El pasado 28 de noviembre la Autoridad Bancaria Europea (EBA, por sus siglas en inglés) publicó los “Guidelines on ICT and security risk management”, que constituyen la primera regulación armonizada en Europa dedicada a la gestión de los riesgos tecnológicos y de ciberseguridad para todo tipo de instituciones financieras.

El documento establece los principios que deben regir en las entidades de crédito, empresas de inversión y proveedores de servicios de pago, para la adecuada gestión y mitigación de los riesgos vinculados a las Tecnologías de la Información y Comunicaciones (ICT, por sus siglas en inglés) a los que las entidades están expuestas en su día a día.

Uno de los propósitos principales que persiguen estas directrices es aportar a las instituciones financieras un mejor entendimiento de las expectativas de los supervisores en relación con la gestión de ICT y riesgos de ciberseguridad.

Además, este marco de requerimientos aspira a garantizar una aproximación consistente y robusta en el mercado, integrando no solo a los jugadores tradicionales, sino también a las Fintech, tanto desde el punto de vista operativo y de control, como desde el punto de vista regulatorio.

En un momento en el que múltiples nuevos “jugadores” tecnológicos -más innovadores y más ágiles- han venido irrumpiendo en diferente parcelas del negocio financiero, parecía imprescindible avanzar hacia una homogeneización del “campo de juego”, considerando tanto la perspectiva de requerimientos regulatorios como la de gestión de riesgos. Así mismo, supone un acicate para que las instituciones tradicionales impulsen con mayor intensidad la innovación tecnológica y la sencillez de sus procesos.

Como es conocido, las guías emitidas por la EBA no son en sí mismas normas que deban ser adoptadas por parte de reguladores, supervisores o instituciones pero, de facto, son asumidas como propias por parte de todos aquellos, máxime después de los periodos de consultas mantenidos previos a su publicación. Por ello, se espera que sean tenidas en cuenta y que se incorporen en la gestión y gobernanza de las entidades.

Los aspectos clave contenidos en las guías son:

• Destacan la necesidad de dotarse de un modelo robusto de gobernanza y de una sólida estructura de control interno para la gestión de los riesgos de ICT compatible con el modelo de 3 líneas de defensa.
• Señalan la necesidad de un mantenimiento continuo y actualizado de un inventario de funciones de negocio, procesos de soporte y activos de información, adecuadamente clasificados atendiendo a su criticidad.
• Desarrollan requerimientos en materia de seguridad de la información, estableciendo la necesidad de desarrollar una política específica al respecto.
• Incorporan principios de alto nivel para la gestión de las operaciones de ICT incluyendo requerimientos de mejora continuada de la eficiencia.
• Enfatizan la necesidad de desarrollar y testear que los Planes de Continuidad de Negocio y de recuperación sean adecuados e integrales, destacando la importancia de que en los mismos se integren los planes específicos relativos a ICT y que, por tanto, estos no se gestionen de forma independiente.
• Establecen requerimientos específicos para los proveedores de servicios de pago en cuanto a la relación con sus usuarios.

Es relevante destacar dos aspectos importantes que se han incorporado en el espíritu global de estas directrices:

• La proporcionalidad en la aplicación de las guías en base a la realidad de cada institución (dimensión, complejidad, organización interna, etc.)
• La importancia de los principios generales que deben ser seguidos, dejando a decisión de las entidades la forma en que dichos principios se aplican a partir de análisis de riesgos propios. Un ejemplo que deja claro este espíritu es el relativo a la gobernanza y la gestión de proyectos tecnológicos.

En nuestro sector, para que la actividad siga siendo sostenible, son imprescindibles mejoras continuadas de la eficiencia, lo que implica, en gran medida, la necesidad de una permanente innovación y transformación tecnológica que, a su vez, entrañan nuevos riesgos que deben ser abordados.

Como venimos observando de manera creciente, nuestro sector no es inmune a estos riesgos. Por tanto, es imprescindible destacar la importancia de que nuestras instituciones desarrollen planes de mitigación robustos que garanticen una adecuada protección y respuesta ante los riesgos tecnológicos y las amenazas crecientes, tanto en su complejidad como en su impacto. Los riesgos vinculados con la ciberseguridad son quizás uno de los ejemplos más visibles, conocidos y relevantes en materia de riesgos tecnológicos.

Estas directrices deben de servir de estímulo adicional para que todos avancemos con paso firme en la adecuada gestión operativa y de los riesgos de aspectos tan relevantes vinculados con la tecnología.

Desde luego, nuestra fortaleza en la gestión de los riesgos tecnológicos proporcionará a nuestros clientes tranquilidad en la gestión de sus operaciones y de sus posiciones y reforzará su confianza en la relación con las entidades.

Aquí puedes escuchar al autor explicando cómo impactan estas directrices en los emprendedores de la Fundación: