55 “CÓMO AFRONTAR CON ÉXITO LA ADECUACIÓN A DORA” El pasado 17 de enero del 2023 entró en vigor el nuevo reglamento DORA (Digital Operational Resilience Act), Ley de Resiliencia Operativa Digital, normativa de la UE que busca mejorar la seguridad y la resiliencia de las entidades financieras y sus proveedores de servicios TIC frente a las amenazas y perturbaciones digitales. La norma será aplicable a todas las entidades financieras que operen en la UE, incluidos bancos, empresas de inversión, plataformas de negociación, entidades de contrapartida central y otras infraestructuras de los mercados financieros. El nuevo reglamento será de obligado cumplimiento a partir del 17 de enero del 2025, con lo que se abre un periodo de dos años para la adaptación a los requisitos establecidos en la norma. Para GMV, las implicaciones y retos que se derivan de DORA van a tener un fuerte papel transformador en la arquitectura de procesos y sistemas de las entidades financieras. Entre otros aspectos cabe reseñar los siguientes: Integración del riesgo TIC al máximo nivel de Dirección, estableciendo un modelo de cálculo de este ante cualquier cambio en los procesos, sistemas y proveedores TIC de la organización. Reformulación integral de las estrategias de continuidad: Procesos y capacidades de respuesta específicos en función de la tipología del incidente. Modelo de cálculo de costes directos e indirectos del impacto del incidente y obligación de reportarlos a la autoridad competente. Registro de actividad antes, durante y post incidente. Foco en la comunicación y gestión de crisis, estableciendo figuras y responsabilidades dedicadas y potenciando los mecanismos de automatización, incluyendo las notificaciones a los propios clientes de la entidad. GMV, de cara a incrementar el éxito en la labor de adecuación a DORA, considera indispensable la adopción de tres palancas clave. La primera es la adopción de un framework integral de procesos que integre la seguridad y las operaciones TIC de forma natural, permitiendo al tiempo la adopción de soluciones GRC globales para el seguimiento del riesgo. La segunda aboga por poner foco en el Dato, mediante la creación de un Data Lake de Resiliencia que permita integrar fuentes de información y la aplicación de IA para la toma de decisiones. La tercera, y no menos importante, es la potenciación de la híper automatización en todas las actividades y sistemas relacionados con la activación de los Planes de respuesta y recuperación.n Nuevas estrategias de segmentación y desconexión inmediata de redes y activos. Plan estructurado de pruebas de todo el conjunto, auditable y acompañado de un plan de mejora continua. Inventario extendido de activos y servicios críticos, mapeando el soporte de proveedores externos y sistemas e identificando fuentes de riesgo. Gran apuesta por la formación y sensibilización para la resiliencia y la ciberseguridad. Programas integrales y auditados que deberán abarcar a todos los colectivos de la organización. Nuevo modelo de relación con los proveedores TIC esenciales. Se deberán identificar claramente las cadenas de subcontratación y dependencias e informar a la autoridad competente sobre cambios en los contratos establecidos. Las organizaciones estarán obligadas al diseño y despliegue de estrategias de salida y de redundancia para aquellos proveedores que sustenten una o varias de las funciones esenciales. Esquemas estructurados y homogenizados para la gestión de operaciones. Se establecerán modelos comunes para la clasificación, registro, cálculo de impacto y notificación de incidentes, existiendo la obligación de reportar tales eventos a la autoridad competente y compartirlos con otras entidades del sector, si la gravedad del incidente lo requiere. Nuevas estrategias de monitorización podrán ser necesarias. Ángel García-Madrid Velázquez, Head of GMV Resilience Services Business Continuity Manager EMPRESA DESTACADA/ GMV
RkJQdWJsaXNoZXIy Njg1MjYx