El pasado miércoles, 22 de mayo, tuvimos el primer webinar de ASEAFI sobre el decreto DORA. En este espacio abordamos, de la mano de Máximo Tamayo, gerente de Informa Consulting, los aspectos reseñables e importantes a tener en cuenta para cumplir con la normativa y tomar consciencia del amplio trabajo a realizar.
En esta sesión hablamos de los siguientes puntos:
- Objetivos
- Ámbito de aplicación
- Situación actual
- Supervisión y sanciones
- Definiciones más relevantes
- Ámbito de Regulación:
– Gestión del riesgo relacionados con las TIC
– Gestión, clasificación y notificación de incidentes relacionados con las TIC
– Pruebas de resiliencia operativa digital
– Gestión de riesgo relacionado con las TIC derivado de terceros
Durante la jornada, en el espacio de preguntas y respuestas, quedaron algunas de las preguntas sin responder. Aquí tienes las respuestas que traslada Máximo Tamayo.
- Nuestra ESIs y gestoras comparten ciertos servicios de tecnología, que son contratados desde la matriz a terceros (por ejemplo, Microsoft, para el uso del correo electrónico). ¿Debemos considerar a la matriz de nuestro grupo como un proveedor de servicios de TIC, por ser quien contrata a Microsoft, y luego gestiona la tecnología de las ESIS del grupo?
R: En mi opinión, por supuesto, es decir, os presta servicio, Fíjate que la definición que hace de proveedor de terceros TIC considerados esenciales. Te dice que nunca podrá ser un proveedor de servicios TIC esencial, una compañía de. De tu mismo grupo, es decir, esta compañía que presta el servicio a través del consorcio nunca va a ser esencial. Como proveedor, no como preste una función esencial, que son dos cosas diferentes, pero. Pero lo dicho, es un proveedor de servicios, stake y Microsoft, a su vez, también acaba de incluirlo como un subcontratista de tu subcontrata, que es tu problema, vale, pero no va a ser nunca un proveedor esencial, porque luego la normativa tiene dos artículos que desarrolla todo lo que tiene que cumplir cuando tengas un proveedor presencial.
- ¿Podríais indicar de manera resumida qué puntos debería de cumplir una entidad que se acoja al principio de proporcionalidad?
R: Vamos a ver a ver el principio de proporcionalidad. Es un principio que aplica a todas las entidades. Vale, esto es esto es un poco como como como cuando tú aplicas un marco de gestión de riesgos. No fijaros lo que dice, por ejemplo, que yo creo que igual estáis más. ¿Conocéis el mayor detalle, la inundación? En materia de Protección de Datos de carácter personal, te dice que tú apliques, medidas, controles o medidas técnicas organizativas que tú consideres suficientes, teniendo en cuenta la naturaleza de tus operaciones, el alcance de estas. El estado de la técnica, los costes de implantar nuevos controles, es decir, que sea proporcional. Es decir, pues aquí es un poco lo mismo. Sí que te da unas pinceladas expresamente en la normativa en cuanto a cuando es una microempresa o cuando es. Pero evidentemente, las medidas o cómo aplicar el nivel de cumplimiento no es lo mismo en un Banco Sistémico, que es el Santander, para que sea una pequeña entierra aseguradora o una esi que que sobrepase lo que se considera ese pequeña interconectada. Vale entonces cuando, o sea, la proporcionalidad aplica a todos si lo que os referís. 6 a 2 puntos que habría que hacer si es una microempresa, eso es ir mirándose una normativa y cuando no ponga que es microempresa no les aplica. ¿Y cuando te aplique, evidentemente hay que aplicarlo con juicio de valor para no bajar a profundidad, sino quedarte, pues, por ejemplo, un programa de sensibilización, pues si es una microempresa, hombre, el programa evidentemente debe tener, pues tienes que hacer algo, pero no tiene que ser muy profundo ni hacerlo todos los años, ¿vale? Evidentemente, según va creciendo, pues el grado de cumplimiento pues tiene que ir aumentando, pero yo creo que deberíamos de aplicar un poco. Unos criterios más de lógica y luego ya iremos viendo cómo el regulador interpreta, porque esto es un poco como le pasó con la entrada en vida del Reglamento General de Protección de Datos es muy difícil. ¿Estos juicios que son en parte hay una componente subjetiva que cómo lo ves desde fuera? Pues ya es basado en la consponencia que puede haber en orientaciones que más completas que haga cada 1 de los de las autoridades competentes. Y un poco en el que la gente que tiene que ya está participando en diversos en diversos proyectos, pues tú ves lo que está haciendo la competencia unos de otros, con lo cual te hace un cierto grado de confianza en lo que tiene.
