Con la entrada en vigor de DORA (regulación de la operativa digital para entidades financieras) Kyndryl ha presentado el informe “Dora 2025: Impacto y desafíos de su implantación en entidades financieras», llevado a cabo en colaboración con Afi (Analistas Financieros Internacionales). Un documento en el que se pone en valor el verdadero significado de la implementación de este nuevo reglamento.
Durante el evento Kyndryl mostró, de la mano de David Soto, presidente de Kyndryl España y Portugal, y Karen Gaines, vicepresidenta de ciberseguridad y resiliencia de Kyndryl, el papel que la consultora ha jugado en el acompañamiento realizado a sus clientes en su viaje hacia la nueva normativa. Viaje en el que han percibido el gran impacto que tienen los cinco pilares de Dora a la hora de llevar a cabo proyectos, y en que las empresas se han enfrentado a importantes retos en un momento en el que, tal y como David Soto recordó, las infraestructuras son el corazón de los negocios, “por lo que tenemos la responsabilidad de que funcionen bien”. El directivo admitió que “ante nuevas normativas que están por llegar, las organizaciones van a tener muchas lecciones aprendidas con DORA”.
Por su parte Karen Gaines, recién aterrizada en la compañía, avanzó que para garantizar la resiliencia operativa y satisfacer la regulación hay que poner en marcha un plan que comienza con el establecimiento de la estrategia de gobierno que contempla a personas, gobierno y tecnología, identificando los gaps que tienen las empresas, definiendo el roadmap con un socio tecnológico como Kyndryl que cubriría, además, el riesgo y el cumplimiento, ayudando a entender las normativas que hay que llevar a cabo”. La protección del dato, servicios alrededor de la infraestructura, operaciones de ciberseguridad y servicios de recuperación de incidentes son otros de los fuertes de la consultora, recordó Gaines.
Conclusiones del estudio
Borja Foncillas, presidente y consejero delegado de Afi, destacó, durante la presentación, que DORA ha surgido en un momento en el que hace mucha falta ya que, según un informe del INCIBE, en el último año ha habido un incremento del 25 % de ataques registrados, una cuarta parte dirigidos al sistema financiero y tributario. A nivel paneuropeo, dos años atrás, un 10 % de entidades habían declarado incidentes de ciberseguridad exitosos, cifra que en la actualidad se ha elevado al 30 %, algo que, asegura, va a seguir creciendo ante el avance tecnológico que también presentan los ciberatacantes, con la IA como uno de los principales drivers.
Esteban Sánchez, managing partner de Afi, resaltó dos conclusiones del informe en el que han participado 15 entidades: por un lado, que los riesgos TIC pueden llevar al colapso de una entidad, pero también del sistema financiero en su conjunto, por lo que es fundamental generar confianza en los clientes. Y, por otro, que todos comprenden que la regulación y la supervisión son necesarias, en el caso de DORA al ayudar a que un gran número de presupuestos de riesgos asociados a proyectos TIC pasen a estar en cabeza de los puntos principales de las agendas de las entidades.
Sánchez remarcó que el informe señala que con DORA pasamos a un modelo de resiliencia operativa en el que la recuperación, resiliencia, adaptación y respuesta forman parte de las estrategias principales. Pero también advierte contra la falsa seguridad de pensar que por cumplir con esta normativa estamos a salvo porque, enfatizó en que “es un medio para conseguir un fin”.
Con esta normativa la gobernanza de los riesgos financieros pasa a ser el punto central, señaló. Al tiempo que manifestó que facilita la comunicación entre supervisados y supervisor y entre los supervisados entre sí, aunque el celo que muestran las entidades con sus datos a la hora de compartir podría limitar los beneficios de DORA como herramienta de prevención.
Por otro lado, consideró el concepto de entidad mínima viable como positivo. De los retos a los que se enfrentan las entidades dijo que probablemente vayan a ser heterogéneos. En el ámbito de los proveedores externos que no puedan cumplir con la norma sugirió que” tal vez se vean expulsados de la actividad, mientras las entidades piden un modelo de acompañamiento para evitar su paralización si la presencia del supervisor sugiere muchas demandas de las áreas de tecnología”.
En su opinión, el principio de proporcionalidad sigue siendo el gran desconocido, al tiempo que se entiende que la interoperabilidad con otras normas para asegurar la coherencia de la regulación y la compatibilidad de estándares con proveedores también ayuda a evitar la duplicidad de los costes, aunque subraya que se reconoce que la estabilidad del sistema financiero, más allá de depender de las entidades, también depende de los proveedores. En cuanto al sector público, considera que juega un papel crítico en el desarrollo de la gestión de los riesgos TIC.
Puntos a tener en cuenta
Durante el evento diferentes directivos expusieron su punto de vista en un debate moderado por Mario Yánez, director, Banking Consult Partner de Kyndryl. Así, Silvia Sanabre, jefa del grupo de Riesgo Tecnológico de la Dirección General de Supervisión del Banco de España, declaró que el objetivo de DORA es que se incorpore la resiliencia tecnológica porque “si queremos negocios resilientes, necesitamos una tecnología resiliente que apoye al negocio continuamente en un momento en el que negocio y tecnología tienen que ir de la mano y la resiliencia debe ir embebida en los procesos de negocio a todos los niveles”. Aunque Guillermo Lorente, director corporativo de Seguridad de MAPFRE, considera que las compañías se preocupaban por la ciberresiliencia mucho antes de que llegase DORA porque las empresas “tienen el espíritu de garantizar el servicio ante cualquier circunstancia”. Roberto Rodríguez, chief operational resilience officer del Banco Santander, apostilló que la clave de su éxito no debería ser sólo un enfoque regulatorio sino actuar como un proceso de mejora continua.
Por su parte Óscar Domènech, director de continuidad de negocio de CaixaBank, puso de relieve la más de una veintena de prestadores de servicios financieros, cada uno con un tamaño y procedencia, por lo que DORA intenta “poner un terreno de juego común”, algo complicado al ser tan diferentes entre sí. “Este es un reto en el que el regulador tiene su parte de adaptación del modelo”, opinó.
En cuanto a la información, Ricardo López, director de riesgos no financieros y cumplimiento de Cecabank, considera que la información hay que compartirla, estableciendo los cauces adecuados para hacerlo, con el supervisor como referente, aunque en este sentido, Silvia Sanabre cree que la información compartida está muy fragmentada, algo que perjudica a las empresas más pequeñas.