Ve por el fruto más fácil de alcanzar: Preparación de DORA para fondos de pensiones

Steve Merry

Supongo que somos bastante afortunados de tener una base de clientes bastante global: fondos, gestores de activos, pero para los fondos de pensiones específicamente, DORA es un ejemplo de regulación específica para nuestra base de clientes europeos.

Pero la idea de la resiliencia operativa es bastante global. Si piensas en nuestros clientes en Australia, el CPS 230 es bastante exigente para ellos, en el Reino Unido, obviamente DORA no es necesariamente aplicable directamente a nuestros fondos del Reino Unido, pero el regulador de pensiones en el Reino Unido está empujando a los fiduciarios hacia una comprensión más robusta de los riesgos cibernéticos a los que su esquema podría estar potencialmente sujeto. Obviamente, ha habido algunos incumplimientos bastante públicos recientemente.

Así que creo que DORA es un ejemplo, pero la resiliencia operativa es ciertamente algo que estamos viendo, y el riesgo cibernético en general es algo con lo que los fiduciarios cada vez tienen que sentirse más cómodos de gestionar. Hemos tenido conversaciones con algunos de nuestros clientes más grandes y tenemos grupos de trabajo específicos de DORA que están mirando activamente esto.

Pero luego, en el otro extremo del espectro, hay fondos que están justo al comienzo de sus viajes de DORA y podrían estar buscando ideas de nosotros sobre qué pasos inmediatos podrían o deberían estar tomando. ¿Cuál es el problema más grande en el que deberían estar pensando en relación con DORA? Tal vez esa sea una pregunta para ti, Shreeji, que podrías ayudarles a considerar.

Ya sea primero más ampliamente sobre el riesgo cibernético, en qué deberían estar pensando los fiduciarios, pero luego específicamente en relación con la regulación de DORA. Así que tal vez pensemos primero en los riesgos cibernéticos.

Shreeji Doshi

Sí, el objetivo de DORA es introducir la resiliencia operativa.

Entonces, los fiduciarios que han estado mirando el riesgo cibernético más ampliamente durante algún tiempo pueden inherentemente cumplir ya con DORA. Es un punto muy interesante que haces, ya que, en mi experiencia limitada, y es completamente una opinión y una hipótesis personales, tengo entendido que la industria de los fondos, especialmente los fiduciarios, necesitarían ponerse al día en gran medida sobre el riesgo cibernético, habiendo habido muchos incidentes últimamente en la industria.

Pero tú estás trabajando más de cerca con ellos. ¿Tus pensamientos al respecto?

Andy Clark

Creo que el desafío para los fondos de pensiones que vemos a nivel global es que la administración del fondo de pensiones, los equipos con los que normalmente hablamos, son grupos bastante pequeños de personas que tienen que llevar a cabo una serie de tareas en sus trabajos diarios. Así que cuando ven otra regulación que se avecina y tienen que lidiar con ella, depende de cómo quieran priorizarla.

Lo que sucede con DORA es que es un problema real para los fondos de pensiones, que sabemos que han sufrido ataques cibernéticos en tiempos recientes. Así que es un equilibrio entre "¿necesito hacer algo al respecto, o puedo posponerlo?" Y creo que este es un tema que realmente no se puede dejar pasar. Tendrán que pensar en ello y hacer algo al respecto, aunque los equipos de los fondos de pensiones tienden a ser pequeños y no tienen grandes equipos y mucho tiempo para reflexionar sobre estos temas.

Steve Merry

Así que, con eso en mente, si fuera uno de nuestros clientes de fondos de pensiones, como dijiste, Andy, con un equipo bastante reducido, y aún no he tenido los recursos para dedicarlos a DORA, ¿qué podría estar haciendo en este momento?

Tenemos enero de 2025 como fecha de entrada en vigor, y pensamos en los diferentes requisitos de DORA, ya sea la prueba de resiliencia o lo que sea, o el marco de gobierno que necesitan revisar, ¿hay algún fruto fácil de alcanzar que debería ser su primer paso, crees, para estar listo para DORA antes de enero?

Shreeji Doshi

Lo más fácil de alcanzar se puede determinar a través de un proceso: cómo se vería cualquier viaje de cumplimiento de nueva regulación, que se determinaría con una evaluación de brechas. Ese es el primer paso. Entonces, si el fondo aún no ha hecho eso, se recomienda encarecidamente.

