En enero de este año entró en vigor la Directiva DORA, que tiene como objetivo fortalecer y armonizar el principio de resiliencia operacional en toda la Unión Europea y sus sectores económicos más críticos. La expansión del uso de la tecnología y los procesos de digitalización permiten ofrecer a los clientes nuevos canales de comunicación con la entidad, nuevos servicios y opciones para hacer más eficientes operativas que, hasta ahora, requerían de presencia física en oficinas o cajeros. Se ha pasado de horarios de atención limitado a servicios 24x7 en los que los clientes esperan poder operar en cualquier momento y de forma instantánea. En este nuevo contexto digital y cada vez más dependiente de las soluciones tecnológicas, la resiliencia operacional se ha convertido en un aspecto clave para garantizar la continuidad de estos servicios y proteger los datos de los clientes.
El concepto de resiliencia operacional hace referencia a la capacidad de una organización para resistir, adaptarse y recuperarse de manera efectiva a interrupciones e incidentes asociados a la seguridad de la información y al uso de la tecnología, ya sean éstos de origen interno o externo. En otras palabras, la resiliencia operacional marca el cómo de rápido y de bien son capaces de recuperarse las entidades ante la ocurrencia de un evento adverso que afecte a nuestros sistemas.
Si bien las entidades financieras ya habían detectado esta necesidad y vienen trabajando desde hace tiempo en que sus sistemas sean seguros y resilientes, la Unión Europea ha venido a reforzar este planteamiento estableciendo la Directiva de Resiliencia Operacional (DORA, por sus siglas en inglés), cuya entrada en vigor se produjo el pasado mes de enero y que cuenta con un plazo de adaptación de dos años.
Su objetivo principal es establecer un marco común de acciones preventivas y medidas de respuesta para garantizar la protección de los servicios esenciales y la confianza en los clientes. Se basa en tres pilares fundamentales: preparación, prevención y recuperación.
Directiva DORA: preparación, prevención y recuperación
En términos de preparación, la DORA exige a las entidades que identifiquen y evalúen los riesgos asociados con sus actividades y servicios basados en el uso de tecnologías de la información. Esto implica comprender los posibles escenarios de interrupción y desarrollar planes de respuesta y contingencia sólidos. La idea es estar preparados para hacer frente a cualquier evento adverso y minimizar su impacto en los servicios ofrecidos por la entidad.
La prevención es otro elemento clave de la DORA. Se enfoca en implementar medidas proactivas para reducir la probabilidad de interrupciones y fortalecer la resistencia de los sistemas que soportan los servicios. Esto implica la adopción de prácticas de ciberseguridad, el fortalecimiento de las redes de comunicación y el establecimiento de estándares de calidad para los proveedores de servicios.
En cuanto a la recuperación, la DORA establece que las organizaciones deben contar con planes sólidos para restaurar sus operaciones lo más rápido posible después de una interrupción o ante un evento que afecte a la información de nuestros clientes, evitando la pérdida o fuga de información. Esto implica la asignación de recursos adecuados y la coordinación efectiva entre los actores involucrados. La DORA también promueve la colaboración entre los diferentes sectores, fomentando la creación de asociaciones y la compartición de mejores prácticas.
Estos tres pilares deben construirse teniendo en cuenta dos elementos clave: los clientes y los proveedores. Los clientes son la base de cualquier organización y su confianza y satisfacción son vitales para cualquier entidad. Por ello, la adaptación a la DORA debe involucrar a los clientes y los servicios que se les ofrecen a la hora de planificar y responder ante situaciones de crisis. Esto implica comunicar de manera transparente los posibles riesgos y las medidas implementadas para garantizar la resiliencia operacional y la protección de sus datos, así como establecer canales de comunicación adecuados en caso de evento adverso.
Otro elemento clave en la resiliencia operacional es la gestión de los proveedores. Las entidades financieras recurren cada vez más a terceros en los que se externaliza parte o la totalidad de los servicios, con una especial tendencia a utilizar servicios en la nube. La DORA establece la necesidad de evaluar y seleccionar proveedores confiables y resistentes. Debemos, por tanto, evaluar su capacidad para hacer frente a situaciones de crisis, su historial de cumplimiento de estándares y la implementación de medidas de seguridad. La colaboración con los proveedores también es fundamental para establecer mecanismos de respuesta conjunta y garantizar la continuidad de las operaciones en caso de evento adverso.
Sin considerar estos dos aspectos, las entidades no podrán construir planes adecuados para garantizar la resiliencia operacional, pues estarían teniendo una visión parcial y limitada del entorno con el que se relacionan y obviando riesgos clave en el nuevo contexto tecnológico en el que se desenvuelven.
La Directiva DORA representa, por tanto, un paso más en el camino de las entidades financieras fortalecer sus infraestructuras tecnológicas y hacerlas más seguras y resilientes. En este escenario, el cliente aparece como elemento central de este proceso de cambio, debiendo enfocar todos los esfuerzos en garantizar que los servicios se prestan conforme a sus expectativas y en asegurar que sus datos se encuentran protegidos en todo momento y ante cualquier circunstancia.