- ¿Si tienes un SLA firmado con una empresa del grupo (Matriz) por el cual utilizas los sistemas que la matriz tiene contratados con terceros, a que nivel deberías profundizar en el análisis de ICT? ¿Quedarte a nivel de la Matriz? ¿Si esa Matriz está en UK?
R: Vamos a ver si es una matriz que está en la Unión Europea, le aplica la misma normativa, es decir, el cumplimiento de Dora le está afectando al mismo, con lo cual toda la información del cumplimiento de Dora. ¿La vas a poder? Digamos incorporar a lo tuyo que va a ser tal cual esté. Porque ojo, estos intereses aplican a todos los países. ¿Es decir, el trabajo que está haciendo la matriz con toda su cadena de subcontratistas te lo va a pasar a ti y tú te vas a poner entre comillas por delante de toda la cadena, ¿vale? Con lo cual el trabajo está hecho. ¿Vale, a qué quiere tener? El riesgo de profundizar es que es que tu matriz, en principio, si está en la Unión Europea ya va a hacer ese trabajo y si lo hace mal tu matriz, pues tú vas poco, vas a poder hacer. Vale, si la matriz está en UK, pues hay dos ahí. El problema pues ya empieza, empieza a tener más relevancia porque ellos no van a estar obligados a realizar todo este todo este trabajo, pero tú no te puedes quedar a ver. No te puedes, es que la matriz ya tiene que, controlada a sus subcontratistas, por lo cual tú no vas a tener solo un subcontratista, que es tu matriz. Piensas tu matriz y todos los que cuelgan de ellos. Vale, pero esto, pero por descontado que que una entidad financiera que esté en UK y que tenga una cierta envergadura porque vosotros pertenecéis a la misma, seguro que tiene igual. No el trabajo, digamos formateado. A este esquema. Pero debería de tener también formación y deberías de recoger.
- Buenos días, somos una sociedad de valores con sede digital en Londres. la totalidad del soporte IT lo realiza Londres. ¿Cómo afectaría el tema de las pruebas de resiliencia a hacer cada año?
R: Bueno, pues deberíais de hablar con vuestra matriz en OOO sí entiendo yo qué es la matriz en Londres. Comentarle que es esta normación deseo de cumplir y que os ayuden. Realizar estas pruebas. O que la sea ganando ellos mismos. Porque a ver que estas pruebas de resiliencia no son cosas que no se estén haciendo. Vale, yo creo que la gente esté tranquila. Es decir, son cosas que ya se deberían de estar haciendo, que unas entidades hacen más y otras hacen menos y que lo lo que se intenta es que se documente todo lo que se hacen. Y que en función de riesgos se valore si es suficiente o no. Es decir, la gente ya hace planes de su plan de continuidad de negocio de su de sus propias de respaldo. A ver si están funcionando. La gente ya hace pruebas de. De ataques de vulnerabilidades ya corren procesos para ver cuáles son las vulnerabilidades de los servidores. Ya ya hacen revisiones de código fuente, ya se hacen muchas cosas. Ahora bien, también depende del tamaño de la entidad. El tema está en ver lo que se está haciendo y valorarlo.
- ¿Cómo prevéis la participación conjunta de pruebas de penetración? Me refiero a cuando los proveedores deben colaborar con la entidad en la realización de las pruebas, como se pretende involucrar por ejemplo a AWS en esas pruebas.
R: ¿Esto es algo que la normativa creo que recoge el cuándo no saques el pie conjunta de pruebas, ¿no? Lo si se refiere a personal externo o interno, realmente es que el legislador aboga por que sea externos, vale, sean externos de reconocido prestigio. Es decir, te piden que tengan titulaciones, pues pisa. Bueno, hay otras ciber. Hay otra de la misma, Isaac, que tiene una componente específica de ciberseguridad. Es decir, especifica que Smart pone más. Trabas cuando es personal interno. ¿Si lo de la participación conjunta de es que no sé muy bien a lo que se refiere. Si se refiere a conjunta con otras entidades, pues depende.
- ¿Es necesario actualizar los contratos vigentes de proveedores que presten servicios para alguna función esencial (mediante adendas)? ¿O sería suficiente incluir las cláusulas mínimas una vez haya que renovar los contratos?
R: Hombre, yo veo lo lógico que sea suficiente el hacer un anexo con todo, con todos los nuevos requisitos de cumplimiento, no a modo de también exitosamente general de protección de. Ahora mismo no me consta si hay una fecha límite o si se ha puesto algún periodo transitorio, yo entiendo que no, con lo cual estaríamos ante la misma fecha límite del 17 de enero. El 2025.
