Identificación de necesidades DORA, «GAP Analysis», y tecnología GRC aplicada para el control y gestión de DORA

El reciente webinar organizado por ASEAFI abordó en profundidad el nuevo Decreto DORA (Digital Operational Resilience Act) y sus implicaciones para el sector financiero. Este decreto, que entra en vigor el 17 de enero de 2025, establece un marco regulatorio armonizado para la gestión de riesgos tecnológicos y la resiliencia operativa en toda la Unión Europea. En el tercer webinar de ASEAFI contamos con Jorge Fernández y Luis Terrón, de EY, y Sergio C. García, de GlobalSuite Solutions

Ponencia de EY

Jorge Fernández y Luis Terrón de EY lideraron la sesión, explicando el enfoque que deben adoptar las entidades para adaptarse e implementar estas nuevas obligaciones. Subrayaron que el DORA no solo se centra en la ciberseguridad, sino que también aborda aspectos organizativos y de gobierno interno, destacando la importancia de una cultura de cumplimiento sólida.

Razones para la aprobación de DORA

El Decreto DORA se basa en cuatro pilares fundamentales:

  1. Armonización regulatoria: Necesidad de un régimen armonizado para regular aspectos críticos en el sector financiero, especialmente los relacionados con tecnologías de la información y comunicación (TIC).
  2. Ciberseguridad: Elevación del nivel de ciberseguridad a nivel europeo, especialmente tras eventos como la guerra entre Ucrania y Rusia, que han puesto de manifiesto la importancia de la ciberseguridad en el sector financiero.
  3. Gobierno corporativo: Importancia de un modelo de gobierno corporativo sólido que permita una gestión ágil y eficaz de los riesgos tecnológicos.
  4. Supervisión y control: Necesidad de armonizar y reforzar la supervisión a nivel de entidades y estados miembros para una respuesta temprana y eficaz a cualquier incidencia.

Principales impactos y estrategias de adaptación

Luis Terrón detalló los seis pilares regulatorios de DORA y cómo las entidades deben abordarlos:

  • Gobernanza y Organización: Definición de roles y responsabilidades claras dentro de las entidades para la gestión de riesgos TIC.
  • Gestión de Riesgos Tecnológicos: Implementación de un marco efectivo de gestión de riesgos tecnológicos.
  • Notificación de Incidentes TIC: Establecimiento de procedimientos para la identificación, gestión, clasificación y reporte de incidentes.
  • Pruebas de Resiliencia Operativa: Realización de pruebas periódicas de resiliencia operativa digital.
  • Gestión de Riesgos con Terceros Proveedores: Priorización de la gestión de riesgos con proveedores TIC, esenciales y no esenciales.
  • Protección de Datos Personales: Aseguramiento de un buen gobierno y gestión de los datos personales.

Ponencia de GlobalSuite Solutions

Sergio García, de GlobalSuite Solutions, abordó la importancia de implementar soluciones tecnológicas avanzadas para cumplir con los requisitos del Decreto DORA. Más concretamente habló de GlobalSuite como solución para DORA. Caso práctico de optimización exitosa.

Destacó cómo las plataformas de gestión integrada pueden ayudar a las entidades a automatizar y optimizar sus procesos de gestión de riesgos y resiliencia operativa. Según García, la clave está en adoptar un enfoque proactivo y preventivo, utilizando herramientas que permitan una supervisión continua y una respuesta rápida a cualquier incidente.

Sergio también enfatizó la necesidad de formar y capacitar al personal en el uso de estas tecnologías, asegurando que todos los miembros de la organización estén alineados con los objetivos de resiliencia y seguridad. Mencionó ejemplos prácticos de cómo GlobalSuite Solutions ha ayudado a varias entidades a mejorar su capacidad de respuesta y a cumplir con los estándares regulatorios.

Recomendaciones para la adaptación

Se recomendó a las entidades priorizar la gestión de riesgos relacionados con terceros proveedores TIC y la implementación de procedimientos robustos para la notificación de brechas de seguridad. También se subrayó la importancia de un plan de acción claro y bien definido que abarque desde la identificación de brechas hasta la implementación de soluciones concretas.

En este enlace puedes disfrutar de las presentaciones y el vídeo del webinar

Conclusión

El Decreto DORA representa un cambio significativo en la regulación del sector financiero, imponiendo nuevas obligaciones que buscan mejorar la resiliencia operativa y la gestión de riesgos tecnológicos. La colaboración y preparación proactiva son esenciales para que las entidades financieras puedan cumplir con estas nuevas regulaciones y fortalecer su posición frente a los riesgos tecnológicos.

Agradecemos a todos los participantes y especialmente a los ponentes por sus valiosas contribuciones. Continuamos trabajando juntos para enfrentar los desafíos y aprovechar las oportunidades que presenta esta nueva era de la regulación financiera.

Aquí puedes ver el webinar y los materiales al completo

Comparte

Facebook
LinkedIn
Twitter

Sobre ASEAFI

ASEAFI desde su creación en 2010 ha luchado por representar al sector de las EAFIS bajo la premisa de que la unión hace la fuerza, y trasladando esa unidad en sus relaciones de mercado y con el regulador.

Comparte

Últimos posts

Síguenos en LinkedIn

Asociación de Empresas de Asesoramiento Financiero

Gestión de inversiones Madrid

Ver perfil

Suscríbete a nuestro boletín de noticias