Construyendo un Marco de Gestión de Riesgos ICT Cumplidor con DORA

Introducción

La regulación es un hecho en la industria de servicios financieros europea. No es solo un conjunto de directrices reunidas; es un marco complejo y en evolución diseñado para garantizar la estabilidad y la confianza. Una de las regulaciones más significativas recientes es la Ley de Resiliencia Operativa Digital (DORA). El Artículo 5 de DORA establece que las instituciones financieras deben evaluar los riesgos asociados con sus infraestructuras operativas digitales. Sin embargo, muchas organizaciones adoptan un enfoque de verificación, tratando el cumplimiento como una tarea simple que se puede marcar en lugar de un proceso complejo que debe ser entendido.

La falta de comprensión e implementación adecuada de estos requisitos tiene serias consecuencias. Puede llevar a multas de hasta el 2% de la facturación anual total o hasta 10 millones de EUR, según el Artículo 68 de DORA. Además, los fracasos en las auditorías podrían llevar a interrupciones operativas y graves daños a la reputación. Este artículo expondrá las razones por las cuales el enfoque de verificación para el cumplimiento de DORA falla en las auditorías, los costos asociados con este enfoque y por qué es urgente cambiarlo.

El Problema Central

El problema central con el enfoque de verificación para el cumplimiento de DORA radica en su comprensión superficial de la regulación. Trata el cumplimiento como un conjunto de tareas discretas que se pueden marcar, en lugar de un marco integral que debe ser implementado. Este enfoque no tiene en cuenta la naturaleza dinámica e interconectada de los riesgos ICT.

El costo de este malentendido es significativo. Según la Autoridad Bancaria Europea (EBA), las instituciones financieras necesitan asignar del 3 al 5% de su presupuesto total de TI a la gestión de riesgos ICT. Esto equivale a millones de EUR anualmente. Sin embargo, muchos de estos fondos se desperdician debido a la implementación ineficaz de las medidas de cumplimiento de DORA.

Además, la falta de identificación y gestión adecuada de los riesgos ICT puede llevar a interrupciones operativas. Tomemos, por ejemplo, un incidente reciente en el que un banco importante experimentó una falla del sistema debido a una vulnerabilidad no identificada en su infraestructura digital. El resultado fue tiempo de inactividad, pérdida de datos de clientes y una violación del Artículo 5 de DORA. El costo financiero de este incidente fue de más de 10 millones de EUR, sin contar el daño a la reputación del banco.

La raíz del problema a menudo radica en la mala interpretación de artículos regulatorios clave. Por ejemplo, el Artículo 5 de DORA requiere que las entidades financieras evalúen los riesgos asociados con sus infraestructuras operativas digitales. Sin embargo, muchas organizaciones interpretan esto simplemente como identificar riesgos potenciales, en lugar de como un proceso integral de evaluación, gestión y mitigación de estos riesgos.

Este malentendido conduce a un marco de gestión de riesgos ICT ineficaz. El marco puede incluir la identificación de riesgos, pero no tiene en cuenta la evaluación de riesgos, la gestión de riesgos y la comunicación de riesgos. Esto resulta en un enfoque fragmentado que no proporciona una visión holística de los riesgos ICT de la organización.

Tomemos, por ejemplo, una institución financiera que utiliza un conjunto dispar de herramientas y procesos para gestionar sus riesgos ICT. Pueden tener una herramienta para la gestión de vulnerabilidades, otra para la inteligencia de amenazas y otra más para la respuesta a incidentes. Si bien cada una de estas herramientas es importante, no logran proporcionar una visión integral de los riesgos ICT de la organización. Esto resulta en una falta de visibilidad y control, lo que lleva, en última instancia, a fallos en el cumplimiento.

Por Qué Esto Es Urgente Ahora

La urgencia de este problema se subraya por los recientes cambios regulatorios y acciones de cumplimiento. La Autoridad Europea de Valores y Mercados (ESMA) ha dejado claro que estará monitoreando de cerca el cumplimiento de DORA por parte de las entidades financieras. Esto incluye no solo la implementación de la regulación, sino también la efectividad de las medidas implementadas.

En el último año, la ESMA ha emitido múltiples advertencias públicas y multas relacionadas con el incumplimiento de DORA. Estas han variado desde multas más pequeñas de unos pocos miles de EUR hasta sanciones más grandes en millones. El mensaje es claro: el cumplimiento de DORA no es opcional, y las entidades financieras que no lo tomen en serio enfrentarán consecuencias significativas.

Además, el mercado está demandando cada vez más certificaciones de cumplimiento. Los clientes están tomando mayor conciencia de la importancia de la resiliencia operativa digital y están exigiendo evidencia del compromiso de sus proveedores de servicios en esta área. Esto presenta una ventaja competitiva significativa para las entidades financieras que pueden demostrar su cumplimiento con DORA.

