Por supuesto, hay interés en poder demostrar que todos esos esfuerzos que hemos hecho en los últimos meses para adecuarnos al Reglamento DORA han servido para algo. Y claro, lo primero que se nos viene a la mente (porque es un mecanismo habitual en el mundo de la ciberseguridad) es: «¿Y si tuviéramos una certificación que pudiéramos enseñar a nuestros clientes?» [sustituir «clientes» por el grupo de interés que aplique en cada caso].
El etiquetado (o labelling en inglés) es una herramienta utilizada ampliamente para solventar un problema muy común: la falta de información de una de las partes de una transacción sobre las características del bien o servicio que se desea intercambiar. En este caso, interesa poder mostrar hacia fuera que esos esfuerzos internos que se han hecho han implementado de manera efectiva los principios de resiliencia operativa que DORA demanda.
Las malas noticias son que DORA no se puede certificar. Quizás sea ponerme muy teórico, pero los marcos (frameworks) no se pueden certificar. Por hacer un símil, los marcos pueden equipararse con mapas; es decir, nos muestran el terreno, nos enseñan cómo movernos en un territorio y según el destino que tengamos, según la meta que definamos, utilizaremos ese conocimiento de una manera u otra. Por tanto, pensar en certificar esta normativa es como decir que me certifico en el mapa de Madrid (de hecho, lo único que se puede certificar sobre los marcos es que el conocimiento de dicho marco es apropiado, como antiguamente tenían que hacer los taxistas que querían una licencia, o de la misma manera que un profesional certifica su conocimiento del COBIT 2019 de Isaca).
Reglamento DORA: Depuración
Pero hay también buenas noticias: La certificación no es el único mecanismo de etiquetado posible. Y más aún, además del etiquetado, también podemos acudir a otro mecanismo, a la criba/depuración o screening.
Empezando por esto último, quizás nos suene un poco extraño, pero también es un mecanismo muy utilizado en ciberseguridad: la realización de auditorías. Estas auditorías permiten identificar la información fidedigna proporcionada sobre la base de la realización de evaluaciones de mayor o menor nivel de detalle y, por tanto, conocer, en el caso que estamos hablando, en qué medida se han implementado los principios de resiliencia operativa de DORA.
Es decir, lo ideal sería contar un mecanismo que tras una auditoría detallada, independiente, exhaustiva y objetiva de los procedimientos y medidas de resiliencia operativa implementados, nos ofreciera una etiqueta que mostrara el grado en el que dichos principios se hubieran implementado (ya que dichos principios pueden haberse implementado de manera más o menos rigurosa; o dicho de otra manera, alcanzar un nivel mayor o menor de resiliencia operativa). De esta manera, podríamos utilizar la información contenida en dicha etiqueta para evaluar si el servicio o producto que queremos intercambiar alcanza el nivel de resiliencia operativa que necesitamos (o dicho de otra manera; cómo se ha utilizado el mapa y en qué lugar del territorio hemos acabado).
En resumen, hemos de desconfiar de quién nos ofrezca una certificación DORA o un producto/servicio certificado DORA porque denota un escaso conocimiento de lo que supone este reglamento y de lo que implica la resiliencia operativa.
