Gestionar el riesgo de las TIC, notificar incidentes, realizar pruebas de resiliencia operativa, acuerdos de intercambio de ciberamenazas y monitorizar el riesgo en la cadena de suministros son los requisitos y obligaciones específicos que deberán cumplir las entidades financieras.
Entrevistamos a Sergio C. García Garcia para conocer con más detalle el impacto de esta normativa en el sistema financiero y el motivo por el que los incidentes de ciberseguridad y la falta de resiliencia financiera pueden alterar dicho sistema. Además, conocemos con más detalle la solución Reglamento DORA, de Lefebvre & GlobalSuite solutions.
¿Qué principales desafíos enfrentan las empresas para adecuarse a DORA?
Las empresas se enfrentan a varios desafíos al intentar cumplir con la normativa DORA. El primer gran reto es la integración de un marco de gestión del riesgo tecnológico, que exige a las empresas desarrollar un enfoque sistemático y continuo para identificar, evaluar y mitigar riesgos en sus operaciones digitales. Esta tarea no es sencilla, ya que los riesgos asociados a las tecnologías de la información son dinámicos y se multiplican en un entorno globalizado y cada vez, más interconectado.
Otro desafío importante es la obligación de notificar incidentes relevantes a las autoridades competentes de manera eficiente y en tiempo real. Esto requiere la implementación de sistemas avanzados de monitoreo que puedan identificar, clasificar y notificar cualquier tipo de fallo o ciberataque que pueda afectar la operativa de las empresas. Además, la necesidad de realizar pruebas de resiliencia operativa periódicas implica una mayor coordinación entre equipos internos y proveedores TIC, lo que añade complejidad operativa.
Por último, la evaluación continua y la gestión de riesgos de los proveedores externos es otro punto crítico. Dado que gran parte de las operaciones digitales dependen de servicios de terceros, DORA exige que las empresas financieras monitoricen de manera rigurosa a sus proveedores para asegurar que estos cumplen con los mismos estándares de resiliencia y seguridad. Este control no siempre es fácil, especialmente en casos de proveedores ubicados en múltiples jurisdicciones o con estructuras complejas, algo que ya estamos pudiendo observar en la gran cantidad de ataques en grandes compañías publicados en prensa, con pérdida de información y graves problemas operativos, de los que todos ellos el origen son proveedores o terceros vinculados a la firma.
¿Cuál es el impacto de la normativa DORA en el sector financiero y en sus proveedores TIC?
DORA tiene un claro trasfondo educador, ya que viene a modificar de manera permanente la manera en la cual se ha llevado a cabo los sistemas de gestión de las compañías financieras y aseguradoras, realizando un impacto significativo al imponer un conjunto riguroso de requisitos para garantizar la continuidad operativa y la ciberseguridad. Esto es crucial porque el sector financiero es altamente sensible a cualquier interrupción en sus operaciones, ya que incluso pequeños fallos pueden generar una pérdida masiva de confianza por parte de los clientes y usuarios, dañar la reputación y causar inestabilidad en los mercados financieros.
Con DORA, las entidades financieras y sus proveedores TIC están obligados a desarrollar sistemas robustos de gestión de riesgos para prevenir, detectar y mitigar posibles incidentes de ciberseguridad y fallos operativos.
¿Por qué es tan crucial para estas empresas?
Esta normativa es esencial porque establece una base común para todas las entidades que operan en la Unión Europea, lo que proporciona estabilidad y confianza en el sector. En un entorno en el que las ciberamenazas son cada vez más sofisticadas, es imprescindible que las empresas no solo estén preparadas para responder a incidentes, sino también para poder anticiparse y minimizar sus efectos.
¿Cuáles son las consecuencias para las empresas si no cumplen con la normativa DORA a tiempo?
El incumplimiento de DORA puede acarrear serias consecuencias tanto a nivel legal como económico. Las empresas que no implementen los requisitos exigidos a tiempo se enfrentarán a multas significativas, además de posibles restricciones operativas impuestas por los reguladores. Esto puede tener un impacto devastador en su reputación y en la confianza de sus clientes, lo que, en última instancia, puede traducirse en pérdidas financieras y operativas importantes, que van desde las sanciones económicas de hasta 10 millones de euros o el 5% de su cifra de negocios total anual, o incluso la propia retirada de autorización para operar.
En este contexto del cumplimiento normativo de DORA, ¿Cómo una colaboración eficiente entre consultores y herramientas tecnológicas como GlobalSuite® puede mejorar los resultados para las empresas financieras?
La colaboración entre consultores especializados y herramientas tecnológicas avanzadas es fundamental para lograr un cumplimiento eficaz de DORA. Los consultores aportan su experiencia en la interpretación de los requisitos regulatorios y pueden guiar a las empresas en la adecuación de sus procesos y políticas internas. Esto es especialmente importante para las empresas que aún no tienen un marco sólido de gestión de riesgos o que están comenzando su proceso de cumplimiento.
Por otro lado, herramientas como GlobalSuite® proporcionan la plataforma que permite automatizar la ejecución de las estrategias definidas por los consultores. Con GlobalSuite®, las empresas pueden gestionar todos los aspectos del cumplimiento normativo en un solo lugar, lo que facilita la supervisión continua de los riesgos, la gestión de incidentes y la realización de auditorías. Esta integración reduce significativamente los tiempos de respuesta y permite a las empresas tomar decisiones más informadas y basadas en datos.