Finalmente, hay una creciente brecha entre donde la mayoría de las organizaciones están y donde necesitan estar en términos de cumplimiento de DORA. Según una encuesta reciente de la EBA, solo el 37% de las entidades financieras son completamente cumplidoras con DORA. Esto significa que la mayoría de las organizaciones están expuestas a riesgos significativos, tanto en términos de sanciones regulatorias como de interrupciones operativas.

En conclusión, el enfoque de verificación para el cumplimiento de DORA está fallando en las auditorías, costando a las organizaciones millones de EUR y exponiéndolas a riesgos operativos significativos. Está claro que se necesita un enfoque más integral y estratégico. En la siguiente sección, profundizaremos en los elementos de un marco de gestión de riesgos ICT exitoso, el papel de la automatización en el cumplimiento y cómo implementar un marco cumplidor con DORA que realmente funcione.

El Marco de Solución

Un marco robusto de gestión de riesgos ICT cumplidor con DORA debe verse como más que un ejercicio de verificación. Es un proceso continuo y proactivo que necesita estar integrado en el núcleo de las operaciones de la organización. Aquí hay un enfoque paso a paso para construir un marco de solución efectivo:

Paso 1: Comprender e Identificar los Riesgos ICT

El primer paso hacia el cumplimiento del Artículo 6(1) de DORA es comprender los riesgos ICT que enfrenta su organización. Esto implica realizar una evaluación de riesgos exhaustiva, que debe llevarse a cabo de acuerdo con el Artículo 5 de DORA. Esta evaluación debe cubrir todos los tipos de riesgos, incluidos los relacionados con hardware, software, seguridad de datos y la fiabilidad de los servicios proporcionados por proveedores externos (DORA Art. 5).

Identifique los activos que son cruciales para sus operaciones y determine qué amenazas podrían afectarlos. Recuerde, esto no es un ejercicio único, sino un proceso continuo que debe llevarse a cabo regularmente y debe adaptarse a la naturaleza cambiante de las amenazas y las operaciones comerciales en evolución.

Paso 2: Desarrollar una Estrategia de Gestión de Riesgos

Una vez que haya identificado sus riesgos ICT, el siguiente paso es desarrollar una estrategia de gestión de riesgos integral. Esto debe incluir un marco claro para la identificación, evaluación, mitigación, monitoreo e informe de riesgos. También debe incluir una declaración de apetito de riesgo que describa el nivel de riesgo que su organización está dispuesta a aceptar y los pasos que tomará para gestionar los riesgos dentro de este apetito.

Paso 3: Implementar Medidas de Gestión de Riesgos ICT

Con una estrategia de gestión de riesgos en su lugar, el siguiente paso es implementar medidas de gestión de riesgos ICT. Esto podría incluir medidas como actualizaciones regulares de software, controles de acceso sólidos, cifrado de datos y copias de seguridad regulares. También puede implicar realizar pruebas de penetración y evaluaciones de vulnerabilidades de forma regular para identificar y mitigar posibles amenazas de seguridad.

Paso 4: Monitorear y Revisar

Finalmente, un componente clave de un marco de gestión de riesgos ICT cumplidor con DORA es el monitoreo y la revisión continuos. Revise regularmente la efectividad de sus medidas y realice los ajustes necesarios a su estrategia de gestión de riesgos.

Lo que "bueno" significa en este contexto es más que simplemente cumplir con los requisitos regulatorios mínimos. Se trata de tener un enfoque proactivo para gestionar los riesgos ICT que esté integrado en el ADN de su organización. Se trata de demostrar un compromiso con la gestión de riesgos ICT que va más allá de simplemente pasar una auditoría.

Errores Comunes a Evitar

A pesar de la importancia del cumplimiento de DORA, muchas organizaciones aún cometen errores comunes que pueden llevar a fallos en el cumplimiento. Aquí hay algunos de los más comunes:

Error 1: Tratar el Cumplimiento como un Ejercicio de Verificación

Uno de los errores más comunes es tratar el cumplimiento como un ejercicio de verificación en lugar de un imperativo estratégico. Muchas empresas interpretan los requisitos de DORA como simples casillas para marcar y no consideran las razones subyacentes de estos requisitos. Este enfoque falla porque no aborda la verdadera intención de las regulaciones, que es garantizar que las empresas gestionen sus riesgos ICT de manera efectiva. En su lugar, el cumplimiento debe integrarse en la estrategia general de gestión de riesgos de la empresa.

Error 2: Negligencia de los Riesgos de Terceros

Otro error común es descuidar la gestión de los riesgos de terceros. Muchas empresas pasan por alto los riesgos asociados con sus proveedores externos, que pueden ser una fuente significativa de vulnerabilidades. Según el Artículo 5 de DORA, las entidades financieras están obligadas a evaluar los riesgos asociados con sus proveedores externos y tomar las medidas adecuadas para gestionar estos riesgos. No hacerlo puede llevar a fallos en el cumplimiento y daños financieros y reputacionales significativos.

