Cumplir con DORA: la coreografía de transacciones digitales potencia la resiliencia financiera
La Regulación DORA (Digital Operational Resilience Act o Ley de resiliencia operativa digital) ha sido creada con el objetivo de fortalecer la resiliencia operativa digital de las empresas financieras, asegurando que puedan continuar sus operaciones críticas incluso ante interrupciones tecnológicas o ciberataques.
E
sta normativa exige que las entidades financieras gestionen de manera proactiva los riesgos asociados a la tecnología, estableciendo controles rigurosos sobre los sistemas de información y los proveedores externos de servicios tecnológicos en los que confían.
DORA impulsa la aparición de estrategias audaces que ofrezcan la confianza que el sector financiero necesita. Es aquí donde procede hablar de la coreografía de transacciones seguras. Los coreógrafos de transacciones permiten coordinar y monitorear múltiples operaciones tecnológicas de manera fluida y segura, reduciendo el riesgo de fallos y mejorando la respuesta ante posibles incidentes. Estas soluciones son esenciales para garantizar que las empresas puedan cumplir con las estrictas exigencias de DORA, asegurando la continuidad operativa y la integridad de sus transacciones digitales.
Beneficios de la coreografía de transacciones para el cumplimiento de DORA
- En tiempo real. Un coreógrafo de transacciones asegura que las operaciones sean ejecutadas de manera coordinada y supervisada en tiempo real. Esto es fundamental para evitar fallos operativos y proteger la integridad de las transacciones frente a amenazas cibernéticas. Los coreógrafos monitorizan constantemente los flujos de transacciones, detectando y corrigiendo cualquier anomalía o desviación que pudiera poner en riesgo la seguridad de la operación. Esto reduce considerablemente la exposición a ataques como la suplantación de identidad o la intervención no autorizada, lo que es clave para cumplir con las exigencias de resiliencia operativa que establece DORA.
- Reducción de riesgos. La gestión de riesgos operativos es un pilar central en DORA, y los coreógrafos facilitan este proceso al garantizar que todas las partes involucradas en una transacción operen de manera sincronizada. Los errores humanos o tecnológicos que podrían comprometer las operaciones se minimizan gracias a la capacidad del coreógrafo de gestionar múltiples proveedores de tecnología y coordinar sus acciones. Esto resulta en una mayor estabilidad y confianza en las transacciones, ya que se elimina el riesgo de fallos debido a errores de coordinación entre sistemas.
- Trazabilidad y monitoreo continuo. Otro aspecto clave para el cumplimiento de DORA es la capacidad de proporcionar un registro completo y auditable de todas las transacciones. Los coreógrafos permiten realizar un seguimiento detallado de cada operación, ofreciendo una trazabilidad que resulta esencial para auditorías internas y externas. Este nivel de transparencia es crítico para demostrar el cumplimiento normativo y permite a las empresas responder rápidamente ante cualquier solicitud de revisión de sus transacciones por parte de las autoridades regulatorias.
- Mejora en la resiliencia operativa. La resiliencia operativa es el principal objetivo de DORA, y los coreógrafos de transacciones digitales seguras contribuyen directamente a alcanzarlo. Estos sistemas aseguran que las transacciones puedan continuar sin interrupciones, incluso frente a problemas técnicos o ataques externos. Si un proveedor de tecnología sufre una interrupción, el coreógrafo puede redirigir las operaciones a otros sistemas o proveedores, garantizando la continuidad del servicio. Esto mejora la capacidad de las empresas para mantenerse operativas ante cualquier contingencia, cumpliendo así con uno de los aspectos más importantes de la normativa DORA.
Relaciones con proveedores de servicios tecnológicos según DORA
DORA se refiere específicamente en su artículo 6.9 a cómo las entidades financieras deben manejar su relación con proveedores externos de servicios tecnológicos.
Las empresas financieras pueden, no es una obligación, crear una estrategia que use varios proveedores de tecnología. Esto significa que pueden trabajar con diferentes empresas que les proporcionen servicios tecnológicos, pero deben hacer lo siguiente:
- Tener una visión completa: Deben tener una estrategia que abarque todos los proveedores con los que trabajan, es decir, tener una visión global (holística) de todos los proveedores de tecnología involucrados.
- Mostrar las dependencias clave: Deben identificar y explicar cuáles son los proveedores más importantes y de los que dependen más para sus operaciones tecnológicas.
- Justificar la combinación de proveedores: La empresa debe explicar por qué eligió esa mezcla de proveedores tecnológicos. Es decir, deben dar razones claras de por qué eligieron a ciertos proveedores y cómo eso ayuda a mejorar su resiliencia digital.
Esto es importante para gestionar los riesgos que pueden venir de depender demasiado de uno o pocos proveedores de tecnología, asegurando que, si uno falla, las operaciones de la empresa no se vean afectadas gravemente.
