Shreeji Doshi trabaja con nuestro equipo de asesoría cibernética como director de gobierno, riesgo y cumplimiento, y es miembro asociado de la Coalición de Seguridad Cibernética de Bélgica. Como parte de la serie de podcasts DORA Talks, Shreeji ha hablado con expertos de todo Thomas Murray sobre el impacto de la Ley de Resiliencia Operativa Digital de la UE (DORA).
Este artículo se basa en la transcripción de la entrevista de Shreeji con Kevin Groves. Kev es director de nuestro equipo de Riesgo Cibernético. En el episodio, Kev entrevistó a Shreeji sobre lo que los reguladores de la UE esperan lograr con DORA y qué pueden esperar las entidades afectadas que DORA les exija, tanto a nivel regulatorio como en términos de tiempo, recursos y capacidades de software.
Kevin Groves
En primer lugar, me gustaría conocer tu opinión sobre DORA en general y darnos un poco de contexto sobre por qué DORA y por qué ahora.
Shreeji Doshi
Creo que es un buen punto para empezar. Bueno, el viaje comenzó en 2020 con la Comisión Europea publicando una propuesta como parte de un paquete de finanzas digitales más amplio. Y la necesidad de ello fue bastante evidente. Fue porque los ataques cibernéticos estaban en aumento y tenían efectos en cascada sobre todos.
Es muy agradable ver a un regulador tomando nota de ello y actuando en consecuencia. En mi opinión personal, es un poco tarde, pero al menos ha sucedido. El objetivo se revela por el nombre de la Ley de manera bastante acertada. Habla sobre la resiliencia operativa, por lo que "Ley de Resiliencia Operativa Digital" - es un nombre bastante apropiado: para asegurar la resiliencia dentro de la industria financiera contra el panorama de amenazas digitales y cibernéticas en evolución.
Kevin Groves
¿Quién se ve afectado por la nueva regulación?
Shreeji Doshi
Esto es algo que me encanta de esta regulación específica. Típicamente, se sabe que la industria financiera está muy regulada, pero la acción de supervisión estaba centrada en grandes bancos, bancos sistemáticamente importantes, jugadores de seguros, FMIs, estaban fuertemente regulados por bancos centrales centrales y nacionales.
Ahora, lo que está haciendo DORA es ampliar esta red a una serie de otros jugadores de la industria en los servicios financieros. Ya no se trata solo de bancos o seguros. Va a fondos de pensiones, va a fondos de inversión, incluso a proveedores de servicios de financiación colectiva. Así que está ampliando ese alcance, lo que creo que era necesario y han actuado bien al respecto.
Kevin Groves
Solo para describir los principales requisitos que DORA ha establecido para estas entidades, ¿puedes profundizar un poco más en eso?
Shreeji Doshi
Claro. Pero antes de entrar en eso, creo que hay un aspecto de los dos primeros puntos que discutimos sobre el alcance y los objetivos. Creo que los requisitos que están en la regulación son un extremo de eso, que lo que quieren hacer es armonizar cómo cada una de estas organizaciones, independientemente del tamaño, gestionan el riesgo de manera consistente.
Entonces, es prescriptivo en cuanto a lo que las organizaciones deben hacer desde el punto de vista de la gestión de riesgos. Está estableciendo marcos, estableciendo gobernanza, estableciendo requisitos en torno a la protección, detección, identificación, respuesta y recuperación. Está yendo a ese nivel de detalle, pero está armonizado, lo que significa que todos adoptarían prácticas más o menos similares, es decir, gobernando los requisitos que están dentro de la regulación de DORA.
También hay algunos nuevos pequeños que ya han simplificado el marco de gestión de riesgos para nosotros, un subconjunto muy pequeño de organizaciones. Pero aparte de eso, todo debe suceder de manera armonizada en todas estas organizaciones de las que he hablado. Entonces ha proporcionado requisitos obligatorios en cuatro áreas, que se refieren al marco de gestión de riesgos de TIC.