Error 3: No Priorizar Actualizaciones y Parches Regulares

Las actualizaciones y parches regulares son cruciales para mantener la seguridad de los sistemas ICT. Sin embargo, muchas empresas descuidan este aspecto de su gestión de riesgos ICT. Esto puede dejarlas vulnerables a vulnerabilidades conocidas y puede llevar a fallos en el cumplimiento. Las actualizaciones y parches regulares deben ser una prioridad y deben integrarse en su estrategia general de gestión de riesgos ICT.

Herramientas y Enfoques

Existen varias herramientas y enfoques que se pueden utilizar para construir un marco de gestión de riesgos ICT cumplidor con DORA. Cada uno tiene sus pros y contras y puede ser más o menos efectivo dependiendo de las circunstancias específicas de la organización.

Enfoque Manual

El enfoque manual implica rastrear, evaluar y gestionar los riesgos ICT manualmente. Los pros de este enfoque son que puede adaptarse a las necesidades específicas de la organización y puede proporcionar una comprensión más profunda de los riesgos de la organización. Sin embargo, los contras son que puede ser lento y propenso a errores. También requiere una cantidad significativa de recursos para gestionarlo de manera efectiva.

Enfoque de Hoja de Cálculo/GRC

Muchas organizaciones utilizan hojas de cálculo o herramientas de GRC (Gobernanza, Riesgo y Cumplimiento) para gestionar sus riesgos ICT. Los pros de este enfoque son que puede proporcionar una plataforma centralizada para gestionar riesgos y puede ayudar a automatizar algunos aspectos de la gestión de riesgos. Sin embargo, los contras son que puede ser difícil de gestionar y actualizar, y puede ser propenso al error humano.

Plataformas de Cumplimiento Automatizadas

Las plataformas de cumplimiento automatizadas pueden proporcionar una forma más eficiente y efectiva de gestionar los riesgos ICT. Pueden automatizar muchos aspectos de la gestión de riesgos, reduciendo el tiempo y los recursos necesarios para gestionar los riesgos de manera efectiva. Sin embargo, también pueden ser costosas y pueden no ser adecuadas para todas las organizaciones. Al seleccionar una plataforma de cumplimiento automatizada, es importante buscar una que esté diseñada específicamente para servicios financieros y esté construida para cumplir con DORA y otras regulaciones relevantes.

Matproof, por ejemplo, es una plataforma de automatización de cumplimiento construida específicamente para servicios financieros de la UE. Ofrece generación de políticas impulsada por IA en alemán e inglés, recopilación automatizada de evidencia de proveedores de la nube y un agente de cumplimiento de punto final para el monitoreo de dispositivos. También ofrece residencia de datos 100% en la UE, con todos los datos alojados en Alemania, asegurando el cumplimiento con el GDPR y otras regulaciones de protección de datos.

En conclusión, aunque la automatización puede proporcionar beneficios significativos en la gestión de riesgos ICT, no es una solución única para todos. El mejor enfoque dependerá de las necesidades y circunstancias específicas de la organización. Sin embargo, sea cual sea el enfoque elegido, es crucial tratar el cumplimiento de DORA no como un ejercicio de verificación, sino como un imperativo estratégico que esté integrado en la estrategia general de gestión de riesgos de la organización.

Comenzando: Sus Próximos Pasos

Construir un marco de gestión de riesgos ICT cumplidor con DORA puede parecer desalentador. Sin embargo, con un enfoque claro y estructurado, es alcanzable. Aquí hay un plan de acción de cinco pasos que puede comenzar esta semana:

1. Realizar un Análisis de Brechas: Comience revisando sus procesos actuales de gestión de riesgos ICT a la luz del Artículo 6(1) de DORA. Identifique brechas y áreas que necesiten mejora.

2. Consultar las Publicaciones Oficiales de la UE y BaFin: Asegúrese de que su enfoque esté informado por la última guía regulatoria. Las "Directrices sobre la gestión de riesgos ICT" de la Autoridad Bancaria Europea y la "Circular 41/2019 sobre TI y protección de datos en el sector financiero" de BaFin proporcionan valiosos conocimientos.

3. Desarrollar un Marco de Evaluación de Riesgos: Esto debe incluir evaluaciones tanto cualitativas como cuantitativas según el Artículo 5 de DORA. También debe identificar posibles fuentes de riesgo ICT y los sistemas y procesos necesarios para gestionarlos.

4. Incorporar Retroalimentación: Involucre a todas las partes interesadas, incluidos los equipos de TI, cumplimiento y auditoría. Sus conocimientos mejorarán su marco de gestión de riesgos.

