Skip to content
Tiatra, LLCTiatra, LLC
Tiatra, LLC
Information Technology Solutions for Washington, DC Government Agencies
  • Home
  • About Us
  • Services
    • IT Engineering and Support
    • Software Development
    • Information Assurance and Testing
    • Project and Program Management
  • Clients & Partners
  • Careers
  • News
  • Contact
 
  • Home
  • About Us
  • Services
    • IT Engineering and Support
    • Software Development
    • Information Assurance and Testing
    • Project and Program Management
  • Clients & Partners
  • Careers
  • News
  • Contact

Los CIO y los CISO se enfrentan a DORA: desafíos clave de cumplimiento

En vigor desde enero, la Ley de Resiliencia Operativa Digital (DORA) ha exigido un esfuerzo considerable a los directores de sistemas de la información (CIO, por sus siglas en inglés) y a los directores de seguridad de la información (CISO) de 20 tipos de entidades financieras para lograr su cumplimiento. Para muchos, el viaje no ha terminado.

“En los últimos meses, las entidades financieras a las que se dirige DORA han estado ocupadas definiendo internamente las funciones y responsabilidades relacionadas con la seguridad de las TIC, identificando los principales riesgos dentro de las funciones esenciales e importantes, desarrollando un marco de gestión de las ciberamenazas que incluya políticas y procedimientos para la supervisión de los recursos de las TIC, y preparando las medidas necesarias para garantizar el control de la cadena de suministro”, destaca Giulia Mariuz, abogada del bufete Hogan Lovells.

DORA, que tiene como objetivo reforzar la resiliencia operativa en el sector bancario y financiero, incluye cinco pilares que los líderes de TI deben abordar: gestión de riesgos de las tecnologías de la información y la comunicación (TIC), gestión de pruebas, gestión de incidentes y elaboración de informes, gestión de riesgos de terceros e intercambio de información sobre vulnerabilidades y amenazas entre entidades financieras, siendo este último pilar opcional.

El cumplimiento está resultando una carga, especialmente para la gestión de riesgos de terceros, que requiere la revisión de los contratos con los proveedores de TIC. Este elemento de DORA requiere que los CIO y los CISO examinen a sus subcontratistas de TI y, con el apoyo de los servicios jurídicos, renegocien los contratos para incluir cláusulas adecuadas que protejan a la empresa desde el punto de vista de la ciberresiliencia.

“El CIO de la entidad financiera tendrá que promover y supervisar la diligencia debida de las actividades internas”, destaca la abogada María Roberta Perugini. “El CIO debe tener un mapa de las obligaciones reglamentarias, evaluar cómo encajan con la realidad actual, ver qué falta —mediante un análisis de deficiencias— y luego colaborar en los procesos de selección y evaluación de proveedores y subcontratistas y en la traducción de todo esto en cláusulas contractuales dirigidas a los numerosos y diferentes proveedores TIC que componen la cadena de suministro de la entidad financiera, todo lo cual debe permitir que esta cumpla con la normativa”.

DORA, un cumplimiento complejo para las empresas

La tarea es especialmente difícil para las empresas más pequeñas, que suelen tener menos recursos, tanto económicos como de personal.

“Como suele ocurrir con normativas tan ambiciosas, el camino hacia el cumplimiento es especialmente complejo”, afirma Giuseppe Ridulfo, subdirector del departamento de Organización y CIO de Banca Etica. “Esto es especialmente cierto para las entidades más pequeñas, como Banca Etica, que se encuentran con importantes retos estructurales. DORA, aunque tiene objetivos compartidos, carece de un principio de proporcionalidad que tenga en cuenta las diferencias entre las grandes instituciones y los bancos más pequeños”.

Esto se agrava en el caso de las organizaciones más pequeñas debido a la prevalencia de la externalización en estas empresas, explica Ridulfo.

