Horas antes de la entrada en vigor del Reglamento de Resiliencia Operativa Digital (DORA) se presentaba en Madrid un estudio realizado por Afi (Analistas Financieros Internacionales) en colaboración con Kyndryl, que analiza los desafíos que enfrenta el sector financiero español en la implementación de DORA a través de entrevistas a supervisores y representantes de entidades financieras.
Con una completa agenda, el evento era inaugurado por David Soto, presidente de Kyndryl, quien, recordado que hace décadas que se habla de digitalización, aseguraba que , desde entonces, han irrumpido otras tecnologías, como el cloud, la inteligencia artificial, o la computación cuántica. “El efecto es que la tecnología se ha descentralizado”, aseguraba.
Le seguía Borja Foncillas, presidente de Afi, para quien DORA abre “un nuevo horizonte para la resiliencia operativa”, sobre la que destacaba que es una normativa “dirigida por tecnólogos para tecnólogos” y que “hace muchísima falta por la cantidad de ataques que se producen”.
Foncilla daba paso a Esteban Sánchez Pajares, managing partner de Afi, encargado de enumerar las principales conclusiones del Informe sobre un reglamento que se ha convertido en una de las iniciativas más importantes desarrolladas por la Unión Europea para garantizar la estabilidad del sistema financiero en un contexto cada vez más dependiente de las tecnologías de la información y las comunicaciones (TIC). Este marco normativo tiene como objetivo establecer estándares homogéneos para gestionar los riesgos tecnológicos, fortalecer la resiliencia operativa y proteger a las entidades financieras de las crecientes amenazas cibernéticas. Su aplicación abarca desde bancos y aseguradoras hasta proveedores tecnológicos críticos, subrayando la importancia de un enfoque transversal y coordinado.
DORA establece cinco pilares fundamentales para mejorar la gestión de riesgos tecnológicos y su impacto en las entidades financieras es significativo, según recoge el informe, no sólo porque redefine la manera en que estas gestionan los riesgos tecnológicos, sino porque introduce un cambio de paradigma. Hasta ahora, el sector había enfocado sus esfuerzos principalmente en la prevención, pero el reglamento pone el énfasis en la resiliencia operativa, es decir, en la capacidad de las entidades para adaptarse y recuperarse tras un incidente. Este enfoque requiere que las organizaciones desarrollen planes integrales de respuesta y recuperación, y que incluyan la resiliencia como una prioridad estratégica en todas sus áreas funcionales.
Por otra parte, la implementación de DORA presenta varios desafíos. Uno de los más destacados es el riesgo de fragmentación regulatoria. Aunque el reglamento busca establecer un marco homogéneo en toda la Unión Europea, las diferencias en la capacidad de los supervisores y en la interpretación de los requisitos podrían generar disparidades en su aplicación. Esto, a su vez, podría afectar la competencia y la eficiencia del sector financiero.
Otro reto importante es la capacidad desigual de las entidades para cumplir con los requerimientos de DORA. Mientras que las instituciones más grandes cuentan con recursos y experiencia suficientes para adaptarse rápidamente, las entidades más pequeñas enfrentan dificultades debido a limitaciones tecnológicas y de personal especializado. Esto plantea la necesidad de aplicar el principio de proporcionalidad, que permita ajustar los requisitos normativos al tamaño y la complejidad de cada entidad. Sin embargo, muchas organizaciones perciben que este principio no está suficientemente desarrollado, lo que genera incertidumbre sobre su implementación práctica.
Además, las entidades financieras han señalado la importancia de una supervisión más colaborativa y menos intrusiva. Actualmente, las inspecciones tradicionales pueden ser disruptivas y costosas, especialmente para áreas tecnológicas que ya están bajo presión. Por ello, se sugiere un modelo de supervisión que priorice el acompañamiento técnico, proporcionando orientación continua en lugar de centrarse exclusivamente en el cumplimiento normativo.
Un aspecto que genera preocupación es la interoperabilidad de DORA con otras normativas, como NIS2 o los estándares ISO 27001. La regulación debe integrarse de manera efectiva con estos marcos para evitar duplicidades y asegurar la coherencia regulatoria, especialmente en un entorno en el que las entidades operan en múltiples jurisdicciones y con diferentes estándares técnicos.
Karen Gaines: “La ciberseguridad ya no se ve como una solución fragmentada, sino como un enfoque integral”
Aprovechamos la presencia en el evento de Karen Gaines, quien desde hace algo más de dos meses es la Vicepresidenta de Seguridad y Resiliencia en España y Portugal de Kyndryl, para mantener una breve charla cin ella. Preguntada por los objetivos que se ha marcado en su nuevo reto profesional, subrayó que uno de los principales es consolidar a Kyndryl como un socio de confianza para los clientes, especialmente en el sector financiero en España, donde la compañía gestiona la infraestructura de ocho de cada diez entidades. Además, mencionó como reto el preparar a la empresa para un crecimiento sostenido, especialmente con la llegada de normativas como DORA y NIS2: “queremos seguir mejorando en seguridad y resiliencia para asegurar que nuestros clientes reciban siempre el mejor servicio”, comentó.
En cuanto a lo que los clientes están buscando, señaló que hay un gran interés por parte de las empresas en fortalecer su madurez en ciberresiliencia. Kyndryl se diferencia por ofrecer servicios integrales, que abarcan desde la ciberseguridad hasta la resiliencia, comentaba, para añadir: “nuestra experiencia y nuestras credenciales nos permiten ofrecer soluciones holísticas, algo que no es fácil de encontrar en el mercado”. Destacó también Karen Gaines que la gestión de riesgos de terceros, el cumplimiento normativo y la protección de datos son áreas clave donde los clientes requieren apoyo.
Respecto a las tendencias en ciberseguridad, Karen señaló que la modernización de infraestructuras es un factor importante en el sector. “La ciberseguridad ya no se ve solo como una solución fragmentada, sino como un enfoque integral”, dijo. La inteligencia artificial, agregó, está siendo fundamental para automatizar procesos y hacer las respuestas ante incidentes más ágiles.
También preguntamos a la directiva por la evolución de los SOC, sobre lo que Karen Gaines destacó que, en su opinión, uno de los cambios más impactantes ha sido la modernización de estos centros. Explicó que, tradicionalmente, en un SOC la pirámide de alertas estaba invertida, con un mayor volumen en el nivel uno y equipos más pequeños en los niveles dos y tres. Sin embargo, ahora están invirtiendo para cambiar esta estructura. “Estamos aprovechando tecnologías de última generación, como la inteligencia artificial, para reducir la carga del primer nivel de alertas”, comentó, añadiendo que esto permite que el personal se enfoque en incidencias más complejas.
También subrayó la importancia de priorizar los datos y la automatización en las operaciones de seguridad. “Sabemos que no podemos asegurar todo al 100%, pero estamos trabajando de manera activa con los clientes para dedicar más recursos a las tecnologías y personas que manejan las incidencias más complejas”, agregó. Además, destacó que la capacidad de Kyndryl para ofrecer un servicio local personalizado, mientras aprovecha una infraestructura global y acceso a inteligencia de datos, es uno de sus principales diferenciadores.
Además de la amplitud de su portafolio, que abarca desde la estrategia de gobernanza, riesgo y cumplimiento, hasta la resiliencia y la recuperación ante incidentes, que permite ofrecer “una cobertura completa en ciberseguridad y resiliencia, incluso en data centers”, destacaba Karten Gaines como otros elemento diferencial de Kyndryl “la capacidad local combinada con equipos e infraestructura globales, lo que les permite manejar información de manera efectiva”.