Luego hay elementos en torno a la gestión de incidentes, por lo que la gestión y la notificación de incidentes relacionados con las tecnologías de la información y la comunicación (TIC). Hay también pruebas de resiliencia operativa digital, que se trata más de pruebas técnicas y gestión de riesgos de terceros (GRTIC). Hay requisitos obligatorios. Y luego, de manera voluntaria, también hay requisitos en torno al intercambio de información. Y si profundizas un nivel más en cada uno de estos cuatro pilares por ahora sobre el marco de gestión de riesgos de TIC, lo que está impulsando el regulador es que todas estas organizaciones necesitan establecer algún tipo de gobernanza donde un cuerpo de gestión debe delegar la autoridad de administrar el riesgo de TIC, junto con el establecimiento de un marco de gestión de riesgos que es bastante holístico, cubre todas las áreas de ciberseguridad, toda la seguridad de la información, todo el riesgo de TIC.
Y debe haber algún elemento de aprendizaje, evolución y mejoras continuas en torno a esto, lo que es genial. Sobre la gestión y notificación de incidentes, tendremos una sesión separada sobre eso, pero está proporcionando requisitos sobre cuáles son las diversas formas en que su organización necesita clasificar un incidente de TIC y cuáles son los umbrales de notificación de un incidente importante.
Es bastante prescriptivo en ese sentido sobre las pruebas de resiliencia operativa digital. Está obligando a las organizaciones a realizar pruebas técnicas, como pruebas de penetración dirigidas por amenazas, que hasta cierto punto se implementaron para trabajar dentro del sector bancario. Pero ahora, el alcance es mucho más amplio. Luego, en el marco de GRTIC, hay tantos requisitos prescriptivos que vienen en torno a qué tipo de proceso contractual estándar tienes, qué tipo de riesgo evalúas desde un punto de vista de terceros o riesgo relacionado con la concentración.
Es bastante holístico. Es tan bueno ver un enfoque regulatorio donde hay requisitos tan prescriptivos en todos estos temas.
Kevin Groves
Y supongo que los plazos para esto se están acercando bastante rápido, menos de un año ahora hasta enero del '25 para la implementación. ¿Alguna idea sobre los tipos de medidas de aplicación que se implementarán después del 17 de enero del '25?
Shreeji Doshi
La regulación ofrece mecanismos de supervisión que pueden ser impuestos, que podrían ser de naturaleza financiera, como multas administrativas. Podría haber reprensiones públicas, podría haber un impulso para resolver ciertos problemas o brechas identificados por el regulador. También podría haber compensación por cualquier pérdida sufrida por los clientes que pueda atribuirse directamente a la falta de cumplimiento.
Entonces, hay un elemento de múltiples palancas que la regulación ha ofrecido a las autoridades competentes desde un punto de vista de mecanismo de supervisión.
Kevin Groves
Entendido. Y has mencionado una evaluación de brechas. ¿Puedes describir, ya sabes, nuestro enfoque para realizar una evaluación de brechas en nombre de las organizaciones?
Shreeji Doshi
Sí, creo que cada organización, si quiere hacer una evaluación de brechas del viaje de cumplimiento, esa sería la primera etapa ya que es obvio.
Básicamente, se trata de mirar la regulación y convertirla en un cuestionario. Usando este cuestionario, las organizaciones pueden realizar una autoevaluación de cierto tipo, y luego compararse en qué medida están alejadas del cumplimiento. O podría haber organizaciones que podrían tomar servicios donde haya algún elemento de apoyo en torno a la realización de entrevistas, identificación de brechas, documentación y proporcionar un viaje completo de cumplimiento.
Este enfoque sería más útil, porque obtendría una vista externa y creo que proporcionaría seguridad al negocio en general de que la organización está tomando las medidas correctas desde el punto de vista del cumplimiento. Por lo tanto, podría haber múltiples formas en las que las organizaciones podrían llevar a cabo esta evaluación de brechas.