“Este modelo operativo, que permite el acceso a tecnologías y habilidades avanzadas, choca con los estrictos requisitos de la normativa, en particular los que imponen un control riguroso sobre los proveedores externos y una gestión compleja de los contratos relacionados con funciones esenciales o importantes”, afirma. “Para un banco pequeño, garantizar que cada detalle cumpla con DORA requiere un esfuerzo considerable, agravado por los recursos humanos y financieros a menudo limitados”.

El retraso en la llegada de las Normas Técnicas de Regulación (RTS) no ayuda.

“El legislador no ha completado el proceso reglamentario”, afirma Giancarlo Butti, auditor y experto en privacidad y seguridad. “Hasta la fecha, solo se han publicado oficialmente algunas de las normativas delegadas, por lo que las entidades financieras que, por ejemplo, están redefiniendo los contratos con los proveedores tendrán que añadir posteriormente —una vez que lleguen las demás normativas delegadas— la parte relativa a la gestión de las relaciones con los subcontratistas. De hecho, es muy importante que las entidades financieras consideren cuidadosamente el riesgo de toda la cadena de suministro. Un aspecto que no se considera lo suficiente es que el impacto de DORA no solo involucra a las entidades financieras, sino, indirectamente, a toda la cadena de suministro de las TIC”.

La complejidad de DORA, por lo tanto, no está en el texto en sí, aunque es sustancial, sino en el trabajo que implica para su cumplimiento. Como señala Davide Baldini, abogado y socio de la firma de consultoría jurídica TIC, “DORA es una ley muy clara, ya que es un reglamento, que se aplica por igual en todos los países de la UE y contiene disposiciones muy detalladas. En comparación, la NIS2 se basa en principios y es una directiva, por lo que cada país miembro tiene margen de maniobra en su aplicación. Sin embargo, DORA es muy prescriptiva, y esto hace que el cumplimiento sea complejo en términos de tiempo y de recursos humanos y financieros que hay que desplegar”.

El nudo de la gestión de proveedores de TIC

Muchas instituciones financieras, grandes y pequeñas, se están quedando atrás en la revisión de sus cadenas de suministro TIC, que pueden incluir múltiples proveedores de tecnología, proveedores y subcontratistas.

“La ley impone lo que se denomina responsabilidad inquebrantable”, afirma Baldini. “En pocas palabras, los bancos son responsables si el proveedor no es fiable desde el punto de vista de la seguridad, incluso si existe una proporcionalidad en la importancia de los terceros. Las instituciones financieras están obligadas a tener un registro con información sobre terceros, indicando quiénes son, qué productos proporcionan, etc., incluida la documentación contractual. Y esto es solo el primer paso: existe la obligación de comunicar esta información a las autoridades competentes al menos una vez al año. Es un proceso engorroso”.

Por supuesto, los CIO y los CISO pueden requerir más tecnologías o tecnologías diferentes a sus proveedores para garantizar la ciberresiliencia operativa, y es posible que el proveedor no pueda prestar los servicios solicitados o se vea obligado a renegociar los precios.

“El actual proyecto de reglamento sobre la cadena de subcontratación condiciona la celebración del contrato de subcontratación a la intermediación activa del proveedor, estableciendo explícitamente tanto que el proveedor debe garantizar que las obligaciones contractuales de los subcontratistas permitan a la entidad financiera cumplir con todas las normas aplicables, como que el proveedor es responsable de la prestación de los servicios prestados por los subcontratistas”, afirma el abogado Perugini.

Este es un aspecto especialmente delicado, porque, si bien es cierto que la responsabilidad en caso de incumplimiento recae en la entidad financiera, probablemente esta la traspasará (en términos de posible indemnización por daños y perjuicios) al primer proveedor de su cadena.

Desafíos para los líderes de TI: gobernanza de TI

Evaluar la resiliencia de los sistemas informáticos de la empresa y las relaciones con terceros en cuanto a riesgos es fundamental para el cumplimiento de DORA, pero la ley también exige medidas técnicas, como la evaluación de la seguridad de la red o las pruebas de penetración, que los CIO tendrán que seguir en coordinación con terceros, a quienes normalmente se confían estos servicios altamente especializados en la mayoría de las organizaciones financieras.