5. Implementar y Probar: Comience a implementar cambios donde sea posible y realice pruebas para asegurar la efectividad de su nuevo marco.

Al considerar si manejar esto internamente o buscar asistencia externa, evalúe la complejidad de su entorno ICT actual y la experiencia disponible dentro de su organización. Si su equipo carece de la experiencia o capacidad necesarias, los consultores externos pueden proporcionar un apoyo valioso.

Una victoria rápida que puede lograr en las próximas 24 horas es programar una reunión con sus equipos de TI y cumplimiento para discutir los hallazgos iniciales de su análisis de brechas y los pasos necesarios para abordarlos.

Preguntas Frecuentes

P1: ¿Cómo Podemos Asegurar que Nuestro Marco de Gestión de Riesgos ICT se Alinee con las Expectativas de DORA?

La clave es comprender profundamente los requisitos de DORA e integrarlos en sus procesos. El Artículo 6(1) de DORA requiere un marco integral de gestión de riesgos ICT que incluya identificación, evaluación y mitigación de riesgos. Esto significa ir más allá de un ejercicio de verificación e incorporar la gestión de riesgos en sus operaciones diarias. Revise y actualice regularmente su marco para adaptarse a nuevos riesgos y cambios en el panorama regulatorio.

P2: ¿Cuáles Son los Componentes Clave de una Evaluación de Riesgos ICT Cumplidora con DORA?

El Artículo 5 de DORA enfatiza la importancia de una evaluación de riesgos ICT robusta. Los componentes clave incluyen:

• Identificación de riesgos ICT y sus posibles impactos en sus operaciones.
• Evaluación de la efectividad de los controles y medidas implementadas para gestionar estos riesgos.
• Revisión y actualización regular de su evaluación de riesgos para reflejar cambios en sus operaciones o en el entorno externo.

Es crucial documentar estas evaluaciones y ponerlas a disposición de las autoridades regulatorias a solicitud.

P3: ¿Cómo Equilibramos la Necesidad de Cumplimiento con la Continuidad del Negocio?

Equilibrar el cumplimiento con la continuidad del negocio es un desafío común. La clave es integrar los esfuerzos de cumplimiento en sus procesos comerciales, en lugar de tratarlos como tareas separadas. Este enfoque asegura que las actividades de cumplimiento respalden sus objetivos comerciales, en lugar de obstaculizarlos. Por ejemplo, implementar controles de riesgos ICT sólidos puede ayudar a prevenir interrupciones en sus operaciones, mejorando así la continuidad del negocio.

P4: ¿Cómo Deberíamos Abordar la Gestión de Riesgos ICT en un Entorno de Nube?

Gestionar los riesgos ICT en un entorno de nube requiere un enfoque diferente al de gestionar riesgos en un entorno local. El modelo de responsabilidad compartida significa que los proveedores de nube son responsables de ciertos aspectos de la seguridad, mientras que usted sigue siendo responsable de otros. Según el Artículo 6(1) de DORA, debe asegurarse de que su proveedor de nube cumpla con los estándares de seguridad necesarios. Esto incluye realizar la debida diligencia sobre su proveedor, revisar regularmente sus medidas de seguridad y documentar estos procesos.

P5: ¿Cómo Podemos Demostrar el Cumplimiento con los Requisitos de Riesgo ICT de DORA?

Demostrar el cumplimiento implica documentar sus procesos de gestión de riesgos ICT y proporcionar evidencia de su efectividad. Esto incluye:

• Documentar sus procesos de identificación, evaluación y mitigación de riesgos.
• Proporcionar evidencia de que estos procesos se están siguiendo, como informes de auditoría o resultados de pruebas.
• Mostrar que sus procesos cumplen con los requisitos de DORA, incluido el Artículo 6(1) sobre gestión de riesgos ICT.

También es importante mantener líneas de comunicación abiertas con las autoridades regulatorias y estar preparado para proporcionarles la información que soliciten.

Conclusiones Clave

En resumen, construir un marco de gestión de riesgos ICT cumplidor con DORA implica:

• Realizar un análisis de brechas exhaustivo para identificar áreas de mejora.
• Desarrollar un marco de evaluación de riesgos integral de acuerdo con el Artículo 5 de DORA.
• Integrar los esfuerzos de cumplimiento en sus procesos comerciales.
• Revisar y actualizar regularmente su marco para adaptarse a cambios en el panorama regulatorio.
• Documentar sus procesos y proporcionar evidencia de su efectividad.

Matproof puede ayudar a automatizar estos procesos, reduciendo el tiempo y los recursos necesarios para gestionar los riesgos ICT y mantener el cumplimiento. Para obtener más información, visite https://matproof.com/contact para una evaluación gratuita.