consejo de Administración: Fomenta que las empresas detallen el papel de su junta directiva en la supervisión de los riesgos cibernéticos.
El enfoque de la SEC se centra en garantizar que los inversionistas tengan la información necesaria para evaluar la postura y la exposición de una empresa a los riesgos de ciberseguridad.
3. Comparación de DORA y las Regulaciones de la SEC
Pero todo lo anterior, ¿qué implica para las Organizaciones Globales? Como hemos visto hasta ahora, los retos que trae consigo la digitalización está llevando a países enteros a tomar medidas más estrictas para interactuar con la cadena completa de suministro, así como la transparencia ante los sucesos de cualquier ciberataque. Por lo que, si eres una organización que tiene relación con empresas en la Unión Europea o los EE. UU, es importante que consideres algunos puntos.
1. Desafíos de Cumplimiento
• Operaciones transfronterizas: Las empresas multinacionales deben navegar por los requisitos de DORA y la SEC, asegurando la alineación en todas las jurisdicciones.
• Complejidad en la Notificación de Incidentes: Las organizaciones deben establecer protocolos claros para la notificación de incidentes de ciberseguridad bajo diferentes estándares regulatorios.
2. Pasos Prácticos para las Organizaciones
• Realizar Auditorías de Ciberseguridad: Evaluar la postura de seguridad actual en relación con los requisitos de DORA y la SEC.
Implementar Marcos de Gestión de Riesgos:
Adoptar marcos estandarizados como NIST Cyber-security Framework o ISO 27001.
Fortalecer la Participación del Consejo: Garantizar que la alta dirección participe activamente en la supervisión y toma de decisiones sobre ciberseguridad a través de un gobierno ágil y bien establecido. El panorama regulatorio de la ciberseguridad, liderado por DORA en la UE y las regulaciones de la SEC en EE. UU., señala un énfasis creciente en la resi- liencia operativa y la transparencia. Las organizaciones deben adaptarse proactivamente a estas regulaciones fortaleciendo sus marcos de ciberseguridad, mejorando sus estrategias de gestión de riesgos y asegurando el cumplimiento de los requisitos de notificación.
A medida que las tendencias regulatorias conti- núan evolucionando, las empresas, sin importar su giro o tamaño, deben anticipar futuras modificaciones en la normativa global y realizar inversiones en tecnologías avanzadas de seguridad para mantenerse a la vanguardia de las amenazas emergentes.
Si tu empresa es proveedora o prestadora de servicios para alguna organización en la UE o EE.UU., es fundamental que consideres implementar los ajustes necesarios en tus políticas, procesos y marcos regulatorios. Y si estás pensando en expandir operaciones a cualquiera de estas regiones, cumplir con estas normativas no sólo será un requisito, sino una ventaja estratégica para consolidar tu negocio en mercados altamente regulados.
Adaptarse a este panorama no sólo implica cumplimiento, sino la oportunidad de fortalecer la confianza, la seguridad y la competitividad en un entorno cada vez más digitalizado.
¡Hasta la próxima!