Un coreógrafo de transacciones digitales con un solo Acuerdo de Nivel de Servicio bien definido actúa como un facilitador crucial para asegurar que las relaciones con múltiples proveedores se gestionen de forma eficiente y coordinada. El Acuerdo debe establecer expectativas claras sobre el rendimiento, la disponibilidad y los tiempos de respuesta de cada proveedor, lo que permite que la empresa tenga un control total sobre el comportamiento de cada actor dentro de su ecosistema digital.
Si un proveedor no cumple con sus obligaciones, el sistema de coreografía puede escalar el problema rápidamente y redirigir las operaciones a otro proveedor que esté disponible. Esto minimiza interrupciones y garantiza la resiliencia operativa, tal como exige DORA.
Gestión de riesgos de proveedores tecnológicos
De acuerdo con las obligaciones establecidas en DORA, las entidades financieras deben desarrollar una estrategia clara de gestión de riesgos en relación con sus proveedores externos de tecnología, especialmente cuando estos servicios son críticos o importantes para las operaciones.
Uno de los aspectos fundamentales dentro de la gestión de riesgos es identificar qué funciones tecnológicas proporcionadas por terceros son críticas o importantes para la operación. Por ejemplo, una solución de onboarding digital puede considerarse crítica, ya que es esencial para la seguridad y la operatividad de la empresa. Un coreógrafo de transacciones digitales puede ayudar a gestionar este tipo de soluciones críticas al garantizar que el proceso de onboarding se realice de manera segura y coordinada, manteniendo el control sobre las transacciones y evitando vulnerabilidades que puedan surgir al depender de múltiples proveedores.
Al tener el coreógrafo gestionando el flujo de estas interacciones, la empresa puede asegurar que la autenticación de usuarios y la verificación de identidad se realicen sin problemas, incluso si se utilizan varios proveedores tecnológicos.
Dentro de la estrategia de gestión de riesgos, DORA sugiere que las entidades financieras consideren el uso de proveedores alternativos o de respaldo para garantizar la continuidad del servicio en caso de que el proveedor principal falle. Por ejemplo, si una empresa depende de un proveedor para la lectura óptica de caracteres (OCR) o la firma digital, el coreógrafo puede activar un proveedor de respaldo en caso de fallo. Esto asegura que las transacciones continúen de manera fluida, sin que los usuarios finales o la operativa del negocio se vean afectados.
Si uno de los proveedores externos que soporta funciones críticas, como las mencionadas anteriormente, sufre una interrupción, el coreógrafo puede redirigir automáticamente las transacciones a un proveedor de respaldo sin interrumpir la operación ni comprometer la seguridad de los datos.
Cumplimiento contractual según DORA
La Regulación DORA exige que las entidades financieras tengan un plan claro para gestionar los contratos con sus proveedores tecnológicos, asegurando que puedan terminar estos contratos en caso de fallos críticos, sin afectar la continuidad de los servicios. El coreógrafo de transacciones digitales ofrece ventajas clave, ya que puede desempeñar un rol crucial en los planes de contingencia y la diversificación de proveedores.
Una de las exigencias de DORA es que las entidades financieras cuenten con estrategias de salida que les permitan desvincularse de un proveedor en situaciones de incumplimiento o problemas graves de seguridad, sin interrumpir las funciones críticas. Un coreógrafo puede operar como un operador alternativo planificado dentro de estos planes de contingencia, asegurando que las transacciones y servicios críticos puedan continuar sin problemas, incluso cuando el proveedor principal falla o es retirado.
En caso de que un proveedor no cumpla con los Acuerdos de Nivel de Servicio o presente fallos que pongan en riesgo la disponibilidad o integridad de los datos, el coreógrafo puede redirigir las operaciones a otros sistemas o proveedores previamente integrados.
La diversificación de proveedores es una estrategia clave para reducir riesgos y evitar la dependencia de un solo proveedor de servicios tecnológicos, como exige DORA. Por ejemplo, en el caso de soluciones de videoidentificación, el coreógrafo puede integrar y gestionar múltiples proveedores, lo que asegura que, si uno de ellos falla, las transacciones críticas aún puedan llevarse a cabo sin interrupciones.
Este enfoque justifica la utilización de varios proveedores para funciones críticas como la videoidentificación, ofreciendo una mayor flexibilidad y protección ante posibles fallos operativos. Al diversificar los proveedores, las entidades financieras reducen la probabilidad de un único punto de fallo, alineándose con las exigencias de DORA sobre la necesidad de garantizar la continuidad y calidad de los servicios críticos.
Las entidades financieras que implementen soluciones de coreografía estarán mejor equipadas para enfrentar retos como el cumplimiento de nuevas normativas, DORA entre ellas, fortaleciendo su resiliencia ante interrupciones o amenazas y ofreciendo servicios más completos y confiables a la ciudadanía.
Descubre cómo TrustCloud te ayuda a cumplir con DORA