- Has hablado de una multa mínima por falta grave de 2,5 M€. ¿Esto también aplica a las empresas ESI pequeñas no interconectadas? Lo pregunto por el principio de proporcionalidad.
R: ¿En este principio de proporcionalidad afecta os? Lo he. Un poco no, pero afecta. Si os leéis el capítulo cuatro, creo que hace referencia en el apartado 1 a que se aplicará a principio de proporcionalidad con relación al capítulo dos. Y luego, en el resto de capítulos, tal se aplicará al principio proporcional no, no me acordaré exactamente las palabras ex. Quizá, pero el ámbito sancionador está en la ley de mercado de Dolores, donde hay, no pone ningún ámbito de proporcionalidad. ¿Qué bueno, probablemente ponga algo? O sea, a ver, esto son sanciones máximas. Aunque te ponga que te pueden llegar a poner una multa de 2,5 millones de euros. ¿Vamos a ver, siempre aplican el criterio de proporcionalidad, es decir, si es una entidad pequeña no le van a poner la misma sanción que a que a Microsoft si está prestando servicios tecnológicos, es decir, si se aplican criterios de proporcionalidad, cómo los va a aplicar? Pues al final, atendiendo al tamaño de la entidad en. Tipo de. De operaciones que realiza, etcétera, pero sí, o sea, aquí se aplica, o sea, no es cuestión de poner la misma sanción. La sanción se debe primero sobre la infracción que se ha cometido, con qué gravedad, pero luego también tienen en cuenta el tamaño de la entidad, las infracciones, etcétera.
- La fecha de DORA es enero de 2025, ¿pero hay algún periodo de gracia para cumplir con la normativa dada su amplitud y qué ocurre si en el plazo no se cumple la normativa? ¿qué posibilidad tenemos de ser auditado?
R: 2025. ¿Bueno, la posibilidad de ser auditado la desconocemos, pero lo lógico es que la CNNV empiece por las por las entidades de mayor relevancia, ¿vale? Yo creo que a ver esto. Yo hago un símil también con la normativa de Protección de Datos personales. Esto es una carrera a largo plazo. Es decir, yo dudo mucho que haya entidades que estén cien por cien. Dentro del sector financiero y estamos hablando de entidades que tienen muchísimos más recursos y muchas más posibilidades, es decir, lo que hay que intentar llegar es hacer un plan de acción, fijaros. ¿Qué estamos cumpliendo ahora mismo de la normativa? Porque no, no deberíamos estar partiendo de cero, deberíamos estar partiendo de una situación inicial donde tenemos algunas políticas donde tenemos. Pues igual un plan de continuidad de negocio donde igual tenemos una serie de cosas. Ver qué es lo que nos falta y ir analizando a lo largo del cumplimiento y el tema está en que la. El regulador también va a haber. ¿Cómo estás tú con? Porque lo primero que hacen reguladores es preguntar a todas las entidades qué es lo que tienen y hasta dónde están llegando. Entonces lo interesante es no salir en la foto, no sé cómo decirte, es decir, estar por encima de la media entonces. Yo no espero que estéis cumpliendo cien por cien. Vamos iba a decir algunos como como para decir todos, es decir. Sí, esto es una carrera a largo plazo, lo. Que hay que tener es un plan de acción que demuestre que estás actuando conforme a la normativa, que tienes un plan de cumplimiento y que vas a llegar, que vas a llegar igual, no de una manera ya. Y además que esto es un es un elemento vivo, es decir, porque tú el día de mañana puedes estar cambiando los sistemas y tienes que hacer. Una, una reprodificación de lo que tengas es un tema que está ahí, que la verdad es que llegar al cien por cien cumpliendo es muy complejo, es muy complejo. ¿Pero Pérez, lo dicho? Yo creo que lo que hay, que lo que hay que centrarse es poder demostrar que tienes un plan de acción, que estás en vías y que tienes 1º de cumplimiento. Imagínate en él ahora mismo del 65 y te esperamos que para dentro de 3 meses el 72, es decir, tener algo que a todas luces sea. ¿Se pueda tener a que a qué? Sobrando diligentemente.
- ¿Ayuda tener la ISO 27001? En caso de no tenerla, cual sería tu recomendación, ¿Dora y después ISO 27001 o al revés?
