Implementación de DORA: paso a paso para cumplir con la regulación sobre la resiliencia operativa digital

Empresas financieras, grandes y pequeñas, así como organizaciones de TI que provean productos o servicios a las primeras avanzan en la implementación de DORA. Los requisitos de la regulación sobre resiliencia operativa digital son complejos y el cumplimiento requiere definir gobernanza, implementar medidas de seguridad de la información y de ciberseguridad y gestionar los riesgos de continuidad del negocio, entre otras de igual relevancia.

Es importante aclarar que la implementación de DORA es un tanto más simple para empresas pequeñas del sector financiero. Estas organizaciones hacen uso de un marco simplificado para gestionar los riesgos. La siguiente guía pretende ser un instrumento de utilidad tanto para organizaciones grandes o proveedoras de TI como para aquellas otras de menor envergadura.

Cuáles son los pasos para realizar la implementación de DORA

La implementación de DORA guarda algunas similitudes con la implementación de un sistema de gestión. Por eso, y por la coincidencia en muchos de los objetivos, las organizaciones que han implementado ISO 27001, estándar de seguridad de la información, encontrarán la tarea mucho más fácil. En ella es necesario avanzar por una serie de fases.

1. Realizar un análisis de brechas

Algunas de las solicitudes de DORA pueden ya estar resueltas en la organización, sobre todo si, como ya se advierte, ha implementado ISO 27001. El objetivo del análisis GAP, o análisis de brechas, es establecer qué hay, qué es útil y qué falta para llegar a la conformidad total.

2. Obtener el aval de la Alta Dirección

Aunque la implementación de DORA no es opcional para las empresas que deben cumplir con el Reglamento de Resiliencia Operativa Digital, es importante que la Alta Dirección conozca y apruebe el proyecto por dos razones: será este el órgano encargado de asignar los recursos y es también el único autorizado para tomar decisiones sobre temas críticos como privacidad de datos o seguridad de la información.

3. Planificar la implementación de DORA

Como todo proyecto estratégico, la organización necesita tener un plan minucioso que comienza con la conformación de un equipo. Implica nombrar un director y unos empleados que asuman roles de acuerdo con las tareas que se realizarán. Es importante contar en el equipo con algún miembro de la Alta Dirección y otros de áreas clave, como TI, Cumplimiento o Financiera.

Es preciso crear un cronograma para la implementación de DORA, de acuerdo con los plazos para el vencimiento y marcando los eventos relevantes del proceso. Todo se documenta, incluyendo un informe final, que resuma las experiencias y los conocimientos que pueden resultar útiles para el equipo que asuma la responsabilidad en el futuro.

4. Capacitar al equipo y al personal clave

La implementación de DORA requiere contar con conocimientos y competencias específicos, asociados a la complejidad de los requisitos. Antes de avanzar en la implementación, conviene cerrar las posibles brechas de formación y capacitación.

Una buena idea es iniciar con contenidos sobre la estructura de los requisitos y las solicitudes precisas para cada uno de los tres grupos de empresas obligadas. Con base en el análisis de los requisitos, se determina que otros programas de capacitación específicos, en el área de TI, por ejemplo, pueden ser necesarios.

5. Crear una estructura de gobernanza

DORA solicita, en su artículo 5, la creación de una estructura de gobernanza basada en el liderazgo de la Alta Dirección. La Alta Dirección necesita crear políticas, asignar roles y responsabilidades. También debe encargarse de aprobar las estrategias propuestas para la gestión de riesgos, revisar y aprobar los planes de auditorías y asignar los recursos necesarios para cumplir los requisitos de la regulación DORA, incluyendo la implementación de canales de denuncia que cumplan con lo determinado al respecto por la normativa europea.

6. Diseñar e implementar el marco de gestión de riesgos

Para planificar y poner en marcha la gestión de riesgos, basta leer con detenimiento lo ordenado en el artículo 6 de DORA. La Directiva requiere cinco cuestiones: estrategias, políticas, procedimientos, protocolos y herramientas TIC. El objetivo es proteger los activos de información y los activos de TIC.

En este paso, como en ninguno otro, se aprecia la importancia de contar con un sistema de gestión de seguridad de la información basado en ISO 27001 antes de la implementación de DORA. Las organizaciones que lo tengan prácticamente habrán completado este paso con anterioridad.

7. Elaborar un inventario de activos de información y de TIC

Una buena práctica para cumplir con este requisito en la implementación de DORA es identificar todas las funciones y roles, en todas las áreas, para después hacer un inventario de cada uno de los activos, de información o de TIC, asociado a cada una de ellas. Sobre este inventario se identifican los riesgos a los que está expuesto cada activo.

Lo que resta es clasificar los activos de acuerdo con su nivel de importancia y de acuerdo con la capacidad que tengan los proveedores externos de servicios TIC para respaldar funciones críticas ante la ocurrencia de un evento disruptivo.

