El reto de DORA: aliviar la presión de los equipos y reforzar la resiliencia digital

Pocos sectores están sometidos a un nivel de escrutinio regulatorio tan intenso como los servicios financieros.

Constantemente se introducen nuevos marcos normativos, y con razón: el sector sustenta la infraestructura nacional y es un objetivo prioritario de ciberataques y fraudes.

En otras palabras, la regulación debe ser totalmente infalible.

El Reglamento de Resiliencia Operativa Digital de la UE (DORA, por sus siglas en inglés) es la última de una larga lista de medidas diseñadas para elevar el listón en cuanto a cómo las entidades financieras y sus proveedores externos se preparan, resisten y se recuperan de interrupciones.

Entró en vigor en enero y se centra en la notificación de incidentes, la supervisión de terceros y las pruebas de resiliencia. Sin embargo, seis meses después, casi todas las organizaciones de servicios financieros encuestadas (96 %) reconocen que aún necesitan reforzar su resiliencia para cumplir los requisitos del reglamento.

Entonces, ¿qué ralentiza sus avances? ¿Y qué puede ayudar realmente a las empresas a progresar?

Aliviar la carga de los equipos

Uno de los mayores efectos secundarios de DORA hasta ahora ha sido la carga adicional que supone para los equipos de TI y seguridad: el 41 % de las organizaciones encuestadas lo mencionaron como un reto importante a la hora de cumplir los requisitos de DORA.

Dado que el sector de la ciberseguridad ya es una industria con una gran presión, no es de extrañar que el agotamiento sea un problema constante. Sin embargo, el cumplimiento de los requisitos de DORA no debería contribuir tanto a este problema.

La solución no pasa por añadir DORA como un proyecto más a una larga lista de tareas. Las empresas necesitan abordar la resiliencia de manera más holística.

El uso de modelos de madurez de resiliencia de datos (DRMM, por sus siglas en inglés) permite integrar el cumplimiento de DORA dentro de un plan de resiliencia más amplio, en lugar de tratarlo como un ejercicio aislado.

Este enfoque no solo reduce la presión sobre los equipos, sino que también mejora la resiliencia de los datos de la organización en su conjunto.

Las pruebas de recuperación

Otro de los puntos críticos en el cumplimiento normativo son las dificultades relacionadas con las pruebas. Casi una cuarta parte de las empresas de EMEA aún no cuentan con pruebas de recuperación y continuidad, y casi la misma proporción ni siquiera ha iniciado las pruebas de resiliencia. Algo que es, sin duda, arriesgado.

Sin pruebas periódicas, no hay forma de saber si los nuevos controles funcionarán realmente cuando sea necesario. Realizar la primera prueba puede resultar intimidante, lo sé de primera mano. Nadie quiere descubrir problemas que luego cueste resolver.

Pero en realidad, las pruebas son una de las mejores maneras de avanzar. Es un requisito claro de DORA, pero lo más importante es que generan confianza en que los sistemas resistirán ante un ciber incidente real.

Repensar las relaciones con terceros

El último gran obstáculo para el cumplimiento de DORA es la supervisión de terceros: más de un tercio de las organizaciones lo considera “lo más difícil de implementar” y una quinta parte ni siquiera lo ha abordado.

¿El principal problema? La mayoría de las empresas subestimó la cantidad de proveedores externos de los que dependen. Una empresa media cuenta con 88 partners externos, mucho más de lo que la mayoría de las estrategias de resiliencia contemplan, y un número enorme de conexiones que gestionar.

Anteriormente, las entidades financieras solían asumir que estos proveedores tenían la resiliencia incorporada, pero DORA exige más: modelos claros de responsabilidad y acuerdos de nivel de servicio (SLA) transparentes que detallen exactamente quién es responsable de qué.

Eso implica renegociar contratos y coordinar a los equipos de seguridad, riesgos, jurídico y dirección para llevarlo a cabo. No es una tarea menor, pero sí necesaria si las organizaciones quieren confiar realmente en su resiliencia.

Mirando hacia el futuro

Los problemas de cumplimiento en torno a DORA no se resolverán de la noche a la mañana. Al fin y al cabo, construir resiliencia lleva tiempo, y es inevitable encontrarse con obstáculos en el camino.

Pero las empresas que aborden DORA como parte de un recorrido más amplio hacia la resiliencia, y no como un proyecto de cumplimiento aislado, acabarán siendo más sólidas gracias a ello.

El mejor punto de partida es plantearse algunas preguntas con honestidad: ¿Dónde están los puntos débiles de mi empresa? ¿Sabemos realmente cuán resilientes son nuestros proveedores? ¿Estamos realizando suficientes pruebas como para confiar en nuestras defensas?

Las respuestas pueden ser incómodas a corto plazo, pero constituyen una base de la confianza a largo plazo en la resiliencia de los datos, tanto para DORA como para el resto.