Otro reto clave es reforzar la gobernanza de las tecnologías de la información.

“La normativa exige el establecimiento de una función de control de riesgos de TIC independiente y sólida, capaz de supervisar eficazmente todas las actividades relacionadas con la resiliencia operativa digital”, observa Ridulfo, de Banca Etica.

Para las empresas más pequeñas, esto significa invertir en formación para el personal interno o, si es necesario, contratar nuevos recursos, lo que implica costes y plazos que no siempre se ajustan a los plazos reglamentarios.

“Es un doble desafío”, afirma Ridulfo. “Por un lado, necesitamos desarrollar habilidades internas; por otro, estas habilidades deben adaptarse a una normativa en constante evolución”.

Incluso para un banco digital y eficiente como AideXa, el desafío del cumplimiento es la naturaleza cambiante de los procesos y las estructuras de control que exige la nueva normativa. Al mismo tiempo, ser nativo digital ha sido una ventaja.

“Nuestro plan de continuidad de negocio ya se creó para permitirnos ser ciberresilientes. Y ya teníamos requisitos como obligaciones de nivel de servicio y continuidad del negocio en nuestros contratos con proveedores TIC”, afirma Elena Adorno, CIO y COO de Banca AideXa. “DORA es sin duda una regulación compleja e implica costes para las entidades financieras, pero estamos en la fase de ampliación y, por lo tanto, hemos conseguido incluir y hacer converger los objetivos dentro del plan industrial que ya incluía inversiones y crecimiento”.

Aun así, añade Adorno, “el hecho es que queda mucho trabajo por hacer en el camino hacia el cumplimiento y es diario y generalizado, tanto en términos de las tecnologías que se adoptarán como de la gestión de riesgos”.

Cómo proceder con los nuevos contratos TIC

Otro desafío clave para los líderes de TI será lo que se necesita para reemplazar a cualquier proveedor o subcontratista que no permita el cumplimiento perfecto de DORA.

“Las entidades financieras no tienen mucho poder de negociación con los proveedores”, observa Butti. “Si el proveedor no se adhiere a los ajustes contractuales propuestos por la entidad financiera, no es seguro que esta última encuentre fácilmente otro que los acepte, y la migración podría, en cualquier caso, tener un coste elevado. En ese momento, se necesita una gestión de riesgos adecuada: un único proveedor que no se adhiera a los requisitos propuestos podría llevar a la aceptación de un cierto nivel de riesgo por parte de la entidad financiera, pero no sería fácil de reemplazar”.

Si este riesgo se compara con una cartera más amplia de proveedores que cumplan con los requisitos, podría ser aceptable. Pero aquí es donde entran en juego la gestión y la gobernanza de la entidad financiera, que evalúan y negocian nuevas cláusulas caso por caso.

“Es impensable imponer su propia política de seguridad y un contrato estándar a todos los proveedores; la realidad es que requeriría una negociación con cada proveedor individual, que puede haber implementado ya los requisitos solicitados por la normativa con soluciones diferentes a las propuestas, pero que siguen cumpliendo”, dice Butti. “Piense, por ejemplo, en un proveedor que presta servicios a docenas de instituciones financieras; es impensable que se adapte a las peticiones de cada una”.

En términos generales, explica el abogado Perugini, el esquema contractual propuesto por las entidades financieras a los proveedores debe reflejar no solo los contenidos mínimos explícitamente previstos por DORA y otras normativas complementarias, sino también los elementos normativos internos —normas organizativas que deben traducirse en políticas y procedimientos— necesarios para garantizar eficazmente a la entidad financiera toda la flexibilidad para cumplir con las obligaciones de gobernanza y control de sus riesgos TIC.

“La coordinación necesaria implicará, por tanto, traducir en cláusulas contractuales las obligaciones de gobernanza interna que la ley impone exclusivamente a la entidad financiera”, afirma Perugini.

DORA también presenta oportunidades

DORA también se centra mucho en la continuidad del negocio, por lo que es importante que el CIO cuente con políticas de continuidad del negocio y de recuperación ante desastres.

