Este viernes ha entrado en vigor el reglamento DORA, y la tecnológica Kyndryl se ha unido a la AFI (Analistas Financieros Internacionales) para realizar un informe que explique y ayude a entender cómo va a afectar la entrada en vigor de la Digital Operational Resilience Act, (conocida por todos como DORA), que va a exigir un ajuste tecnológico de calado, además un cambio profundo en la cultura y la organización de las empresas para garantizar su capacidad de respuesta ante incidentes y ciberataques, precisamente cuando estos se están produciendo en organizaciones que son especialmente sensibles y a las que se le atribuye más que suficiente madurez en materia de ciberseguridad, como es el caso del recientemente sufrido por Telefónica.
Así lo ha indicado el presidente de Kyndryl España y Portugal, David Soto, durante la presentación del estudio «Impacto y principales desafíos en la implantación del Reglamento de Resiliencia Operativa Digital en las entidades financieras», que es el resultado de «meses de investigación y entrevistas con responsables de seguridad y riesgos de banca y aseguradoras», y aborda los principales desafíos de la implementación de la normativa, así como las oportunidades para mejorar la resiliencia operativa digital, más que necesaria, según ha indicado la compañía de servicios digitales surgida de la matriz de IBM.
Soto ha dejado claro que, en efecto, DORA, que entró en vigor el 16 de enero de 2023 y se aplica ya a partir del viernes día 17 de enero de 2025, apunta a que lo que se conoce como «resiliencia operativa digital» va a ser una «prioridad estratégica para el sector».
Los responsables de la AFI también han destacado » el papel crucial del sector público en la prevención de la ciberdelincuencia y la coordinación del sector financiero
DORA se centra en las vulnerabilidades a los que la banca y los seguros se enfrentan en materia de TIC, seguridad y gestión de riesgos, sobre todo a través de los proveedores de servicios financieros y, precisamente, de TIC. El aumento de los riesgos de ciberseguridad en todos los sectores económicos enfoca un camino hacía un futuro de regulación de esos otros sectores sensibles, que basarse en los parámetros de DORA.
Los responsables del informe por parte de la AFI, el presidente Borja Foncillas y el socio director de Banca AFI, han puesto sobre la mesa que en el contexto del negocio en el que se ha originado la norma europea, esta ya ha «acelerado las inversiones en resiliencia operativa y ciberseguridad en el sector financiero«, ha facilitado una transición de un enfoque preventivo a uno más activo de capacidad de adaptación, ha conseguido involucrar a diferentes áreas de las organizaciones financieras y aseguradoras, y también a sus proveedores.
Los responsables de la AFI también han destacado «el papel crucial del sector público en la prevención de la ciberdelincuencia y la coordinación del sector». Así, desde el Banco de España, su responsable del grupo de Riesgo Tecnológico de la dirección general de Supervisión, Silvia Senabre, ha explicado cómo «DORA no introduce controles nuevos, sino que agrupa buenas prácticas existentes en un marco coherente, marcando un hito en la gestión de riesgos con una estructura legal sólida y detallada. Lo novedoso es ponerlo todo junto».
DORA EN EL SECTOR FINANCIERO Y ASEGURADOR
Otros directivos del sector financiero y asegurador, reguladores y expertos en seguridad tecnológica participaron debatieron sobre las implicaciones de esta normativa para el sector financiero. Los profesionales han destacado la necesidad de un «enfoque integral que combine tecnología avanzada y un cambio organizacional profundo.
En esta línea, el director de Riesgos No Financieros de Cecabank, Ricardo López Lázaro, afirmó que «mientras que las aseguradoras se ven más expuestas a riesgos vinculados a la privacidad de los datos, las entidades bancarias tienen una mayor exposición a vulnerabilidades vinculadas a la continuidad del negocio. Aunque el planteamiento que establece DORA es único, la percepción del riesgo en función del escenario dentro del marco común es diferente».
las aseguradoras se ven más expuestas a riesgos vinculados a la privacidad de los datos, las entidades bancarias tienen una mayor exposición a vulnerabilidades vinculadas a la continuidad del negocio
Por su parte, el director de Continuidad de Negocio de Caixabank, Óscar Doménech, señaló que DORA es una herramienta «con mucho potencial, que contribuirá a reforzar la confianza de nuestros clientes, usuarios y ciudadanía en las capacidades y resiliencia no sólo de los bancos, sino del conjunto de actores del sistema».
Para él, se trata de un proyecto de éxito que establece un marco común de gobierno de los riesgos tecnológicos, «que abrazamos en clave de oportunidad, incrementa más aún las capacidades de resiliencia de las organizaciones, y que facilita la colaboración sectorial (elemento fundamental), según el directivo de Caixabank. Doménech aclaró que en su entidad, «partiendo de un nivel de preparación muy alto, ha supuesto un reto en el que CaixaBank se ha implicado por completo a todos los niveles, liderado desde los órganos de gobierno, y con el máximo compromiso».
El director corporativo de Seguridad en MAPFRE, Guillermo Llorente, intervino también para indicar que la normativa puede ahorrar recursos, porque según explicó, «para evitar el solapamiento de esfuerzos, el papel del sector público es fundamental para incrementar la eficiencia. Esto permitiría disminuir los recursos destinados a la demostración de cumplimiento y destinarlos al cumplimiento en sí mismo aumentando la protección efectiva».
En un entorno cada vez más digital, «la resiliencia debe ser considerada una prioridad dentro de los objetivos de negocio y articularse como un proceso en continua revisión y mejora que se adapte a un contexto de riesgos en constante evolución», apostilló por su parte Roberto Rodríguez, Chief Operational Resilience Officer de Santander España.
Los líderes de los sectores implicados en nuestro país coinciden en que el Reglamento comunitario DORA marca un antes y un después para el sector financiero y asegurador español, estableciendo un estándar de resiliencia operativa, promoviendo la interoperabilidad, la transparencia, definiendo el papel de la gestión de terceros y del supervisor e identificando los servicios críticos. En este marco, la tecnológica Kyndryl, promotora del informe, tiene el interés que genera el ser un «socio estratégico» que busca fomentar el «diálogo constructivo entre supervisores, entidades y expertos, promoviendo soluciones que impulsen la resiliencia y la innovación», según indicaron sus responsables.
