Es noticia
DORA: más allá del cumplimiento regulatorio para transformar nuestra organización
  1. Mercados
  2. Tribuna Mercados
Cotizalia

Tribuna Mercados

Por

DORA: más allá del cumplimiento regulatorio para transformar nuestra organización

DORA representa una oportunidad para que las organizaciones no solo cumplan con una normativa clave, sino para que también transformen sus modelos operativos

Foto: Tres banderas de la Unión Europea ondean frente a la sede de la Comisión Europea en Bruselas. (EFE/Julien Warnand)
Tres banderas de la Unión Europea ondean frente a la sede de la Comisión Europea en Bruselas. (EFE/Julien Warnand)

Hoy 17 de enero de 2025 marca un hito clave para el sector financiero: la aplicación efectiva del Reglamento de Resiliencia Operativa Digital (DORA). Este marco normativo llega en un momento de intensa digitalización y creciente dependencia de tecnologías avanzadas, factores que evidencian la necesidad de una mayor preparación de las empresas para afrontar los riesgos tecnológicos. Aunque las normativas suelen percibirse como cargas adicionales para las empresas, DORA ofrece beneficios que se materializan en garantizar que las entidades financieras y sus proveedores de tecnología puedan resistir, responder y recuperarse de interrupciones tecnológicas.

La aplicabilidad de DORA plantea un cambio de paradigma para las entidades financieras. La adaptación inicial a los requisitos regulatorios es solo el punto de partida. En adelante, las organizaciones deben adoptar un enfoque dinámico y proactivo hacia la resiliencia operativa, entendiendo que se trata de construir capacidades sostenibles que permitan anticipar y gestionar riesgos emergentes. Para ello, es fundamental que las entidades asuman un liderazgo en la gestión de su ecosistema tecnológico. Esto requiere reforzar sus controles internos y establecer relaciones más robustas con terceros, integrándolos en un modelo operativo resiliente. Asimismo, es clave que la cultura organizacional evolucione hacia un entendimiento profundo de los riesgos digitales, promoviendo una formación y concienciación robusta en los órganos de dirección y una colaboración transversal entre áreas de negocio y tecnología.

El futuro de la resiliencia operativa va más allá del cumplimiento normativo y está relacionado con el servicio al cliente y su calidad. Por este motivo, las organizaciones deben implementar estrategias integrales que fortalezcan su capacidad de adaptación y respuesta frente a un entorno tecnológico en constante cambio. Para ello, es importante poner en marcha estas seis medidas. En primer lugar, es necesario desarrollar marcos de gestión de riesgos más sofisticados, respaldados por tecnologías emergentes. Estas herramientas permiten detectar patrones de comportamiento anómalos o vulnerabilidades antes de convertirse en incidentes críticos. Además, estos sistemas pueden automatizar procesos clave de análisis y respuesta, mejorando la eficiencia operativa y reduciendo los tiempos de reacción ante potenciales amenazas. Por ejemplo, la implementación de dashboards avanzados que integren datos en tiempo real sobre riesgos permite una toma de decisiones más ágil y fundamentada.

La colaboración también será esencial en este nuevo escenario. Las entidades financieras deberán establecer vínculos más estrechos con organismos reguladores y otros actores clave del sector para intercambiar información sobre ciber amenazas y mejores prácticas. Estas alianzas estratégicas fortalecen la seguridad colectiva y fomentan la innovación colaborativa en la lucha contra los riesgos emergentes. Un ejemplo clave es la creación de redes compartidas para la monitorización de amenazas, donde las instituciones accedan a inteligencia en tiempo real sobre ataques potenciales. Además, el establecimiento de protocolos estandarizados de comunicación entre entidades financieras y proveedores podría acelerar la respuesta ante incidentes, minimizando su impacto. Finalmente, iniciativas como foros sectoriales o grupos de trabajo pueden ser importantes en la generación de estrategias comunes frente a riesgos globales, promoviendo una gestión del riesgo más unificada y efectiva, siendo crítica la aportación activa de los organismos supervisores y reguladores.