“Estas también son útiles para el cumplimiento del GRPD y, en general, se puede decir que el complejo trabajo de adaptación a DORA tiene el efecto secundario positivo de ayudar a las empresas a adaptarse a otras normativas de la UE, empezando, precisamente, por la de datos personales”, afirma Baldini, de ICT Legal Consulting. “El cumplimiento de DORA, de hecho, conduce a una gestión diligente del riesgo informático y del riesgo de terceros, lo que a su vez conduce al cumplimiento de muchas normativas aplicables a los bancos, además de garantizar una mejor ciberseguridad y ciberresiliencia, que es precisamente el propósito de la ley”.

Ridulfo, de Banca Etica, también hace hincapié en que, a pesar de las dificultades, DORA también representa una oportunidad para reforzar la resiliencia operativa y crear un ecosistema financiero más seguro y colaborativo: invertir en habilidades, desarrollar herramientas de automatización para el cumplimiento y adoptar un enfoque más colaborativo, por ejemplo, mediante el intercambio de información sobre ciberamenazas, puede ayudar no solo a responder a las necesidades normativas, sino también a construir un futuro más sólido para todo el sector.

“La resiliencia digital no es solo una obligación normativa, sino también una responsabilidad hacia los clientes, los socios y la comunidad financiera. La tarea de los CIO no es solo garantizar el cumplimiento, sino también transformar este viaje en una oportunidad para construir sistemas más seguros y sostenibles”, observa Ridulfo. “El camino para lograr este objetivo está lejos de ser lineal y requiere un compromiso continuo para equilibrar los requisitos normativos con los recursos disponibles y las capacidades operativas”.

Adorno, de Banca AideXa, quiere señalar que DORA tiene posibles implicaciones positivas para las empresas más pequeñas, empezando por un mayor poder de negociación con los proveedores de tecnología.

“Si, por un lado, la tarea de revisar todos los contratos con la cadena de suministro de las TIC es una carga, las empresas —a menudo con poco poder de negociación frente a las grandes empresas tecnológicas que no entraban en el ámbito de la externalización de las TIC— pueden ahora aprovechar los requisitos que se rigen por la normativa”, afirma.

Otra ventaja es que DORA impulsa la industrialización de los procesos.

“Los requisitos de la DORA nos permiten acelerar la automatización de los procesos no esenciales”, explica. “La reducción de las actividades manuales estaba prevista en nuestro plan de negocio, pero ahora esta normativa supone un estímulo adicional”.

Los próximos meses serán cruciales

En la actualidad, existe un retraso generalizado en el cumplimiento de DORA y, como afirma Baldini, “este primer año servirá como período de rodaje”.

La abogada Giulia Mariuz, de Hogan Lovells, observa: “En los próximos meses, las empresas sujetas a DORA tendrán la oportunidad de poner a prueba las medidas establecidas dentro de sus marcos de gestión de riesgos y procesos de diligencia debida sobre los proveedores de servicios TIC externos y cualquier subcontratista, así como la solidez de las medidas contractuales adoptadas de conformidad con los requisitos de DORA”.

En este sentido, Giulia Mariuz destaca la importancia de los equipos multidisciplinares: “El CIO, junto con las funciones legales y de cumplimiento y con el apoyo activo de los CISO, tendrá un papel central”.

El regulador también tendrá que poner de su parte. Ridulfo subraya la complejidad que supone para el COI gestionar la continua evolución del marco regulatorio.

“Además de la propia regulación, que ya es intrínsecamente compleja, la producción de RTS, normas técnicas de implementación de ITS y directrices por parte de las autoridades europeas añade una capa más de incertidumbre”, concluye Ridulfo. “Los cambios introducidos por estos actos delegados pueden alterar sustancialmente los proyectos en curso, obligando a los bancos a replantearse los planes ya en marcha y a asignar recursos adicionales para actualizaciones constantes. Esta dinámica hace que el trabajo de planificación e implementación sea extremadamente complejo, convirtiendo el proceso de cumplimiento en una carrera contra el tiempo en un terreno en constante cambio”.


