Implantación de DORA: Lecciones de un CTO
A medida que las organizaciones se embarcan en su viaje hacia el cumplimiento de la Ley de Resiliencia Operativa Digital (DORA), muchas encuentran que las etapas iniciales de puesta en marcha y obtención de la aceptación son las más desafiantes.
Tuve la oportunidad de sentarme con Pål Myren, CTO de ZTL Payments, que actualmente dirige su empresa a través de la implementación de la DORA. Como ya compartimos anteriormente en nuestro blog, DORA es una normativa destinada a transformar la gestión del riesgo digital en el sector financiero de la Unión Europea (UE). Aunque entró en vigor en enero de 2023, su aplicación está prevista para enero de 2025.
En mi conversación con Pål, arrojó luz sobre cómo cumplir con DORA y qué pueden hacer las organizaciones para superar los retos.
Andy: Pål, ¿podría hablarnos un poco de usted y de su trayectoria?
Pål: Soy el CTO de una startup noruega de tecnología de pago B2B, regulada por la FSA noruega, de ahí que nos centremos en el DORA. A lo largo de mi carrera, desde desarrollador de software hasta ocupar varios puestos de nivel C, siempre he estado relacionado de alguna manera con el cumplimiento y las atestaciones o certificaciones reglamentarias.
Andy: ¿Cuándo oyó hablar por primera vez del DORA y cuándo empezó su organización a prepararse para él?
Pål: La primera vez que oí hablar del DORA fue hace dos años a través de la FSA noruega. Presentaron alguna información de alto nivel antes de que se fijara realmente ningún plazo. Dado que la actual normativa sobre las TIC en Noruega está obsoleta, era algo que se había retrasado y un buen momento para revisarla.
Andy: ¿Cuál fue el primer paso que dieron como organización para iniciar el proceso de implantación del DORA?
Pål: El primer paso es entender de qué trata el DORA, leer los requisitos e identificar las similitudes con otras normativas o certificaciones. Tomé los cinco pilares enunciados en el marco y los puse en una hoja de cálculo. Después, tracé un mapa de lo que ya teníamos en marcha, ya fuera la gestión de incidentes, la recuperación en caso de catástrofe o los procedimientos de gestión de riesgos. Es importante tener en cuenta que necesita la aprobación de la dirección, alguien en el nivel C que entienda que esto es primordial para su empresa.
Los cinco pilares clave de DORA son:
- Gestión de riesgos informáticos
- Notificación y respuesta ante incidentes cibernéticos
- Pruebas de resistencia operativa
- Gestión de riesgos de terceros
- Información compartida
Andy: ¿Cómo se compara DORA con otros controles, mandatos o normativas que haya experimentado?
Pål: Hay muchas similitudes, y muchas de ellas son de sentido común si se ha trabajado en TI. Las principales áreas de atención que veo por parte de los reguladores son la ciberseguridad, dado el panorama geopolítico actual, y la gestión de proveedores, en particular la realización de evaluaciones de riesgos de las empresas o proveedores con los que se hace negocios.
Andy: ¿Cómo gestionó y fomentó la colaboración cruzada entre los diferentes departamentos durante la implementación del DORA?
Pål: La colaboración cruzada es probablemente el mayor reto en el proceso de adopción del DORA. La clave es la implantación: se pueden tener los mejores sistemas o procesos de calidad, pero si no se utilizan, no importan. Nos centramos en la sensibilización y la formación. Organizamos reuniones con las principales partes interesadas, como jefes de departamento, niveles C, abogados y responsables de riesgos y cumplimiento, para hablar del marco. También realizamos ejercicios de juegos de rol, como la simulación de un ataque de ciberseguridad, para asegurarnos de que todo el mundo conocía sus responsabilidades.
Andy: ¿Algún consejo final para las organizaciones que acaban de iniciar su andadura en el DORA?
Pål: Céntrese en la implementación y en conseguir que las partes interesadas se comprometan. Cuando se empieza a hablar de estos retos de forma interdepartamental, no sólo se abordan los requisitos normativos y financieros, sino que también se cambia la cultura. Elimina la polarización y rompe las barreras entre divisiones. Conseguir que la gente colabore en los incidentes o en la recuperación de desastres enfatiza el trabajo en equipo y derriba los silos. Ése es uno de los beneficios ocultos de implantar un marco como el DORA.
No puedo agradecérselo lo suficiente a Pål, ya que sus ideas ponen de relieve la importancia de la preparación, la colaboración y la aplicación práctica a la hora de embarcarse en el cumplimiento del DORA. Al centrarse en la concienciación, la formación y el fomento de la comunicación interdepartamental, las organizaciones no sólo pueden lograr el cumplimiento, sino también cosechar los beneficios ocultos de la mejora de la cultura y el trabajo en equipo. A medida que más empresas recorran este camino, el intercambio de experiencias y mejores prácticas será crucial para ayudar al sector a adaptarse a este nuevo panorama normativo.
Más información:
Andy Fernandez es el Director de Gestión de Productos de HYCU, una empresa de Atlassian Ventures. Toda la carrera de Andy se ha centrado en la protección de datos y la recuperación ante desastres para aplicaciones críticas. Anteriormente ocupó puestos de producto y GTM en Zerto y Veeam, el enfoque de Andy ahora es asegurar que las organizaciones protejan las aplicaciones críticas SaaS y Cloud a través de ITSM y DevOps. Cuando no está trabajando en la protección de datos, a Andy le encanta asistir a conciertos en directo, encontrar los lugares locales para comer e ir a la playa.
Obtenga las últimas novedades y actualizaciones
Gracias por enviar el formulario!
El archivo debería abrirse en una nueva pestaña. Si no es así, haga clic en el botón de abajo para descargarlo directamente.
Gracias por enviar el formulario!
Ya está disponible el vídeo del seminario web.