Introducción
La Ley de Resiliencia Operativa Digital (DORA, por sus siglas en inglés) es una normativa propuesta por la Unión Europea que describe los requisitos que deben cumplir los contribuyentes del mercado financiero. Abarcando desde la gestión de riesgos hasta la ciberseguridad, la DORA tiene como objetivo garantizar la resiliencia operativa digital de estas empresas. Un segmento notable de esta ley son sus estipulaciones sobre las pruebas de resiliencia, una actividad fundamental en el proceso de gestión de riesgos. Este artículo presenta una exploración exhaustiva de los requisitos que impone la DORA para las pruebas de resiliencia.
Entendiendo la perspectiva de DORA sobre las pruebas de resiliencia
Las pruebas de resiliencia en el marco de DORA no se limitan a evaluar la solidez del hardware o la estabilidad de las aplicaciones, sino que abarcan todos los mecanismos y procedimientos que una empresa financiera debe implementar para prevenir, soportar y responder de manera eficaz a cualquier posible perturbación relacionada con las TIC.
Estos riesgos pueden originarse dentro o fuera de la organización y pueden tomar la forma de ataques cibernéticos, fallas de red, corrupción o pérdida de datos e incluso desastres naturales. En consecuencia, las pruebas de resiliencia de DORA mantienen un alcance integral, reconociendo la interconexión de las estructuras y sistemas digitales de las empresas modernas y las amenazas multifacéticas a las que se enfrentan.
Requisitos clave para las pruebas de resiliencia según DORA
De acuerdo con DORA, cualquier servicio, proceso o acción de TIC que sea crítico para la función operativa de una empresa debe ser sometido a pruebas de resiliencia de manera continua. Se recomiendan y exigen procesos específicos para garantizar pruebas de resiliencia integrales.
1. Evaluación de riesgos: El primer paso consiste en identificar y evaluar las posibles amenazas y vulnerabilidades que pueden afectar negativamente a los sistemas o servicios de TIC. Este paso no debe ser estático, sino que debe realizarse una reevaluación periódica o cada vez que se produzca un cambio significativo en el sistema o el entorno.
2. Estrategias de prueba de resiliencia: A continuación, las organizaciones deben desarrollar e implementar estrategias de prueba de resiliencia. El enfoque debe centrarse en escenarios que podrían causar graves trastornos comerciales y detallar las estrategias para mitigar o protegerse contra esos escenarios. Las estrategias deben ser elaboradas, abarcar todas las capas de la arquitectura digital de la empresa y deben incluir la participación de proveedores de servicios externos cuando sea necesario.
3. Pruebas periódicas: DORA exige pruebas de resiliencia periódicas. La frecuencia debe decidirse en función del nivel de riesgo, aunque se recomienda realizar al menos una evaluación de riesgos de las TIC anual y pruebas de resiliencia estructuradas periódicas.
4. Mantenimiento de registros: Se deben mantener registros detallados de cada prueba de resiliencia, garantizando que las metodologías, escenarios, supuestos, resultados y decisiones posteriores estén documentados de forma exhaustiva.
5. Pistas de auditoría e informes reglamentarios: La DORA estipula que se deben mantener registros de auditoría claros para cada prueba. Además, se espera que se presenten informes periódicos a los organismos reguladores pertinentes. Los informes deben incluir una ilustración completa del estado de salud de la resiliencia operativa de la organización.
Participación de terceros en las pruebas de resiliencia
DORA también reconoce el papel de los proveedores de servicios externos en el sistema de TIC de las entidades financieras, por lo que también les extiende los requisitos de pruebas de resiliencia. Esto incluye servicios basados en la nube, ofertas de software como servicio (SaaS) o cualquier otro producto o sistema de TIC desarrollado o mantenido por un tercero.
Conclusión
El reglamento DORA de la UE aporta una mejora significativa a la resiliencia digital de las entidades del sector financiero al hacer que las pruebas de resiliencia sean un requisito no opcional para todos los sistemas y servicios de TIC. A través de su enfoque integral de la gestión de riesgos de las TIC y el escrutinio detallado de las pruebas de resiliencia, DORA mejora no solo la seguridad de las empresas individuales sino del sistema financiero en su conjunto. Por supuesto, la implementación de los requisitos requiere altos niveles de compromiso, recursos y estrategias sólidas. Sin embargo, en un entorno empresarial cada vez más digitalizado y cargado de amenazas cibernéticas, las pruebas de resiliencia son una necesidad ineludible, un aspecto que DORA enfatiza de manera efectiva.
