Póngase en contacto con
Ayuda
Inicio de sesión
Protección de datos como servicio
4 min leer

Implantación de DORA: lecciones de un CTO

Comenzar el camino hacia el cumplimiento de la Ley de Resiliencia Operativa Digital (DORA) puede ser desalentador, especialmente en las primeras etapas. Pål Myren, director de tecnología de ZTL Payments, compartió valiosas ideas sobre cómo superar los retos y lograr la aceptación de esta normativa crucial que transformará la gestión del riesgo digital en el sector financiero de la UE de aquí a 2025.

Escrito por
Andy Fernández
Publicado el
4 de septiembre de 2024
Compartir en redes sociales

A medida que las organizaciones se embarcan en su viaje hacia el cumplimiento de la Ley de Resiliencia Operativa Digital (DORA), muchas consideran que las fases iniciales de la puesta en marcha y la obtención de aceptación son las más difíciles.

Tuve la oportunidad de sentarme con Pål Myren, director de tecnología de ZTL Payments, que actualmente dirige su empresa a través de la implementación de DORA. Como ya contamos en nuestro blog, DORA es una normativa que transformará la gestión del riesgo digital en el sector financiero de la Unión Europea (UE). Aunque entró en vigor en enero de 2023, su aplicación está prevista para enero de 2025.  

En mi conversación con Pål, arrojó luz sobre el cumplimiento de la DORA y lo que las organizaciones pueden hacer para superar los retos.  

Andy: Pål, ¿podrías hablarnos un poco de ti y de tu trayectoria?

Pål: Soy el director de tecnología de una empresa noruega de tecnología de pago B2B, regulada por la FSA noruega, de ahí que nos centremos en el DORA. A lo largo de mi carrera, desde desarrollador de software hasta ocupar varios puestos de nivel C, siempre he estado relacionado de alguna manera con el cumplimiento y las certificaciones normativas.  

Andy: ¿Cuándo oyó hablar por primera vez de DORA y cuándo empezó su organización a prepararse para él?

Pål: Conocí el DORA hace dos años a través de la FSA noruega. Presentaron información de alto nivel antes de que se fijaran plazos reales. Dado que la actual normativa sobre las TIC en Noruega está obsoleta, ya era hora de revisarla.

Andy: ¿Cuál fue el primer paso que dieron como organización para iniciar el proceso de implantación del DORA?

Pål: El primer paso es entender de qué trata el DORA, leer los requisitos e identificar las similitudes con otras normativas o certificaciones. Tomé los cinco pilares establecidos en el marco y los puse en una hoja de cálculo. A continuación, tracé un mapa de lo que ya teníamos en marcha, ya fuera la gestión de incidentes, la recuperación en caso de catástrofe o los procedimientos de gestión de riesgos. Es importante tener en cuenta que se necesita la aprobación de la dirección, alguien del nivel C que entienda que esto es primordial para la empresa.  

Los cinco pilares fundamentales de DORA son:  

  • Gestión de riesgos de las TIC  
  • Notificación y respuesta a incidentes cibernéticos  
  • Pruebas de resistencia operativa  
  • Gestión de riesgos de terceros  
  • Intercambio de información  

Andy: ¿Cómo se compara el DORA con otros controles, mandatos o normativas que haya experimentado?

Pål: Hay muchas similitudes, y muchas de ellas son de sentido común si has trabajado en TI. Las principales áreas de atención que veo por parte de los reguladores son la ciberseguridad, dado el panorama geopolítico actual, y la gestión de proveedores, en particular la realización de evaluaciones de riesgos de las empresas o proveedores con los que se hace negocios.

Andy: ¿Cómo gestionó y fomentó la colaboración entre distintos departamentos durante la implantación del DORA?

Pål: La colaboración cruzada es probablemente el mayor reto en el proceso de adopción del DORA. La clave está en la aplicación: se pueden tener los mejores sistemas o procesos de calidad, pero si no se utilizan, no importan. Nos centramos en la concienciación y la formación. Organizamos reuniones con las principales partes interesadas, como jefes de departamento, niveles C, abogados y responsables de riesgos y cumplimiento, para hablar del marco. También realizamos ejercicios de simulación, como un ataque de ciberseguridad, para asegurarnos de que todos conocían sus responsabilidades.

