Ciberseguridad-por-norma-BLOG-ESP

La ciberseguridad por norma

/ Blog

El sector financiero cada vez es más dependiente de la tecnología y de las empresas tecnológicas proveedoras para ofrecer sus servicios. Y esto, que es un avance demandado e inevitable, las deja por otro lado vulnerables a esta nueva forma de ‘robo a un banco’ que son los ciberataques, y que ya no solo van en busca de dinero, sino también de ese oro digital que son los datos. Hemos pedido a uno de nuestros expertos en ciberseguridad de producto, Néstor Santolaya, que nos hable de la situación actual y de las normativas generales que aplican al sector financiero:

Recientemente se han puesto en marcha dos normativas a nivel europeo que pretenden velar por la seguridad –ciberseguridad- no solo de los usuarios finales de la banca sino también de las propias entidades financieras. Por un lado estaría el Acta de Resiliencia Operacional Digital, DORA (Digital Operational Resilience Act, por sus siglas en inglés), que nace con el objetivo de reforzar la ciberseguridad de entidades financieras como bancos, compañías de seguros o firmas de inversión europeas en caso de disrupción operacional severa o, seamos claros, de un ciberataque masivo. La aplicación de DORA, aunque no es una ley de ciberseguridad en sí, es de obligado cumplimiento a finales en enero de 2025 y va a incidir en la necesidad de protección de todos estos dispositivos. A ella se une la ley CRA (Cyber Resilience Act), ella sí directamente relacionada con la ciberseguridad en el desarrollo de los productos con componentes digitales para las empresas, tanto hardware como software, de uso en la Unión Europea.

Ambos, en combinación, llegan para garantizar no solo esa seguridad en forma de vulnerabilidades o falta de actualizaciones que dejan agujeros de seguridad inadvertidos sino también, de algún modo, la falta de concienciación y formación que es un hecho todavía en los usuarios, y que también afecta a muchos trabajadores de compañías financieras, lo que impide que se elijan productos con una ciberseguridad apropiada o que se usen de una manera no segura.

Todo ello redunda en beneficio de los agentes maliciosos, ya que puede proporcionarles acceso no solo a información confidencial, sino también directamente a los sistemas de las entidades a gran escala.

Más vigilancia ante la vulnerabilidad de los cajeros

En la banca, la cara más visible de esta problemática serían los ATM, ya que son el principal punto de entrada del malware, (por su accesibilidad física) algo que ya ha quedado dolorosamente demostrado en los numerosos casos de infección por malware como Ploutus, Tyupkin, Green Dispenser, Alice, Cutlet Maker o WinPot.

Y es que, cuando no están adecuadamente protegidos y gestionados, la vulnerabilidad de estos dispositivos puede incluso afectar a otras empresas –un acceso no autorizado al banco que no solo custodia el dinero, sino los datos de muchos individuos y todo tipo de organizaciones-.

A partir de la aplicación de DORA todo fabricante de software para el sector bancario deberá identificar, evaluar y mitigar los riesgos específicos de, entre otras cosas, su parque de cajeros automáticos o unidades de autoservicio. Y si añadimos la CRA a la ecuación, puesto que los aparatos cuentan con software bancario, deberán también tener en cuenta los requisitos de seguridad desde la fase de desarrollo, de forma que sean resistente a incidentes y puedan recuperarse rápidamente en caso de sufrirlos. Tanto una como otra normativa exigen además pruebas periódicas de evaluación ante ataques de malware o penetración de la ciberseguridad, y la notificación a las autoridades competentes sobre incidentes relacionados con el producto o vulnerabilidades que puedan tener (además de trabajar en subsanarlas de manera rápida y eficaz).

Ambas normativas se complementan: mientras que DORA se centra más en la resiliencia operativa y la gestión de riesgos TIC, la CRA se enfoca más en la seguridad desde el diseño y la transparencia de la ciberseguridad. Así, la implantación combinada de DORA y CRA en los ciclos de desarrollo de Software para el sector bancario supondrá una importante mejora de la seguridad y la confianza en el sistema bancario, ya que permiten garantizar que el software es seguro y resiliente, protegiendo tanto a las propias instituciones como, y sobre todo, a los clientes frente a cualquier tipo de ciberamenaza.

En Auriga ya aplicamos, de facto, este modelo de evaluación, testeo y actualización de nuestras soluciones de software para la banca de manera regular desde hace mucho tiempo, y se han establecido las medidas necesarias para poder cumplir todos los aspectos de ambas normativas lo antes posible.

Para nosotros, como fabricantes de software destinado al sector bancario, estas regulaciones son bastante relevantes, al igual que para cualquier empresa que se dedique al desarrollo de software para el sector bancario. Son relativamente recientes, y todavía son pocos quienes han realizado ejercicio de buscar los puntos comunes de ambas o incluso de tenerlas en cuenta, pero ambas están destinadas a suponer un punto de inflexión (para bien) en cuanto a la ciberseguridad de las entidades financieras.