8. Diseñar, documentar e implementar la estrategia de resiliencia operativa digital

La estrategia de resiliencia operativa digital es el eje del proyecto de implementación de DORA. En ella se consideran el marco de gestión de riesgos (paso 6), los objetivos de negocios de la empresa, el apetito de riesgo, los objetivos de seguridad de la información y de seguridad de los activos. La estrategia es un documento que debe seguir las directrices planteadas en el artículo 8.6 de DORA. Incluye también la puesta en marcha de acciones para abordar la ciberseguridad y mejorar la capacidad de resiliencia.

9. Implementar las estrategias y controles de ciberseguridad

Es el momento de implementar medidas prácticas para garantizar la ciberseguridad y eso se hace en este paso, siguiendo lo dispuesto por los artículos 9 y 10. Algunas de uso común en muchas empresas incluyen los controles de acceso, las actualizaciones de software, los sistemas de detección de ataques, la gestión de la red, los mecanismos de autenticación y los partes, entre otros.

10. Implementar las estrategias de resiliencia operativa digital

La continuidad del negocio y la capacidad para recuperar el nivel operativo aceptable constituyen el espíritu y la razón para optar por la implementación de DORA. Debe existir una política de continuidad del negocio (artículos 11 y 12) y un protocolo para proceder cuando ocurre algún evento disruptivo.

El plan de respuesta y recuperación es el documento clave en este paso. Este plan debe ser probado por medio de simulacros. Los resultados del simulacro se documentan resaltando los problemas, pero también los aspectos positivos que vale la pena potenciar.

11. Diseñar e implementar la gestión de riesgos de terceros

De acuerdo con los artículos 28, 29 y 30, las organizaciones deben abordar y tratar los riesgos relacionados con sus proveedores de TI. La gestión de riesgos en la cadena de valor es una obligación de las empresas del sector financiero, lo que implica supervisión gubernamental, que solo aplica para los proveedores de TI.

12. Implementar programas de formación y capacitación periódicos

El objetivo en este paso es crear un programa anual de formación y sensibilización que se repita en periodos bimestrales o trimestrales para subsanar deficiencias de conocimiento en los empleados, incluyendo a la Alta Dirección. En los artículos 13 y 30 se solicita que se incluya a los proveedores de TIC en estos programas.

13. Crear procesos de gestión de incidentes

Las organizaciones del sector financiero deben crear e implementar procesos eficaces para gestionar los incidentes relacionados con seguridad de los activos, de la información y de TIC, en concordancia con lo expresado en los artículos 17, 18 y 19.

14. Probar y evaluar las estrategias de resiliencia operativa digital

La Directiva solicita que, durante la implementación de DORA y también después, se revise de forma continua la eficacia de las estrategias de resiliencia operativa digital implementadas, prestando especial atención a las vulnerabilidades, la seguridad de la red, la revisión física de los activos de seguridad de la información, etc. Esta revisión incluye pruebas sobre escenarios teóricos supuestos.

Es preciso efectuar pruebas de rendimiento, de penetración basadas en amenazas, de encriptación de datos de extremo a extremo y de compatibilidad, buscando las debilidades y las deficiencias.

15. Revisión general de auditorías, pruebas e inspecciones por la Alta Dirección

La Alta Dirección reúne todas las pruebas, exámenes, evaluaciones, inspecciones y revisiones y establece el rendimiento real del trabajo hecho, así como la capacidad de resiliencia que tiene la organización. En este paso, la Alta Dirección obtiene las herramientas y los datos e información necesarios para reaccionar ante problemas que se presentan en tiempo real.

16. Realizar auditorías internas periódicas

Las auditorías se diferencian de las inspecciones, las revisiones u otro tipo de evaluaciones, en los formalismos técnicos y de protocolo que requieren y en que las practica un profesional que cuenta con conocimientos, experiencia y habilidades especiales, pero, sobre todo, independencia.

17. Revisiones específicas

Algunos puntos críticos requieren revisiones específicas: revisión y actualización de la política de continuidad del negocio, el plan de respuesta y de recuperación o la política de proveedores de TIC, entre otros.

18. Hacer seguimiento y revisar las acciones correctivas

Tras una auditoría, se esperan sugerencias para solucionar problemas. Esas sugerencias son acciones correctivas y el artículo 6 de DORA solicita que se les haga seguimiento. El artículo 17, por su parte, pide el seguimiento tras la ocurrencia de un incidente. El 24 hace lo propio después de las pruebas de resiliencia operativa digital.

Software ISO 27001

Seguridad de información, seguridad de datos, ciberseguridad y seguridad de los activos de información, son expresiones frecuentes y de uso común cuando se trabaja en la implementación de DORA. El Software ISO 27001 se ha diseñado para optimizar la gestión de la seguridad de la información en base a este estándar de reconocimiento internacional.

Esta plataforma opera sobre un modelo PDCA de mejora continua para mantener los riesgos relacionados con la seguridad de la información bajo control y entregar soluciones reales a los desafíos que plantea el cumplimiento normativo, incluyendo la implementación de DORA. Solicita más información sin compromiso a nuestros consultores.