Andy: ¿Algún consejo final para las organizaciones que acaban de iniciar su andadura en el DORA?

Pål: Hay que centrarse en la aplicación y en la implicación de las partes interesadas. Cuando se empieza a hablar de estos retos en todos los departamentos, no sólo se abordan los requisitos reglamentarios y financieros, sino que también cambia la cultura. Elimina la polarización y rompe las barreras entre divisiones. Conseguir que la gente colabore en incidentes o en la recuperación de catástrofes enfatiza el trabajo en equipo y derriba silos. Esa es una de las ventajas ocultas de implantar un marco como el DORA.

Nunca podré agradecer lo suficiente a Pål sus ideas, que ponen de relieve la importancia de la preparación, la colaboración y la aplicación práctica a la hora de cumplir la normativa DORA. Al centrarse en la concienciación, la formación y el fomento de la comunicación interdepartamental, las organizaciones no sólo pueden lograr el cumplimiento, sino también cosechar los beneficios ocultos de la mejora de la cultura y el trabajo en equipo. A medida que más empresas recorran este camino, el intercambio de experiencias y mejores prácticas será crucial para ayudar al sector a adaptarse a este nuevo panorama normativo.

Para más información:  

Shive Raja Headshot

Andy Fernández

Director de Gestión de Productos

Andy Fernandez es el Director de Gestión de Productos de HYCU, una empresa de Atlassian Ventures. Toda la carrera de Andy se ha centrado en la protección de datos y la recuperación ante desastres para aplicaciones críticas. Anteriormente ocupó puestos de producto y GTM en Zerto y Veeam, el enfoque de Andy ahora es asegurar que las organizaciones protejan las aplicaciones críticas SaaS y Cloud a través de ITSM y DevOps. Cuando no está trabajando en la protección de datos, a Andy le encanta asistir a conciertos en directo, encontrar los lugares locales para comer e ir a la playa.

También te puede gustar...

HYCU Extends Patented Application Awareness to SQL Databases in the Public Cloud

Protección de datos como servicio
Protección de datos como servicio
December 17, 2024

Reacción del Tifón Salado: El importante papel de la protección de datos para frenar el riesgo de terceros

Protección de datos como servicio
Protección de datos como servicio
16 de diciembre de 2024

Aprovechar el poder de las asociaciones: Cómo HYCU lidera la protección de datos

Protección de datos como servicio
Protección de datos como servicio
10 de diciembre de 2024

Experimente la plataforma de protección de datos SaaS número 1

Pruebe HYCU usted mismo y conviértase en un creyente.

Pruebe HYCU gratis
Solicitar una demostración
Plataforma HYCU
Visualizar con R-GraphConstruir sobre HYCU
Soluciones de protección de datos
Copias de seguridadMigración de datos y movilidadRecuperación ante desastresHíbrido y multi-nubeProtección contra ransomwareSeguridad y conformidadVer todas las tecnologías compatibles
Nube privada y centros de datos
NutanixNutanix MineDell PowerProtect Data DomainNetApp ONTAP
Como servicio
Google WorkspaceEntra IDVer todos
Aplicaciones y bases de datos
SAP HANAOracleVer todos
Empresa
LiderazgoConsejo de AdministraciónEmpleoSala de prensa
Programas globales de socios
Alianzas y socios tecnológicosProveedores de servicios gestionadosBuscar un distribuidorDistribuidoresReferenciasConviértase en socioRegistro de acuerdos
Comenzar
Prueba gratuitaSolicitar una demostración
Recursos
SoporteHistorias de clientesNuevo en HYCUBiblioteca de contenidosBlogWebinars y EventosCalculadora de ransomware y preparación
Siga
2024 HYCU. Todos los derechos reservados.
LegalCondiciones de usoPolítica de privacidadResponsable de privacidad