Y en mi experiencia, podría decir que podría haber algunas brechas existentes ya que hay algunos requisitos que, en mi opinión, no son muy impulsados por las regulaciones para la industria de los fondos. Por ejemplo, las pruebas de penetración dirigidas por amenazas es algo que se promovió activamente dentro de la industria bancaria en Europa y, en mi opinión, debido a eso, la banca ya cumple con ese requisito.

Pero los fondos no han tenido un regulador que impulse esos ejercicios, por lo que necesitan planificarlo si no lo han hecho activamente como parte de su monitoreo proactivo de riesgos. Eso podría ser algo en lo que cada fondo debería mirar. Mencionaste los incidentes en el sector de los fondos de pensiones. Ya sabes, con la llegada de DORA, están siendo muy prescriptivos sobre cómo clasificar un incidente.

¿Cuáles son los criterios para llamarlo un incidente crítico o un incidente alto? Y luego hay plazos de notificación que aún no están redactados, pero vendrán. Pero los fondos necesitarían cumplir con esos.

Y tocamos el tema; la comprensión del riesgo cibernético a nivel de fiduciarios, y DORA es bastante prescriptivo sobre lo que el órgano de dirección debería hacer, en el sentido de que los está presionando para que sean responsables del riesgo cibernético. Así que esas son tres cosas a un alto nivel, que creo que la mayoría de los fondos necesitarían considerar.

Andy Clark

Una de las cosas que noté, mirando algunas de las publicaciones que han salido, es que uno de los impulsores de DORA es esta frase "la interconexión" entre las entidades financieras. En Thomas Murray, analizamos todo el espacio postcomercial, así que desde un fondo de pensiones que invierte con un depositario global, un subdepositario, hasta el nivel del mercado, y todas estas entidades están conectadas por SWIFT y otras herramientas similares.

Y creo que lo que impulsa DORA es decir que, sí, el depositario global puede tener una protección cibernética muy fuerte, pero las entidades que se conectan a ese depositario global, es decir, los fondos de pensiones, su protección puede no ser tan avanzada. Así que creo que es una idea interesante, que el fondo de pensiones debe darse cuenta de que está conectado a todo este proceso y debe asegurarse de que sea tan seguro como todas las demás entidades con las que interactúa.

Shreeji Doshi

Sí, cierto, cierto. Hasta cierto punto, esta naturaleza interconectada de DORA también puede correlacionarse con los requisitos que tienen sobre los terceros de TIC, porque usan los mismos terceros de TIC en toda esta cadena de valor del ciclo de vida postcomercial y DORA está presionando de manera muy significativa sobre la gestión del riesgo de terceros de TIC y los está empujando con cláusulas contractuales estándar.

Hay una iniciativa de categorizar a los terceros de TIC críticos, que tendrán un marco de supervisión independiente por parte del CISO. Así que, de hecho, la naturaleza interconectada del mundo en el que vivimos es algo que DORA busca gestionar el riesgo.

Andy Clark

Sí, quiero decir, uno de los países donde tenemos clientes es los Países Bajos, y desde hace algunos años, cuando los fondos de pensiones interactúan con cualquier tercero, hay bastante supervisión de todos esos terceros que utilizan. Así que vemos que los Países Bajos están bastante avanzados en ese sentido. Creo que otros mercados tienen que ponerse al día en esto, tienes que asegurarte de que las partes con las que interactúas también tengan controles robustos en su lugar.

Steve aludió a que cada mercado tiene requisitos regulatorios ligeramente diferentes.

Shreeji Doshi

Los requisitos regulatorios serían los mismos, pero creo que donde variaría el cumplimiento es en el lado del mercado. Una cosa que hemos cubierto en el otro episodio de podcast sobre la gestión del riesgo de terceros de TIC es que DORA es tan prescriptivo.

Te está dando las cláusulas que deben ir en un contrato de proveedor de terceros de TIC, lo que desde el punto de vista de la regulación nunca he visto, lo cual es genial porque no hay un área gris. Están diciendo que estas son las cláusulas obligatorias que necesitas tener. Así que todas estas organizaciones necesitarían volver a hacer sus contratos estándar con terceros de TIC y lo bueno es que los terceros de TIC también lo ven, saben que está llegando.

