Aunque se trata de una normativa de la UE, DORA pondrá el listón muy alto en materia de resiliencia operativa y ciberseguridad, lo que tendrá un efecto dominó en todo el ecosistema financiero mundial, incluidos los proveedores tecnológicos, y podría influir en futuras regulaciones en todo el mundo.
Para las organizaciones del sector financiero, es probable que DORA plantee retos, especialmente en lo que respecta a la dotación de recursos y la inversión, pero también promete beneficios a largo plazo, como una mayor resiliencia operativa, una mejor gestión del riesgo, la supervisión de los proveedores tecnológicos de servicios externos y una normativa estandarizada. Antes de su aplicación, las empresas deben mantenerse informadas sobre sus requisitos específicos y adaptar proactivamente sus prácticas para garantizar su cumplimiento, al tiempo que aprovechan los beneficios potenciales de una mayor resiliencia operativa en la era digital.
El impacto de DORA
Uno de los retos más frecuentes a los que se enfrentarán las organizaciones será la inversión necesaria en términos de implantación y contratación de talentos. Adaptarse a los requisitos puede implicar inversiones significativas en tecnología y recursos, especialmente para las instituciones más pequeñas. También puede significar que las empresas necesiten contratar nuevo talento o capacitar al que forma parte de los equipos y que tienen experiencia en áreas como la ciberresiliencia y el cumplimiento normativo. También habrá requisitos más estrictos sobre la gestión de los riesgos asociados a proveedores tecnológicos, lo que exigirá una diligencia debida adicional y podría afectar a las asociaciones existentes. Esta diligencia debida adicional es solo una pequeña parte de la complejidad de DORA, y es probable que el proceso de abordar la nueva normativa y garantizar su cumplimiento lleve mucho tiempo.
Una implicación positiva es el aspecto global de la nueva normativa que aporta una mayor resiliencia. El fomento de un planteamiento más sólido y proactivo de la gestión de los riesgos tecnológicos en las entidades financieras puede reducir las perturbaciones provocadas por ciberataques y otros incidentes, acelerar los tiempos de recuperación y reforzar la confianza de clientes e inversores. También estandariza los requisitos, lo que ayudará a establecer un conjunto coherente de normas en toda la UE, simplificando así el cumplimiento para las organizaciones que operan en múltiples países. Las empresas podrán identificar e informar mejor sobre las amenazas y aplicar medidas preventivas, lo que reforzará la colaboración y el intercambio de conocimientos en el sector.
Es importante señalar que, si bien es probable que las empresas tengan que hacer frente a inversiones en términos de tiempo, recursos y personal, una mayor atención a la seguridad debe verse como un beneficio para la innovación. DORA fomenta un enfoque colaborativo de la resiliencia operativa al exigir a las distintas partes interesadas que colaboren y compartan información de forma eficaz. Además de las respuestas oportunas y el intercambio de información sobre amenazas emergentes, las evaluaciones conjuntas de riesgos y la colaboración en materia de normas y directrices para todo el sector contribuyen a sentar unas bases más seguras para la innovación. De este modo, pueden construirse plataformas más fiables y dignas de confianza para desarrollar nuevos productos y servicios.
Adoptar un enfoque proactivo
Las organizaciones del sector financiero deben adoptar un enfoque proactivo, flexible y basado en el riesgo en lo que respecta a DORA a fin de equilibrar el cumplimiento de la normativa con las necesidades de la empresa. El primer paso debe ser realizar un análisis interno de las deficiencias para identificar las normativas pertinentes y evaluar la situación actual de la empresa. De este modo, se pondrán de relieve las áreas en las que no se está cumpliendo la normativa. Las organizaciones también deben realizar evaluaciones periódicas de los riesgos de sus funciones empresariales internas y más críticas, y elaborar planes de contingencia para hacer frente a cualquier contratiempo.
La mayoría de las organizaciones financieras trabajarán con proveedores externos, pero hay que dar nuevos pasos antes de cerrar un acuerdo de colaboración. Una vez identificado un proveedor de servicios, es responsabilidad de la organización evaluar si cumple la normativa vigente y asegurarse de que pone en marcha los planes necesarios para abordar eficazmente los puntos débiles de los cinco pilares de DORA. Los proveedores de servicios más fiables permitirán a los clientes movilizar sus datos con una escala, simultaneidad y rendimiento casi ilimitados y, al mismo tiempo, mantendrán la seguridad de los datos de la organización. DORA ofrece a las organizaciones del sector financiero la oportunidad de replantearse sus estrategias de datos y en la nube para asegurarse de que pueden desplazar eficazmente los datos y las cargas de trabajo entre regiones y nubes según sea necesario, a fin de evitar tiempos de inactividad o interrupciones y mejorar la capacidad de resiliencia.
Los líderes de las organizaciones financieras deben colaborar estrechamente con los proveedores para mantener un diálogo abierto con los reguladores, tanto dentro de la UE como en otras regiones. Este diálogo es un paso positivo para la industria, ya que significa que los proveedores externos pueden trabajar juntos para cumplir los requisitos de una manera sólida y siguiendo la regulación, trabajando para proteger los datos a toda costa. Será esencial aplicar un enfoque colaborativo para extraer valor empresarial de DORA, y los responsables de las organizaciones financieras deben tener cuidado a la hora de elegir proveedores que operen en un modelo de responsabilidad compartida y ofrezcan una resiliencia operativa digital y compromisos de privacidad y seguridad sin poner en peligro los servicios que utilizan los clientes.
Las organizaciones financieras deben aplicar las disposiciones contractuales clave entre ellas y los proveedores de servicios seleccionados antes de firmar un contrato. Por último, las empresas deben elaborar una hoja de ruta de cumplimiento que priorice las acciones, establezca plazos realistas y asigne recursos para adelantarse a la normativa que entrará en vigor el año que viene.
DORA y el futuro
Ahora es el momento de aplicar estas medidas, ya que hacerlo de forma proactiva y anticipada situará a las entidades financieras en la mejor posición posible para afrontar los cambios inminentes. Una vez que DORA entre en vigor, todos los clientes regulados tendrán que cumplir los requisitos en materia de gestión de riesgos y pruebas. Esto implicará disponer de un marco de gestión de riesgos de las TIC, realizar pruebas de penetración y evaluaciones de vulnerabilidad periódicas y mantener planes sólidos de continuidad de la actividad ante posibles interrupciones. Las empresas también deberán notificar los incidentes operativos importantes a las autoridades competentes en los plazos estipulados. En general, DORA pretende crear un ecosistema financiero más sólido y resiliente exigiendo a las entidades financieras que gestionen también los riesgos de terceros de forma más eficaz.
Aunque las organizaciones financieras están acostumbradas a operar en un sector muy regulado, la aplicación de DORA conlleva un nivel diferente de cumplimiento al que atenerse. Los directivos de las empresas deben adoptar un enfoque proactivo, asumir los retos y las oportunidades que ofrece la normativa y prepararse para un futuro de mayor cooperación e intercambio de conocimientos en todo el sector.
DORA brinda la oportunidad de renovar la atención prestada a la ciberseguridad y a las prácticas de resiliencia operativa. Los próximos meses también ofrecen la oportunidad de prepararse para posibles normativas futuras en otros territorios. DORA permitirá a las empresas arrojar luz sobre los riesgos a los que se enfrentan y allanará el camino hacia un sistema financiero mundial más seguro y eficiente. Ahora es el momento de que los líderes empresariales actúen para trabajar hacia este futuro.