Con la entrada en vigor de la Ley de Resiliencia Operativa Digital (DORA) de la UE, las empresas sufren la presión de cumplirla. Sin embargo, los documentos técnicos estándar que se necesitan para comprender DORA con más detalle no se finalizaron a tiempo, lo que significa que la mayoría de los equipos de TI han tenido que realizar una suposición fundamentada sobre lo que deben hacer para evitar una infracción normativa.
En resumen, DORA exige a las entidades financieras de la Unión Europea que adopten una serie de medidas para mejorar la ciberresiliencia. Establece un marco regulatorio armonizado en toda la UE para fortalecer la gestión de riesgos, la notificación de incidentes, la supervisión de terceros y los requisitos de prueba. Según PwC, afecta a más de 22 000 bancos y compañías de seguros y es “única en la introducción de un marco de supervisión a escala de la Unión Europea sobre proveedores críticos de TIC”.
DORA tiene el potencial de aumentar significativamente la carga de trabajo de cumplimiento para las empresas y sus proveedores externos de TIC en todo el ecosistema financiero. A este desafío se suma el hecho de que muchas organizaciones ya tienen dificultades para gestionar ecosistemas digitales complejos, lidiar con tecnología heredada y supervisar las relaciones con terceros. Como resultado, lograr y mantener el cumplimiento de DORA exige un enfoque estratégico y con buenos recursos para la ciberseguridad y la resiliencia operativa.
Cinco fundamentos para garantizar el cumplimiento
Para aquellas organizaciones (y habrá muchas) que aún no han comprendido plenamente las implicaciones de DORA y sus responsabilidades asociadas, ahora es esencial abordar una serie de requisitos fundamentales.
- Comprender el alcance de DORA y evaluar los niveles de riesgo actuales: las organizaciones deben determinar si entran dentro del ámbito de aplicación de DORA y, en caso afirmativo, comprender plenamente sus requisitos, incluida la gestión de riesgos de las TIC, la notificación de incidentes, las pruebas de resiliencia y la supervisión por parte de terceros. Este proceso debe estar respaldado por una evaluación exhaustiva de los riesgos para identificar, documentar y gestionar todos los riesgos relacionados con las TIC.
- Mejorar la seguridad y la resiliencia operativa: con esta información, las organizaciones están en mejores condiciones para implementar medidas de seguridad sólidas basadas en las mejores prácticas reconocidas (por ejemplo, NIST CSF) para la identificación, prevención, detección, respuesta y recuperación de riesgos. Esto es particularmente importante para aquellas organizaciones que adoptan un enfoque de empresa mínima viable (MVC, por sus siglas en inglés), en el que han identificado el conjunto crítico de aplicaciones, activos, procesos y personas necesarios para operar un negocio mínimo. Cuando las organizaciones no pueden cumplir con los requisitos de su MVC, las implicaciones pueden ser devastadoras. Por ejemplo, ¿cuál es el coste de un minuto, una hora o un día de inactividad de su MVC? ¿Cuáles son las posibles implicaciones para los clientes, la reputación y la normativa? Garantizar la resiliencia significa proteger estas funciones esenciales contra las interrupciones, lo que convierte las consideraciones de la MVC en un componente clave de los esfuerzos de cumplimiento de DORA.
- Desarrollar un marco de respuesta e información ante incidentes: para minimizar el impacto de la interrupción causada por una brecha de seguridad, DORA también exige a las organizaciones que desarrollen un plan de respuesta a incidentes. Este debe abordar una serie de prioridades, entre las que se incluyen el establecimiento de funciones, responsabilidades y protocolos de comunicación claros respaldados por una formación eficaz. Además, DORA exige la notificación oportuna de los incidentes y riesgos relacionados con las TIC, por lo que las empresas deben desarrollar mecanismos eficientes para recopilar y presentar informes, al tiempo que mantienen la documentación lista para su auditoría.
- Gestionar los riesgos de terceros y reforzar la gobernanza: dada la omnipresente dependencia de los proveedores de tecnología externos, las organizaciones deben llevar a cabo la diligencia debida, hacer cumplir las normas de gestión de riesgos de las TIC e incluir estrictas condiciones contractuales centradas en la seguridad, la presentación de informes y las auditorías. Esto debería formar parte de un compromiso más amplio con el buen gobierno, en el que la alta dirección supervise activamente los esfuerzos de resiliencia, reciba informes periódicos de riesgos y garantice la alineación con el marco regulador de la DORA.
- Fomentar una cultura de resiliencia: Por último, para que el cumplimiento de DORA se mantenga a largo plazo, las organizaciones deben ir más allá de los procesos y las tecnologías hasta el punto de integrar la resiliencia en su cultura. Esto requiere un compromiso e inversión específicos en la concienciación, la formación continua de los empleados y la gestión proactiva de los riesgos como parte del comportamiento diario de los empleados. Cuando se cuenta con estas capacidades, una sólida cultura de resiliencia favorece la mejora continua al tiempo que fomenta la gestión de riesgos.
Se trata de tareas esenciales y, como afirma PwC, “los retos estratégicos y operativos planteados (por DORA) son complejos y requieren la participación de varias funciones internas… y, más concretamente, el firme respaldo de la dirección en el establecimiento de una gobernanza adecuada”. Sin embargo, aquellas organizaciones que integren de forma proactiva los requisitos de DORA en sus estrategias más amplias de gestión de riesgos y resiliencia no solo seguirán cumpliendo con la normativa, sino que también mejorarán significativamente su resiliencia operativa, una ventaja inestimable en un entorno de seguridad volátil.
David Sanz
Senior director sales Engineering Europe South de Commvault
