En un entorno donde la digitalización es el motor de las operaciones financieras, la resiliencia operativa digital ha dejado de ser una opción para convertirse en una exigencia legal.
El Reglamento DORA (Digital Operational Resilience Act, UE 2022/2554) marca un antes y un después en cómo las entidades financieras y sus proveedores críticos deben abordar la ciberseguridad y la continuidad operativa. No se trata de actualizar un manual de procedimientos, sino de transformar la gobernanza corporativa desde sus cimientos.
La Responsabilidad Comienza en la Cima: El Papel del Consejo de Administración
La responsabilidad final de la resiliencia operativa digital recae directamente en el Consejo de Administración. Esta es quizás la transformación más profunda que introduce DORA: la ciberseguridad y la gestión de riesgos TIC ya no son competencia exclusiva del departamento de tecnología, sino un asunto estratégico que requiere la atención y el compromiso de la alta dirección.
El Consejo debe involucrarse activamente en:
- Aprobación estratégica: Validar la estrategia TIC de la organización y los marcos de gestión de riesgos.
- Asignación de recursos: Garantizar recursos humanos, tecnológicos y económicos suficientes.
- Supervisión continua: Recibir reportes periódicos sobre incidentes TIC y resultados de pruebas de resiliencia.
- Toma de decisiones informada: Evaluar cambios significativos en la infraestructura o en la relación con proveedores críticos.
Los Cinco Pilares de DORA: Un Marco Integral de Resiliencia
- Marco de gestión de riesgos de las TIC: Políticas documentadas y procesos claros de identificación de riesgos.
- Gestión y notificación de incidentes: Plazos estrictos de comunicación (incidentes graves en 24h).
- Pruebas de resiliencia operativa digital: Evaluaciones periódicas de capacidad de respuesta.
- Gestión del riesgo de terceros: Inventario y control de proveedores TIC críticos.
- Intercambio de información: Colaboración voluntaria sobre amenazas y vulnerabilidades.
Roles Clave: Más Allá del Organigrama
DORA exige la asignación explícita de funciones:
- Gestor de Riesgos TIC: Evaluación y monitoreo continuo.
- CISO: Supervisión del cumplimiento de políticas TIC.
- Responsable de Continuidad: Diseño y ejecución de planes de recuperación.
- Responsable de Gestión de Incidentes: Coordinación de la respuesta ante crisis.
- Encargado de Supervisión de Proveedores: Gestión de acuerdos y niveles de servicio.
De la Teoría a la Práctica: Pasos Estratégicos
Fase 1 – Diagnóstico: Análisis de brechas y mapeo de dependencias.
Fase 2 – Diseño e Implementación: Definición de planes de acción y refuerzo de gobernanza.
Fase 3 – Formalización Documental: Actualización de contratos con terceros y políticas internas.
Fase 4 – Operativización: Implementación de paneles de control y rutinas de mejora continua.
El Desafío de los Terceros
La gestión de proveedores es crítica. Requiere inventarios exhaustivos, clasificación por criticidad, due diligence reforzada y estrategias de salida documentadas para no comprometer la continuidad operativa.
#TodosSomosCustos