Así que, en mi opinión, habría una resistencia limitada. La mayoría de las organizaciones necesitarían hacer esos cambios en su proceso de adquisición.

Steve Merry

Shreeji, hemos hablado un poco sobre cómo algunos de los fondos están más avanzados en su viaje de DORA que otros. ¿Qué hay, supongo, sobre el tamaño y la escala de algunas de las organizaciones y el principio de proporcionalidad?

¿Has visto u oído algo sobre proporcionalidad que valga la pena compartir?

Shreeji Doshi

Curiosamente, Pensioenfederatie ha hecho un comentario sobre proporcionalidad, que no se considera adecuadamente en la regulación de DORA. Tengo una opinión ligeramente diferente. Creo que han considerado la proporcionalidad, hasta cierto punto. Por ejemplo, los esquemas de pensiones que no tienen más de 15 miembros están excluidos del ámbito de aplicación de la regulación de DORA.

Además, la regulación permite que se considere la proporcionalidad en función del perfil de riesgo, pero esto tendría que ser la evaluación propia de la entidad financiera y con evidencia sustancial de que el perfil de riesgo es bajo. Así que lo han cubierto de alguna manera, al menos en mi opinión personal.

Steve Merry

Creo que probablemente vuelve al punto de Andy al principio sobre fondos de pensiones con recursos limitados y estoy seguro de que ser mantenidos a los mismos estándares que una organización más grande no sentaría bien con ninguna organización. Así que sí, creo que probablemente veremos más sobre ese tema.

Hablamos anteriormente sobre lo más fácil de alcanzar, Shreeji, y hay algunos de nuestros clientes que no han llegado tan lejos con su viaje de DORA que las pruebas de penetración dirigidas por amenazas podrían ser relativamente fruto fácil de alcanzar para ellos como primer paso.

Pero ¿qué hay de los fondos que están más desarrollados? Ya sabes, tienen sus propios equipos de DORA, desde nuestra perspectiva, ¿qué, si acaso, podríamos hacer como organización independiente? ¿Qué hay de ti? ¿Qué añadimos? Somos conscientes de que hemos creado un cuestionario donde los clientes pueden realizar una autoevaluación para ver dónde están con respecto a DORA. Hemos hecho eso y está disponible de forma gratuita.

Pero para algunos clientes que están bien desarrollados, eso podría no ser un requisito. Y ¿qué, si acaso, podríamos ofrecer a esos clientes que están bastante avanzados en ese viaje de DORA?

Shreeji Doshi

Creo que esa es una gran pregunta. Es algo fácil de alcanzar porque brinda gestión proactiva de riesgos. Las pruebas de penetración podrían ser un ejercicio muy bueno de llevar a cabo porque no solo ayuda al cumplimiento, sino que también ayuda proactivamente a las organizaciones a reducir el riesgo.

Entonces, ya sabes, hay un gran beneficio tanto desde el punto de vista del cumplimiento como desde el punto de vista proactivo de gestión de riesgos. Todo el capítulo de pruebas de resiliencia operativa digital empuja a las organizaciones a realizar pruebas técnicas, identificar vulnerabilidades y solucionarlas. Entonces, incluso si no es desde el punto de vista del cumplimiento, definitivamente ayudará a reducir los riesgos cibernéticos que los fondos podrían tener.

En cuanto a la otra parte de la pregunta, en cuanto a si el fondo está significativamente maduro en el cumplimiento de DORA, nuestra herramienta aún puede ser útil. Podría ser una forma de verificar cómo están progresando: típicamente, cuando te metes en los detalles, tienes que parar y verificar si estás en el camino correcto.

La mayoría de las organizaciones podrían usarla de dos maneras. Una es saber realmente por dónde empezar. Pero si alguien ya está corriendo hacia el cumplimiento de DORA, podrían simplemente detenerse y comprobar si van en la dirección correcta.

Además, podemos dar una opinión independiente para los fiduciarios si su equipo cree que están en una posición excelente, podemos venir y proporcionar una opinión independiente sobre eso. Así que hay varias formas en que nuestros clientes pueden aprovechar lo que tenemos para lograr su cumplimiento de DORA.