Cómo implementar con éxito la adecuación a DORA

Financiero
DORA

El pasado 17 de enero del 2023 entró en vigor el nuevo reglamento DORA (Digital Operational Resilience Act), Ley de Resiliencia Operativa Digital, normativa de la UE que busca mejorar la seguridad y la resiliencia de las entidades financieras y sus proveedores de servicios TIC frente a las amenazas y perturbaciones digitales. La norma será aplicable a todas las entidades financieras que operen en la UE, incluidos bancos, empresas de inversión, plataformas de negociación, entidades de contrapartida central y otras infraestructuras de los mercados financieros.

El nuevo reglamento será de obligado cumplimiento a partir del 17 de enero del 2025, con lo que se abre un periodo de dos años para la adaptación a los requisitos establecidos en la norma. De forma global, los objetivos que persigue la directiva son:

  • Establecer requisitos uniformes para la gestión del riesgo, la gobernabilidad, la supervisión, la notificación, las pruebas y la auditoría de las entidades financieras y sus proveedores de servicios TIC de funciones esenciales.

  • Incrementar el grado de resiliencia de las entidades financieras, poniendo el foco en la implementación de estrategias integrales para la continuidad de negocio, que garanticen la prestación de servicios al cliente ante eventos disruptivos. Las entidades deberán reforzar sus planes de recuperación ante desastres, sus sistemas de contingencia y de salvaguarda de datos.

  • Creación de un mecanismo de supervisión coordinada para las organizaciones y los proveedores de servicios TIC críticos que operan en varios Estados miembros, con el fin de evitar duplicidades y garantizar una aplicación coherente. Las autoridades competentes velarán por el cumplimiento del marco normativo establecido, auditando a las organizaciones y debiendo estas últimas notificar de forma periódica ante cualquier incidente o evento de relevancia.

  • Reforzar el intercambio de información y la cooperación entre las autoridades competentes y los organismos de la UE en materia de ciberseguridad y resiliencia operativa digital.

Para GMV, las implicaciones y retos que se derivan de DORA van a tener un fuerte papel transformador en la arquitectura de procesos y sistemas de las entidades financieras. Entre otros aspectos cabe reseñar los siguientes:

  • Integración del riesgo TIC al máximo nivel de dirección, estableciendo un modelo de cálculo de este ante cualquier cambio en los procesos, sistemas y proveedores TIC de la organización.

  • Reformulación integral de las estrategias de continuidad:

    • Procesos y capacidades de respuesta específicos en función de la tipología del incidente.

    • Modelo de cálculo de costes directos e indirectos del impacto del incidente y obligación de reportarlos a la autoridad competente.

    • Registro de actividad antes, durante y post incidente.

    • Nuevas estrategias de segmentación y desconexión inmediata de redes y activos.

    • Plan estructurado de pruebas de todo el conjunto, auditable y acompañado de un plan de mejora continua.

  • Inventario extendido de activos y servicios críticos, mapeando el soporte de proveedores externos y sistemas e identificando fuentes de riesgo.

  • Gran apuesta por la formación y sensibilización para la resiliencia y la ciberseguridad. Programas integrales y auditados que deberán abarcar a todos los colectivos de la organización.

  • Nuevo modelo de relación con los proveedores TIC esenciales. Se deberán identificar claramente las cadenas de subcontratación y dependencias e informar a la autoridad competente sobre cambios en los contratos establecidos. Las organizaciones estarán obligadas al diseño y despliegue de estrategias de salida y de redundancia para aquellos proveedores que sustenten una o varias de las funciones esenciales.  Existirá de igual forma un conjunto de requisitos para la homologación de estos proveedores esenciales, dentro del marco europeo, que ayudará a una mejora global de la resiliencia del sector financiero desde la perspectiva TIC.

  • Esquemas estructurados y homogenizados para la gestión de operaciones. Se establecerán modelos comunes para la clasificación, registro, cálculo de impacto y notificación de incidentes, existiendo la obligación de reportar tales eventos a la autoridad competente y compartirlos con otras entidades del sector, si la gravedad del incidente lo requiere. Nuevas estrategias de monitorización podrán ser necesarias.

  • Foco en la comunicación y gestión de crisis, estableciendo figuras y responsabilidades dedicadas y potenciando los mecanismos de automatización, incluyendo las notificaciones a los propios clientes de la entidad.

Para GMV, de cara a incrementar el éxito en la labor de adecuación a DORA, considera indispensable la adopción de tres palancas clave. La primera es la adopción de un framework integral de procesos que integre la seguridad y las operaciones TIC de forma natural, permitiendo al tiempo la adopción de soluciones GRC globales para el seguimiento del riesgo. La segunda aboga por poner foco en el dato, mediante la creación de un Data Lake de Resiliencia que permita integrar fuentes de información y la aplicación de IA para la toma de decisiones. La tercera, y no menos importante, es la potenciación de la híper automatización en todas las actividades y sistemas relacionados con la activación de los planes de respuesta y recuperación.

DORA, lejos de ser un mero instrumento de cumplimiento normativo, puede suponer una gran oportunidad para la mejora del Customer eXperience, ayudando a mejorar la calidad, disponibilidad y seguridad de los servicios y, al tiempo, potenciar la confianza y el engagement del cliente final. Su impacto supondrá igualmente un salto cualitativo y de madurez en la prestación de servicios TIC, introduciendo mecanismos de competitividad y mejora continua que sin duda redundarán en el crecimiento de todos los players implicados. La apuesta por GMV en este ámbito es clara: innovación, compromiso y un fuerte expertise, avalado por una dilatada trayectoria en tecnología y seguridad de la información.

**Este artículo se publicó por primera vez en la edición en línea de Comunicaciones Hoy.

Ángel García-Madrid Velázquez
Head of GMV's Resilience Services
Business Continuity Manager

Añadir nuevo comentario

Not show on Home
Inactiu
Source URL: https://gmv.com/media/blog/financiero/como-implementar-con-exito-la-adecuacion-dora