DORA, una mochila de recomendaciones

Aunque te tenemos acostumbrado a que hablemos de eficiencia operativa, en esta ocasión te vamos a hablar de regulación y cumplimiento. En concreto, queremos aclarar algunas dudas sobre DORA. Y no, no es esa que lleva una mochila.

DORA (reglamento sobre la resiliencia operativa digital) es una iniciativa legislativa de la Unión Europea que busca establecer un marco normativo sólido y coherente para la gestión de los riesgos de las tecnologías de la información y las comunicaciones (TIC), inicialmente, en el sector financiero. Pero es muy posible que se vaya extendiendo a otros sectores económicos.

El germen de este reglamento es la preocupación creciente en la ciberseguridad, ya que gracias a la digitalización y, por tanto, el soporte digital integral de los negocios, y es necesario hacer todos los esfuerzos para preservar la estabilidad y confianza en los mercados financieros.

Entró en vigor el 17 de enero de 2023 y será aplicable de forma obligatoria a partir del 17 de enero de 2025, con lo que tenemos menos de un año para prepararnos, adaptarnos a los nuevos requisitos y asegurar su cumplimiento.

¿Qué es DORA?

DORA se focaliza en la resiliencia operativa de las entidades financieras y sus proveedores de servicios tecnológicos críticos externos. Nos va a ayudar a construir de forma capacidades para anticipar, resistir, recuperarse y evolucionar ante adversidades operativas, incluyendo ciberataques, fallos técnicos o cualquier otro tipo de interrupción.

Que el reglamento se fije también en los proveedores de servicios, es una señal inequívoca de que irá llegando a otros sectores. Esto implica que todos los ciclos de gestión de servicio empresarial (ESM) estarán de alguna medida afectados por la regulación. Así que tendremos que ir enseñando a nuestras inteligencias artificiales a ser más proactivas en estos ciclos de protección, tanto reactiva como proactiva.

Beneficios

Los beneficios de implementar DORA:

• Mejora de la gestión de riesgos, al establecer una serie de estándares para la gestión de los riesgos asociados a las TIC. Con el objetivo de contribuir a una mayor estabilidad del sistema financiero.
• Protección de datos, al enfatizar en la importancia de la protección y gestión de datos.
• Fomento de la innovación, proporcionando un marco claro y coherente, en el que las innovaciones faciliten la adaptación necesaria de las organizaciones.
• Coordinación y cooperación, ya que destaca la necesidad de una mayor coordinación entre las autoridades supervisoras a nivel nacional y europeo, habilitando una respuesta más eficaz y unificada ante incidentes.

Pero como ya sabemos, toda regulación implica cumplimiento. Y lo primero que van a tener que hacer las entidades financieras es realizar una evaluación de los riesgos y clasificarlos según su impacto potencial. Una de las formas de entender todas las cadenas de valor va a ser el empleo de herramientas de minería de procesos que junto a algoritmos de inteligencia artificial van a destacar estos riesgos potenciales.

Gracias a la identificación de esas evidencias, las organizaciones podrán crear sus propias estrategias de alerta y defensa, ya que DORA obliga a informar sobre los incidentes significativos, y a mantener un registro de los mismos.

Y todo cumplimiento implica análisis. También será necesario realizar pruebas periódicas para evaluar la capacidad de resistencia de la entidad ante posibles adversidades. Una herramienta de minería de procesos nos puede servir como catálogo comparativo de cumplimiento.

Conclusiones

DORA representa un paso adelante en la consolidación de un enfoque unificado y sólido frente a los retos de la ciberseguridad en el sector financiero. Su aplicación no sólo aumentará la resistencia operativa de las entidades financieras, sino que también reforzará la confianza de los consumidores y la estabilidad del mercado financiero en su conjunto.

Y no olvides las implicaciones que tendrá para proveedores de servicio, tanto a nivel de ciberseguridad como en el tratamiento y protección de datos.

Las entidades que se adapten con éxito a este nuevo marco normativo estarán mejor posicionadas para afrontar los retos y aprovechar las oportunidades de la era digital.

Más información normativa en Eur-Lex.