Red Seguridad 106

90 red seguridad tercer trimestre 2024 monográfico sector financiero Jacinto Muñoz Director corporativo de Resiliencia Operativa y Gestión de Crisis de Mapfre Iván Sánchez CISO de Rural Servicios Informáticos "DORA va a obligar a una mayor formalización y disciplina en la gestión de los ciberriesgos" "Probablemente, DORA sea el cambio regulatorio más relevante de los últimos años para el sector financiero" DORA va a obligar a las entidades financieras a una mayor for- malización y disciplina en la gestión de los ciberriesgos, dán- doles visibilidad dentro del sistema de gestión de riesgos de la compañía y explicitando (y asignando) las responsabilidades asociadas a los órganos de gobierno y directivos competen- tes. De este modo, estos riesgos dejarán de estar “escondidos” dentro del riesgo operacional para pasar a disfrutar de un pro- tagonismo acorde a la importancia que realmente tienen den- tro del entorno empresarial actual. Por otro lado, establece la necesidad de disponer de una se- rie de medidas y controles bastante concretos, lo que provocará que las entidades financieras afinen su nivel de seguridad y re- siliencia, garantizando una línea base común a nivel sectorial. En ciberseguridad, las compañías debemos compartir más que competir, dado que, aumentando la seguridad del conjunto, sin duda incrementamos la seguridad de cada uno de nosotros. Finalmente, destacaría el necesario refuerzo en el control de la seguridad y resiliencia de los proveedores de servicios tecnológicos, garantizando que los mismos no menoscaban la solidez del modelo de protección de la entidad financiera. El desafío en este aspecto es hacer que dicho control sea, ade- más de eficaz, eficiente para todos los actores involucrados. Probablemente, la introducción del Reglamento DORA sea el cambio regulatorio más relevante de los últimos años para el sector financiero. Y lo es tanto por la cantidad de dominios bajo su alcance como por las exigencias para cada uno de ellos. DORA es, sin duda, un paso adelante para alcanzar una ma- yor resiliencia en el sector y para poner más foco en la gestión del riesgo operacional. Pero no lo vamos a conseguir sin un elevado coste tanto económico como humano para las orga- nizaciones que estén bajo su alcance; y este es el primer reto al que nos enfrentamos: el encaje económico y organizativo de las iniciativas relacionadas con el cumplimiento de DORA. El segundo desafío radica en el cumplimiento de uno de sus pilares: las pruebas de resistencia digital ( stress tests ). Si bien ya se llevan a cabo desde hace años pruebas de Disaster Recovery o Business Continuity , las exigencias adicionales que impone DORA acerca de la necesidad de extender esas pruebas a nues- tras terceras (y en un futuro próximo, nuestras cuartas) partes supone una dedicación de recursos no solo de nuestras propias organizaciones, sino de terceras. Por tanto, creo que el regula- dor deberá tener en cuenta las limitaciones que, en ocasiones, encontramos las entidades a la hora de conseguir la implica- ción de terceras partes en ejercicios de resiliencia operacional.