El beneficio de esta colaboración es evidente: las empresas pueden optimizar sus recursos al combinar la experiencia humana con las capacidades tecnológicas avanzadas. Esto no solo mejora los resultados en términos de cumplimiento, sino que también contribuye a crear una cultura interna de resiliencia y seguridad que va más allá del simple cumplimiento de la normativa.
¿Qué papel juega la tecnología en el cumplimiento de DORA?
Como he mencionado anteriormente, la tecnología es una herramienta indispensable para gestionar el cumplimiento de DORA de manera eficiente. DORA impone una serie de requisitos complejos que, sin una solución tecnológica adecuada, la gestión de todas estas tareas de manera manual sería prácticamente imposible, especialmente en grandes organizaciones con múltiples proveedores y sistemas TIC.
GlobalSuite® & Lefebvre ofrecen una solución integral que permite a las organizaciones automatizar todo el proceso de cumplimiento, desde la identificación de riesgos hasta la notificación de incidentes y la gestión de proveedores. Además, su capacidad para realizar auditorías internas de manera continua y automatizada asegura que las empresas puedan mantener un nivel de cumplimiento constante sin necesidad de intervenciones manuales intensivas.
Una de las grandes ventajas del software es su enfoque en la resiliencia operativa. Al permitir a las organizaciones realizar pruebas de resiliencia basadas en escenarios de riesgo, el software les ayuda a identificar y corregir posibles vulnerabilidades antes de que se conviertan en problemas graves. De esta manera, las empresas pueden garantizar la continuidad de sus operaciones incluso en situaciones de crisis, lo que refuerza la confianza de sus clientes y la estabilidad del mercado en general.
¿Es posible automatizar el proceso de cumplimiento con la Ley de Resiliencia Operativa Digital?
Sí, la automatización del proceso de cumplimiento con DORA es no solo posible, sino esencial para garantizar que las empresas puedan cumplir con los estrictos requisitos de la normativa de manera eficiente y efectiva. Con GlobalSuite®, las empresas pueden automatizar varios aspectos clave del cumplimiento, lo que les permite reducir la carga operativa y minimizar errores humanos.
Por ejemplo, la gestión de riesgos se puede automatizar mediante la integración de sistemas que monitorean continuamente las operaciones y alertan sobre posibles amenazas o vulnerabilidades. Esta automatización asegura que los riesgos sean identificados y gestionados en tiempo real, lo que es crucial para mantener la resiliencia operativa.
Del mismo modo, el proceso de notificación de incidentes se puede automatizar, permitiendo que cualquier incidente relevante se detecte, clasifique y notifique de manera automática a las autoridades competentes, cumpliendo con los umbrales de tiempo exigidos por DORA. Esto asegura que las empresas puedan cumplir con los plazos establecidos sin la necesidad de intervención manual, lo que acelera la respuesta ante incidentes.
La solución GlobalSuite® permite automatizar las auditorías y pruebas de resiliencia operativa, lo que garantiza que las empresas puedan realizar estas evaluaciones de manera regular y sin interrupciones en sus operaciones. La automatización no solo mejora la precisión y consistencia del cumplimiento, sino que también libera recursos internos que pueden dedicarse a otras áreas estratégicas.
¿En qué consisten las pruebas de resiliencia operativa?
Las pruebas de resiliencia operativa son simulaciones que permiten evaluar la capacidad de una organización para mantener sus operaciones críticas en funcionamiento, incluso en situaciones adversas como ciberataques, fallos tecnológicos o desastres naturales. Estas pruebas son un componente esencial de DORA, ya que permiten identificar vulnerabilidades en los sistemas y procesos antes de que se produzcan fallos reales.
Existen varios tipos de pruebas de resiliencia operativa. Por ejemplo, las pruebas de penetración, que simulan ataques cibernéticos para evaluar la seguridad de los sistemas tecnológicos, o las pruebas de continuidad operativa, que simulan interrupciones en los servicios para evaluar la capacidad de recuperación de la organización. Estas pruebas permiten a las empresas no solo identificar posibles debilidades, sino también mejorar sus planes de respuesta ante incidentes.
¿Por qué motivos son necesarias?
Las pruebas de resiliencia operativa son necesarias porque permiten a las empresas evaluar de manera proactiva su capacidad para responder a situaciones de crisis. En un entorno donde las amenazas digitales son cada vez más sofisticadas, es fundamental que las organizaciones sean capaces de recuperarse rápidamente de cualquier interrupción operativa.
Las pruebas regulares aseguran que los planes de continuidad operativa sean efectivos y que las empresas estén preparadas para cualquier eventualidad.
¿Qué papel juega la IA en el cumplimiento de DORA y regulatorio, en general?
La Inteligencia Artificial (IA) está desempeñando un papel cada vez más importante en el cumplimiento normativo, incluido DORA. La IA puede ayudar a las organizaciones a gestionar grandes volúmenes de datos, detectar patrones de riesgo y predecir posibles incidentes antes de que ocurran. Esto es especialmente útil en un entorno de cumplimiento normativo como DORA, donde la capacidad de detectar y mitigar riesgos en tiempo real es crucial para garantizar la resiliencia operativa.
De hecho, desde GlobalSuite Solutions somos más que conscientes de este nuevo rol, y ya hemos añadido a nuestra solución la posibilidad de detectar nuevos riesgos en función a nuestro tipo de compañía, sector, tamaño, etc, e incluso del mismo modo, que la propia solución pueda proponernos qué medidas o controles podemos llevar a cabo en nuestra casa para luchar contra estas nuevas amenazas, algo totalmente significativo y que dará madurez a nuestro sistema de gestión.