La ley de resiliencia operativa digital (o DORA, por sus siglas en inglés), dirigida al sector financiero y a sus proveedores de servicios, debe entrar en vigor a más tardar el 17 de enero de 2025 e imponer una serie de medidas para limitar las perturbaciones provocadas por el mal funcionamiento de los sistemas de información (ya sea por ataques o por averías). Según un estudio realizado por la firma de auditoría y consultoría Grant Thornton, el 75% de las empresas sujetas a la DORA habían iniciado los trabajos de cumplimiento a finales de 2023.

Sin embargo, las empresas encuestadas se encontraban en su mayoría en la fase de acciones relacionadas con el lanzamiento del proyecto: análisis de brechas, designación de un gerente de proyecto, inventario de terceros, establecimiento del cronograma de cumplimiento. Solo el 30% de las organizaciones habían comenzado la revisión de las políticas y procedimientos internos y un poco menos aún habían iniciado la identificación de los SI que respaldan los sistemas de información críticos.

¿Horario insostenible?

En otras palabras, la fecha límite de mediados de enero de 2025 parece muy difícil de cumplir para la mayoría de ellos. "Todo el plan [de Dora, NDLR] “El programa Dora es coherente con los niveles de exigencia previstos, pero sigue siendo muy ambicioso (incluso demasiado) en sus plazos de implementación”, subraya Thierry Olivier, director del programa Dora en Société Générale, citado en el estudio.

Entre las 102 organizaciones encuestadas, el 80% no ha estado expuesta a una interrupción importante de TI en los últimos 24 meses, siendo los ciberataques la principal causa de crisis experimentada por las empresas que han experimentado este tipo de eventos durante el período. Sin embargo, los encuestados son bastante pesimistas sobre la ocurrencia de crisis que afecten a su TI, ya que el 97% de ellos cree que su organización tendrá que enfrentar una crisis cibernética en los próximos 5 años. El principal riesgo a ojos de los encuestados, por delante del vinculado... precisamente al incumplimiento normativo (82%).

Proveedores de servicios TI: un riesgo que aún no se tiene en cuenta

A pesar de este aumento de los riesgos, el 93% de los encuestados afirma tener confianza en la capacidad de su organización para afrontarlos. Y el 77% de ellos considera que los principios de resiliencia ya están integrados en su estrategia, uno de los objetivos de Dora. Salvo que los directivos encuestados tengan una definición de estas prácticas más restrictiva que las ambiciones que muestra la reglamentación europea, señala Grant Thornton. Así, el 74% de los encuestados en el estudio indica que la resiliencia debe garantizar el mantenimiento de un alto nivel de servicio en caso de crisis, y el 72% que debe permitir una mejor gestión de los riesgos. Pero menos de uno de cada tres la ve como una palanca para reforzar la confianza entre los diferentes actores (proveedores de servicios, clientes, reguladores, etc.), aunque se trata de una cuestión clave para Dora.

Del mismo modo, mientras que más del 60% de los encuestados considera que su organización cumple en gran parte o en su totalidad con la reglamentación (aunque con debilidades reconocidas en la gestión de los proveedores de servicios informáticos), la firma de auditoría indica que, en el marco de sus misiones sobre el tema, solo alrededor de cuatro de cada diez empresas la cumplían efectivamente. "Nos vendieron que Dora sería simplemente un refuerzo de lo que ya existe. Honestamente, descubro cada día las implicaciones organizativas de este texto", suspira el RSSI de una empresa del sector de seguros, citado en el estudio. "Por ejemplo, tendremos que implementar un servicio de guardia 24 horas al día, 7 días a la semana y no veo cómo podremos hacerlo". Además de esta falta de medios, citada por más del 60% de los encuestados, las empresas afectadas por la reglamentación se enfrentan a una falta de conocimiento del tema y a la dificultad de comprender un texto con múltiples implicaciones.