Read More from This Article: Los CIO y los CISO se enfrentan a DORA: desafíos clave de cumplimiento
Source: News

Category: NewsFebruary 17, 2025
Tags: art

Post navigation

PreviousPrevious post:Cultura y tecnología, palancas para accionar la transformación digital del sector públicoNextNext post:LaLiga transforma la experiencia futbolística y su gestión interna mediante IA

Related posts

Barb Wixom and MIT CISR on managing data like a product
May 30, 2025
Avery Dennison takes culture-first approach to AI transformation
May 30, 2025
The agentic AI assist Stanford University cancer care staff needed
May 30, 2025
Los desafíos de la era de la ‘IA en todas partes’, a fondo en Data & AI Summit 2025
May 30, 2025
“AI 비서가 팀 단위로 지원하는 효과”···퍼플렉시티, AI 프로젝트 10분 완성 도구 ‘랩스’ 출시
May 30, 2025
“ROI는 어디에?” AI 도입을 재고하게 만드는 실패 사례
May 30, 2025
Recent Posts
  • Barb Wixom and MIT CISR on managing data like a product
  • Avery Dennison takes culture-first approach to AI transformation
  • The agentic AI assist Stanford University cancer care staff needed
  • Los desafíos de la era de la ‘IA en todas partes’, a fondo en Data & AI Summit 2025
  • “AI 비서가 팀 단위로 지원하는 효과”···퍼플렉시티, AI 프로젝트 10분 완성 도구 ‘랩스’ 출시
Recent Comments
    Archives
    • May 2025
    • April 2025
    • March 2025
    • February 2025
    • January 2025
    • December 2024
    • November 2024
    • October 2024
    • September 2024
    • August 2024
    • July 2024
    • June 2024
    • May 2024
    • April 2024
    • March 2024
    • February 2024
    • January 2024
    • December 2023
    • November 2023
    • October 2023
    • September 2023
    • August 2023
    • July 2023
    • June 2023
    • May 2023
    • April 2023
    • March 2023
    • February 2023
    • January 2023
    • December 2022
    • November 2022
    • October 2022
    • September 2022
    • August 2022
    • July 2022
    • June 2022
    • May 2022
    • April 2022
    • March 2022
    • February 2022
    • January 2022
    • December 2021
    • November 2021
    • October 2021
    • September 2021
    • August 2021
    • July 2021
    • June 2021
    • May 2021
    • April 2021
    • March 2021
    • February 2021
    • January 2021
    • December 2020
    • November 2020
    • October 2020
    • September 2020
    • August 2020
    • July 2020
    • June 2020
    • May 2020
    • April 2020
    • January 2020
    • December 2019
    • November 2019
    • October 2019
    • September 2019
    • August 2019
    • July 2019
    • June 2019
    • May 2019
    • April 2019
    • March 2019
    • February 2019
    • January 2019
    • December 2018
    • November 2018
    • October 2018
    • September 2018
    • August 2018
    • July 2018
    • June 2018
    • May 2018
    • April 2018
    • March 2018
    • February 2018
    • January 2018
    • December 2017
    • November 2017
    • October 2017
    • September 2017
    • August 2017
    • July 2017
    • June 2017
    • May 2017
    • April 2017
    • March 2017
    • February 2017
    • January 2017
    Categories
    • News
    Meta
    • Log in
    • Entries feed
    • Comments feed
    • WordPress.org
    Tiatra LLC.

    Tiatra, LLC, based in the Washington, DC metropolitan area, proudly serves federal government agencies, organizations that work with the government and other commercial businesses and organizations. Tiatra specializes in a broad range of information technology (IT) development and management services incorporating solid engineering, attention to client needs, and meeting or exceeding any security parameters required. Our small yet innovative company is structured with a full complement of the necessary technical experts, working with hands-on management, to provide a high level of service and competitive pricing for your systems and engineering requirements.

    Find us on:

    FacebookTwitterLinkedin

    Submitclear

    Tiatra, LLC
    Copyright 2016. All rights reserved.