Saltar al contenido principal

Pagos

10 de agosto de 2023

 

Entendiendo la visión de DORA para una red financiera resiliente

Líder Steve Brown

Cibernética e inteligencia

soluciones, Mastercard

La Ley de Resiliencia Operacional Digital (DORA) no se redactó teniendo en mente las soluciones de una red de pagos global. Un vistazo a sus disposiciones reglamentarias sugiere que bien podría haber sido así.

La sugerencia no es que una red de pagos se haga cargo del cumplimiento de DORA en nombre de las entidades financieras que operan dentro de su red. Sería una tarea difícil incluso si el enfoque fuera puramente en la resiliencia cibernética. Este riesgo es aún más alto debido a que DORA cubre todos los riesgos operativos asociados con las tecnologías de la información y las comunicaciones (TIC) y que plantea la creciente interconexión de las entidades financieras.

Más bien, la sugerencia señala la posición de DORA de que la resiliencia puede “debido a su escala y efectos, lograrse mejor a nivel de la Unión [Europea]” y que los pagos “han pasado de los métodos basados en efectivo y papel” a soluciones digitales. El doble enfoque de DORA en la escala, en toda la UE y más allá, y en las finanzas, especialmente los pagos, se alinea bien con las actividades existentes de las redes de pago globales.

Por ejemplo, en Mastercard apoyamos a las entidades financieras al permitir pagos seguros y transferencias de datos en todo el mundo. Nuestra resiliencia operativa digital se logra mediante una combinación de autenticación sólida de clientes, cuantificación de riesgos, simulación de infracciones y ataques, monitoreo de exposición en línea y evaluación de riesgos sistémicos.

La combinación es importante. DORA señala que el sector financiero de la UE está “regulado por un Libro Normativo Único y regido por un sistema europeo de supervisión financiera”, mientras que “la resiliencia operativa digital y la seguridad de las TIC aún no están armonizadas de forma total o consistente”. El llamado explícito es a favor de un marco armonizado, pero la sugerencia implícita es que las soluciones también deberían armonizarse. Las soluciones de una red de pagos pueden ayudar a las entidades financieras a lograr esa armonía entre sí.

Cuatro pilares distintos, una solución “siempre activa”

Los cuatro pilares principales de DORA exigen lógicamente cuatro soluciones, y existen productos específicos para cada una de ellas en distintos grados. Pero la gestión de riesgos, los informes de incidentes, las pruebas de resiliencia y el riesgo de terceros no funcionan independientemente unos de otros. DORA los aborda juntos sin interrupción por una buena razón; los proveedores de ciberseguridad y otras soluciones de riesgo operativo podrían considerar hacer lo mismo.

Las redes de pago están íntimamente familiarizadas con la necesidad de estar "siempre activas" a través del procesamiento sustituto que brindan a los bancos para cumplir con los requisitos de autenticación sólida de clientes (SCA) durante interrupciones y tiempos de inactividad de los bancos.

Pero más allá de la autenticación y autorización de pagos, las redes de pago también protegen continuamente todos los datos en sus redes. Esa protección puede cubrir transacciones centradas únicamente en tarjetas de crédito o pagos de cuenta a cuenta en tiempo real, o puede incorporar otros datos financieros a través de la banca abierta o, cada vez más, de la cadena de bloques.

Los ciclos continuos de cuantificación del riesgo cibernético permiten a las redes de pago gestionar los riesgos operativos de sus redes multirriel y los que enfrentan las entidades financieras a las que sirven. Este enfoque cuantificable del primer pilar de DORA lleva la ciberseguridad más allá de la mentalidad de un juego de arcade que consiste en introducir monedas reactivamente en una ranura para detener un ataque incesante. La personalización interna puede entonces abordar necesidades comerciales específicas, mientras que la contextualización externa proporciona apoyo basado en amenazas dinámicas en constante evolución.

Las pruebas de resiliencia mediante simulaciones de violaciones y ataques complementan la gestión de riesgos al imitar el comportamiento de actores maliciosos. Las simulaciones pueden ejecutarse de forma continua dentro del entorno de producción de una organización para abordar el segundo pilar de DORA mientras las operaciones comerciales continúan sin interrupciones. También pueden servir como un sistema de validación continua que monitorea la efectividad de los controles de seguridad. Los resultados proporcionan datos mejorados para la gestión de riesgos que a su vez alimentan otras pruebas de resiliencia en círculos virtuosos. Los informes resultantes de las pruebas continuas pueden luego incorporarse a los mecanismos de informes de incidentes para el tercer pilar de DORA según sea necesario.

El cuarto pilar, el riesgo de terceros, viene después de la gestión de riesgos, los informes de incidentes y las pruebas de resiliencia en DORA. La postura no parece ser un reflejo de importancia, sino más bien un reconocimiento de cómo subyace a los otros tres pilares de un ecosistema financiero.

Muchas entidades financieras, un ecosistema financiero

El riesgo de terceros se considera el más desafiante de los cuatro pilares principales de DORA en una encuesta patrocinada por Mastercard a equipos de riesgo de tecnología de la información y la comunicación (TIC) en 20 entidades financieras en 20 países de la UE entre noviembre de 2022 y febrero de 2023.

El desafío surge de la necesidad emergente de resiliencia del ecosistema a medida que el riesgo de terceros pasa de una mentalidad de “yo contra ellos” a un “nosotros” colectivo que subyace a todos los demás aspectos de la ciberseguridad. El objetivo general de DORA es proporcionar esa resiliencia del ecosistema a la UE y, idealmente, a todo el mundo.

Desde una perspectiva global, DORA no requiere la localización de datos en lo que respecta al manejo de datos que entran y salen de la UE. Sin embargo, DORA no es inmune al “efecto Bruselas”, que se refiere al impacto de la legislación de la UE más allá de sus fronteras geográficas.

Más específicamente, en términos de DORA en sí y del riesgo de terceros, los artículos 36 y 44 abordan las actividades de las autoridades supervisoras europeas “fuera de la Unión” y el desarrollo de mejores prácticas a través de la “cooperación internacional”.

El alcance significa que la capacidad de las entidades financieras para abordar DORA depende de soluciones holísticas de los proveedores, como las redes de pago globales, con asociaciones que abarcan todo el ecosistema financiero. El círculo virtuoso de gestión de riesgos y resiliencia puede entonces beneficiarse aún más de las economías de escala asociadas a un ecosistema financiero repleto de relaciones inherentes con terceros. Los enfoques específicos para el riesgo de terceros, como el monitoreo de la exposición en línea y el riesgo sistémico, complementan el enfoque de red.

La letra de la ley versus el espíritu de la ley

La Ley de Resiliencia Operacional Digital suena mucho más accesible bajo su simpático acrónimo DORA. Las entidades financieras de la UE y de otros lugares deberán conocer bien la DORA antes de enero de 2025, cuando comience a implementarse.

La encuesta patrocinada por Mastercard sugiere que las entidades financieras comenzarán a implementar el cumplimiento a mediados de 2023 después de completar las evaluaciones de brechas. Un paquete integral o “armonizado” de soluciones debería ayudarles a llegar a tiempo.

Pero esa ayuda debe ir más allá del mero suministro de soluciones conectadas para satisfacer las necesidades de cumplimiento. DORA depende de algo más que simplemente que las entidades financieras individuales cumplan con la letra de la ley. También depende de que las entidades financieras reconozcan la necesidad de unirse en todo el ecosistema financiero a través de un enfoque de red.

Sin esa red, probablemente habrá una desconexión. Un resultado irónico para una ley diseñada para satisfacer las necesidades de un mundo interconectado.