Foto: (Deloitte)

Como tercera medida, las organizaciones necesitan crear órganos internos especializados en resiliencia digital. Estos equipos multidisciplinares deberán encargarse de supervisar el cumplimiento regulatorio y de liderar iniciativas que impulsen la transformación digital. Su función contribuirá al diseño e implementación de estrategias tecnológicas alineadas con los objetivos de negocio. Además, estos órganos pueden actuar como nexo entre los equipos técnicos y las unidades de negocio, garantizando que las decisiones tecnológicas estén alineadas con las metas estratégicas de la organización, todo ello siempre bajo el liderazgo y con el soporte del consejo de administración y los órganos directivos, que en este punto deben ser un ejemplo de “tone from the top”.

Una cuarta medida clave es la inversión en pruebas regulares y simulaciones avanzadas. Estas actividades tienen que ser una herramienta para identificar debilidades estructurales que requieran atención inmediata. Diseñar escenarios realistas y desafiantes ayuda a las organizaciones a mejorar continuamente sus planes de contingencia y fortalecer su preparación frente a eventos disruptivos. Por ejemplo, simulaciones de ataques cibernéticos altamente sofisticados pueden revelar vulnerabilidades ocultas en infraestructuras críticas, mientras que ejercicios de interrupción de la cadena de suministro podrían ayudar a preparar respuestas más efectivas ante crisis reales.

En quinto lugar, resulta esencial que las entidades financieras reconfiguren, al menos parcialmente, sus sistemas de interacción con sus proveedores de tecnología, especialmente si dan soporte a servicios esenciales. En muchos casos, las debilidades provienen de esa cadena de proveedores y subcontratistas, por lo que las entidades tienen que fortalecer sus procesos de habilitación y certificación de proveedores y, en especial, llevar a cabo actualizaciones periódicas y frecuentes de los términos contractuales y de niveles de servicio, de forma que las medidas contractuales evolucionen de la mano de la tecnología disponible en el mercado, consiguiendo que las entidades estén adecuadamente protegidas contra ese riesgo de terceros.

Es el momento de pasar de la reacción a la acción

Por último, cerrando este conjunto de medidas a aplicar, las organizaciones deben adoptar una perspectiva holística, en la que la resiliencia operativa sea un componente central de su estrategia empresarial. Esto significa integrar la gestión de riesgos digitales en el proceso de toma de decisiones estratégicas y asegurarse de que cada inversión en tecnología contribuya tanto a la sostenibilidad como a la competitividad del negocio. Este enfoque también requiere la implicación activa del liderazgo ejecutivo, asegurando que la resiliencia sea una prioridad transversal en toda la organización.

DORA representa una oportunidad para que las organizaciones no solo cumplan con una normativa clave, sino para que también transformen sus modelos operativos y que evolucionen hacia una resiliencia digital sostenible. El camino no está exento de retos, pero con una planificación estratégica y un compromiso claro, las empresas pueden convertir estos desafíos en una ventaja competitiva diferencial y beneficiosa para sus clientes.

La pregunta ya no es ¿qué debemos hacer para cumplir con DORA?, sino ¿cómo podemos aprovechar el cumplimiento regulatorio para transformar nuestra organización y fortalecer nuestra posición frente a un futuro digital incierto? Es el momento de pasar de la reacción a la acción, liderando con resiliencia y anticipación.

*Micael Gesto, Socio de Tecnología y Transformación de Deloitte y Francisco Javier Ramírez Arbués, Socio de Regulación Financiera de Deloitte Legal.

Hoy 17 de enero de 2025 marca un hito clave para el sector financiero: la aplicación efectiva del Reglamento de Resiliencia Operativa Digital (DORA). Este marco normativo llega en un momento de intensa digitalización y creciente dependencia de tecnologías avanzadas, factores que evidencian la necesidad de una mayor preparación de las empresas para afrontar los riesgos tecnológicos. Aunque las normativas suelen percibirse como cargas adicionales para las empresas, DORA ofrece beneficios que se materializan en garantizar que las entidades financieras y sus proveedores de tecnología puedan resistir, responder y recuperarse de interrupciones tecnológicas.

Comisión Europea Tecnología Transformación digital
El redactor recomienda