R: A ver, Dora como tal no es una certificación, ¿vale? La ISO 27001 ayuda mucho porque ayuda mucho, porque digamos que es un marco de cumplimiento. En materia de seguridad de la información, o sea, todas estas políticas que vienen que antes os he descrito que obligaban en el marco conjunto. Punto también están obligadas a tenerla si quieres tener la 27 million, vale, y si no tienen ese nombre, digo el nombre parecido, pero encajan, vale, es es toda la normativa de seguridad se basan al final puede ser similares una, engloba dos, dos, pero todas encajan, vale, no, no, no han, no han inventado nada nuevo en esto del. ¿Vale eso que? Pero claro, ayuda muchísimo para cumplir. También ten en cuenta que. Todas estas certificaciones y sobre calidad son certificaciones de calidad. Te dicen que tus procesos están estandarizados y tienes un marco de gestión correcto, lo cual no decir que tus controles que estás aplicando son esas viviendas sean los correctos, sino que lo tienes un marco de gobernanza y unas políticas herramienta que son adecuadas.
- ¿Tenéis estimado, aproximadamente, qué nivel de solapamiento tiene DORA con la ISO27001? ¿Una empresa certificada en seguridad de la información tiene que aplicar muchos controles específicos de DORA o se machean la mayoría de ellos?
La gran mayoría de políticas y procedimientos mencionados en el Capítulo II sobre Modelo de Gestión del Riesgo relacionado con las TIC se machean y no debería aparecer nada novedoso en relación con las mismas. Ahora bien, dentro del detalle que se recoge en la RTS JC 2023 86 en cuanto al Marco de Gestión de Riesgos no simplificados, existen algunos requisitos adicionales. Donde existe diferencia es en las áreas de gestión, clasificación y notificación de incidentes, en las pruebas de resiliencia y en la gestión de riesgos de terceros, donde se recogen requisitos muy específicos y se da detalle de cómo cumplir con la regulación sin margen de actuación.
- ¿Se debe definir un presupuesto y un personal mínimo dentro de la documentación que esté dedicado a ciberseguridad y riesgos de forma asidua? ¿Si es así, existen unos mínimos o un estándar que marque el porcentaje a invertir en riesgos y ciberseguridad?
DORA indica que se “asignará y revisará periódicamente el presupuesto adecuado para satisfacer las necesidades de resiliencia operativa digital de la entidad financiera con respecto a todos los tipos de recursos, incluidos los programas de sensibilización en materia de seguridad de las TIC y las actividades de formación (…)”. Por lo tanto, hay que definir un presupuesto y asignar los recursos necesarios, pero no se identifican unos mínimos o estándar que marque el porcentaje.
- Si una entidad clasifica un software de una microempresa como esencial, las pruebas de resiliencia, penetración, etc., se trasladan al tercero o las debe realizar la entidad ¿? Y posteriormente cooperar en mejorar el software…
La Entidad clasifica con esencial una función y, en caso de que dicha función requiera de dicho software, dicho activo TIC pasará a ser esencial y el tercero que lo gestione (en su caso) también deberá incluir una serie de cláusulas adicionales. Las microempresas están exentas de realizar pruebas de resiliencia: art. 24.1:A fin de evaluar el estado de preparación para gestionar incidentes relacionados con las TIC, o de detectar debilidades, deficiencias y carencias en materia de resiliencia operativa digital y de aplicar sin demora medidas correctoras, las entidades financieras que no sean microempresas establecerán, mantendrán y revisarán, teniendo en cuenta los criterios establecidos en el artículo 4, apartado 2, un programa de pruebas de resiliencia operativa digital sólido y completo que forme parte del marco de gestión del riesgo relacionado con las TIC a que se refiere el artículo 6.
- ¿Existen formularios normalizados para recabar/remitir a regulador la información de gestión de riesgo TIC derivado de terceros?
Existe un RTS y una ITS (la JC 2023 85) que define cómo hay que hacer el registro de información e incluso consta un documento EXCEL para completarse.
- En la primera diapositiva he entendido que quedaban excluidas de la norma las empresas de servicios de inversión pequeñas y no interconectadas y las microempresas, ¿he entendido bien o hay ciertas partes que sí que hay que cumplir?
Al principio de la exposición he intentado trasladar que en la aplicación de DORA hay que tener en cuenta el principio de proporcionalidad recogido en el artículo 4. Prueba de la aplicación de dicho principio de proporcionalidad, la propia DORA en algunos de sus artículos y/o apartados indica que nos son aplicables a microempresas de manera expresa. Lo mismo ocurre en algunos pocos artículos y/o apartados para las empresas de servicios de inversión pequeñas y no interconectadas, o indica una forma de aplicación menos extensa.
- Los prestamistas, no Entidades de crédito, ni de pago, estamos fuera del ámbito de aplicación, ¿verdad?
La normativa no incluye a los prestamistas en el artículo 2 que define el ámbito de aplicación.