Kyndryl y AFI presentan un estudio sobre DORA
La escuela de negocio Analistas Financieros Internacionales (AFI), con la colaboración de Kyndryl, han presentado un pertinente informe en un encuentro en Espacio Cómo94 en el paseo de la Castellana de Madrid, en el día previo a la entrada en vigor del reglamento de la Digital Operational Resilience Act de la Unión Europea, más conocido como DORA, que afecta a todas las entidades financieras y aseguradoras que operan en Europa.
El estudio ‘Impacto y principales desafíos en la implantación del Reglamento de Resiliencia Operativa Digital en las entidades financieras’ es el resultado de meses de investigación y entrevistas con responsables de seguridad y riesgos de banca y aseguradoras (de las que se recogen trece), y aborda los principales desafíos de la implementación de la normativa, así como las oportunidades para mejorar la resiliencia operativa digital.
En el acto de presentación, David Soto, presidente de Kyndryl España y Portugal, ha explicado: “Hemos presentado un informe en colaboración con Kyndryl sobre el impacto y los principales desafíos de la implantación de DORA que entra en vigor mañana que afecta a entidades financieras y aseguradoras que operan en Europa. Una norma que se ha entendido como un acelerador interno de las inversiones en resiliencia operativa y ciberseguridad que las entidades financieras estaban realizando”.
DORA supone una transición desde un enfoque preventivo a uno de resiliencia operativa, que debe actuar como un catalizador interno, involucrando a diversas áreas dentro de las organizaciones, de manera vertical y horizontal, y donde el Sector Público desempeña un papel crucial en la prevención de la ciberdelincuencia y en la coordinación del sector financiero no solo como supervisor sino estimulando el intercambio colaborativo de información.
“El reglamento DORA no solo exige un ajuste tecnológico en cuanto a interoperabilidad y compatibilidad con otros estándares, sino también un cambio profundo en la cultura y la organización de las empresas para garantizar su capacidad de respuesta ante incidentes. Este nuevo enfoque refuerza la resiliencia operativa digital como una prioridad estratégica para el sector, basada en la transparencia y la colaboración, en la que la innovación tecnológica será clave”, concluía Soto.
Exposición del informe
Borja Foncillas, presidente de AFI, y Esteban Sánchez, socio director de Banca de AFI, han destacado el contexto de negocio que origina la norma y cómo esta ha acelerado las inversiones en resiliencia operativa y ciberseguridad en el sector financiero. La norma ha facilitado una transición de un enfoque preventivo a uno de resiliencia, involucrando a diferentes áreas de las organizaciones y sus proveedores. Igualmente, resaltaron el papel crucial del sector público en la prevención de la ciberdelincuencia y la coordinación del sector.
Entre los diversos aspectos que trata este informe, figuran como destacados:
- El cambio de paradigma hacia la resiliencia operativa digital
- Desafíos en la implementación debido a su naturaleza transversal
- Necesidad de una comunicación fluida y transparente entre reguladores y entidades
- Mayor claridad en la definición de “entidad mínima viable”
- Gran disparidad en el nivel de preparación entre las entidades financieras
- Riesgo de fragmentación en la aplicación de la normativa, tanto a nivel europeo como nacional
- Necesidad de una supervisión colaborativa hacia un modelo de acompañamiento continuo
- Enfoque específico para la gestión del riesgo TIC y la aplicación de proporcionalidad
- Interoperabilidad con otras regulaciones y estándares internacionales
- Importancia del papel del sector público en la mitigación de los costes de cumplimiento
Mesa de debate
En la presentación han participado directivos de instituciones del sector financiero y asegurador, reguladores y expertos en seguridad tecnológica, quienes han debatido en torno a las implicaciones de esta normativa para el sector financiero. Los profesionales han destacado la necesidad de un enfoque integral que combine tecnología avanzada y un cambio organizacional profundo.
En esta línea, el director de Riesgos No Financieros de Cecabank, Ricardo López Lázaro, ha asegurado que «mientras que las aseguradoras se ven más expuestas a riesgos vinculados a la privacidad de los datos, las entidades bancarias tienen una mayor exposición a vulnerabilidades vinculadas a la continuidad del negocio. Aunque el planteamiento que establece DORA es único, la percepción del riesgo en función del escenario dentro del marco común es diferente”.
La jefa del grupo de Riesgo Tecnológico de la dirección general de Supervisión del Banco de España, Silvia Senabre, ha apuntado que “DORA no introduce controles nuevos, sino que agrupa buenas prácticas existentes en un marco coherente, marcando un hito en la gestión de riesgos con una estructura legal sólida y detallada. Lo novedoso es ponerlo todo junto”.
Por su parte, el director de Continuidad de Negocio de Caixabank, Óscar Doménech, ha afirmado que “DORA es una herramienta con mucho potencial que contribuirá a reforzar la confianza de nuestros clientes, usuarios y ciudadanía en las capacidades y resiliencia no sólo de los bancos, sino del conjunto de actores del sistema. Un proyecto de éxito que establece un marco común de gobierno de los riesgos tecnológicos, que abrazamos en clave de oportunidad y que incrementa más aún las capacidades de resiliencia de las organizaciones y facilita la colaboración sectorial –elemento fundamental–. Partiendo de un nivel de preparación muy alto, ha supuesto un reto en el que CaixaBank se ha implicado por completo a todos los niveles, liderado desde los órganos de gobierno, y con el máximo compromiso”.
Guillermo Llorente, director corporativo de Seguridad en Mapfre, ha asegurado durante su intervención que “para evitar el solapamiento de esfuerzos, el papel del sector público es fundamental para incrementar la eficiencia. Esto permitiría disminuir los recursos destinados a la demostración de cumplimiento y destinarlos al cumplimiento en sí mismo aumentando la protección efectiva”.
Finalmente, Roberto Rodríguez, Chief Operational Resilience Officer de Banco Santander España, ha comentado: “En un entorno cada vez más digital, la resiliencia debe ser considerada una prioridad dentro de los objetivos de negocio y articularse como un proceso en continua revisión y mejora que se adapte a un contexto de riesgos en constante evolución”.
Compañeros de viaje
Además de una charla con Kris Lovejoy, Global Security and Resilience Practice Leader, el evento contó con el cierre de Karen Gaines, quien desde hace algo más de dos meses es la vicepresidenta de Seguridad y Resiliencia en España y Portugal de Kyndryl: “La ciberseguridad ya no se ve como una solución fragmentada, sino como un enfoque integral. En Kyndryl, estaremos encantados de ser vuestro socio tecnológico en este viaje y ayudaros a diseñar una sólida estrategia de ciberseguridad y resiliencia que asegure la implementación efectiva, eficiente y sin riesgos de este nuevo reglamento”. Un guante que ya han recogido ocho de cada diez entidades financieras en la región.
Sin lugar a duda, el Reglamento DORA marca un antes y un después para el sector financiero y asegurador español, estableciendo un estándar de resiliencia operativa, promoviendo la interoperabilidad, la transparencia, definiendo el papel de la gestión de terceros y del supervisor e identificando los servicios críticos. En este marco, Kyndryl reafirma su compromiso como socio estratégico y busca fomentar el diálogo constructivo entre supervisores, entidades y expertos, promoviendo soluciones que impulsen la resiliencia y la innovación.