Kevin Groves
Bien. Y supongo que en las evaluaciones de brechas de Thomas Murray, los resultados y entregables de eso serían, en última instancia, una hoja de ruta de cumplimiento.
¿Cuáles serían las principales formas en que Thomas Murray podría apoyar a una organización con ese proceso de cumplimiento continuo?
Shreeji Doshi
Donde Thomas Murray podría apoyar es en múltiples aspectos, creo que todos los requisitos que están dentro de DORA. Tenemos competencia interna a nivel tecnológico. Si desea realizar una evaluación de riesgos o realizar evaluaciones de terceros, tenemos una plataforma tecnológica que lo admite.
Tenemos competencia interna para realizar respuestas a incidentes y contamos con personas experimentadas que han estado en respuesta a incidentes durante mucho tiempo, y pueden ayudar a las organizaciones a mejorar sus procesos o ayudar a las organizaciones a responder a un incidente que están enfrentando.
En el lado de las pruebas, tenemos la competencia para realizar esas pruebas que requiere la regulación. En general, ofrecemos servicios de consultoría para ayudar a las organizaciones en el viaje de cumplimiento.
Por lo tanto, podemos ofrecer a las personas mayores asesoramiento sobre cada uno de estos requisitos inicialmente.
Kevin Groves
Excelente. Por lo tanto, realmente ayudamos con la preparación, supervisando y gestionando el enfoque general, y luego, obviamente, apoyando a esas organizaciones para mejorar y optimizar cualquiera de sus marcos de control y así sucesivamente.
Kevin Groves
¿Cómo tomarán la mayoría de las entidades afectadas por DORA esto desde una perspectiva de inversión?
¿Cuánto tiempo, esfuerzo, recursos y capacidad de software se requerirán?
Shreeji Doshi
Hay ciertas organizaciones bastante maduras en la escala de seguridad mayoritaria, y ya han realizado una evaluación de brechas de DORA. Tienen un programa completo de nueve meses desde el punto de vista del cumplimiento. Entonces, si una organización madura está tomando medidas para tener un viaje de cumplimiento que dure nueve meses, creo que es seguro decir que la mayoría de las organizaciones necesitarían encontrar inversión.
Hay tantos requisitos en DORA que pueden requerir rehacer los procesos que ya tienes, lo que significa que necesitas capacitar a las personas, necesitas tener en cuenta un elemento de gestión del cambio. Por lo tanto, la inversión en tiempo, recursos, todo eso debe tenerse en cuenta, junto con el trabajo BAU que crea los desafíos habituales.
Y hay ciertos requisitos que incluso podrían justificar obtener capacidades de software adicionales. Sabes, si tienes que gestionar terceros de manera consistente, si tienes que registrar riesgos e informarlos, es posible que no quieras hacerlo en una hoja de cálculo o con una solución ad hoc.
Entonces, podría requerir que las organizaciones inviertan en múltiples frentes que se derivarán de una evaluación de brechas, que sería la piedra angular de todo.
Kevin Groves
Esa iba a ser mi próxima pregunta, de hecho. Creo que realizar esa evaluación inicial de brechas es donde en última instancia vas a sacar los requisitos futuros y tener una comprensión mucho más clara y mejor. Brillante. Bueno, gracias Shreeji.
Shreeji Doshi
¡Súper! ¡Gracias, Kev!
¿Estás listo para DORA?
Utilice nuestro kit de herramientas de preparación gratuito y fácil de seguir para determinar qué tan cerca está su organización de cumplir con todos los requisitos de la Ley de Resiliencia Operativa Digital (DORA). Una vez completado, le enviaremos un informe gratuito que describe qué tan preparado está para DORA. Puede utilizar nuestros resultados para crear un plan de acción para lograr el cumplimiento antes del 17 de enero de 2025.