Patxi Barceló

Seminario sobre el impacto de DORA (Ciber resiliencia) en los consejos (Bird&Bird)

en , ,

Tanto de la normativa en vigor, como del creciente foco reputacional en torno a la resiliencia y ciberseguridad de las empresas, es necesario que el Consejo revise en detalle su aproximación al riesgo digital, para lo que proponemos una breve lista de cuestiones a valorar en cada organización:

  • Dedicar tiempo en los consejos a la materia, incluyendo la puesta a disposición de mapas de riesgos e indicadores de control.
  • Revisar la estructura de responsabilidades en la organización y asegurar la debida ubicación de las líneas de defensa.
  • Valorar y aprobar, en su caso, la propuesta de tolerancia al riesgo y el modelo de control necesario para no sobrepasar los umbrales establecidos.
  • Reclamar informes de análisis de riesgos específicos.
  • Solicitar que se desarrollen indicadores de control ácidos [1].
  • Mantener reuniones con los directivos responsables de las áreas de seguridad, tecnología y control de riesgos que les permitan entender los riesgos más relevantes y las medidas de mitigación existentes.
  • Seguir los planes y métricas sobre nivel de cultura de gestión de riesgos [2] en la organización.
  • Ubicar en una comisión especializada (por ejemplo, la de riesgos) el análisis detallado de estos riesgos.
  • Acometer planes de formación específicos en la materia.
  • Asegurar la existencia de políticas de escalado claras y efectivas [3].
  • Disponer de un plan detallado de comunicación y gestión de crisis ante eventos relevantes de ciberseguridad o fallos operativos significativos.
  • Disponer de asesoramiento externo recurrente que les permita obtener una actualización del entorno y poder obtener acompañamiento puntual en determinados temas.
  • Asegurar la documentación [4] y las pruebas de los diferentes planes de contingencia y recuperación. Ver in situ las pruebas en aspectos de especial criticidad y asegurar que se simulan escenarios suficientemente críticos.

[1] Existen ciertas medidas que pueden enmascarar problemas relevantes. Por ejemplo, es muy habitual hablar del porcentaje de disponibilidad de los sistemas, con porcentajes cercanos al 99,7% del tiempo en pleno funcionamiento. Sin embargo, ese diferencial supone 26 horas en el año de fallo del sistema. Por ejemplo, si nos referimos a una red de pagos, quizás sea más realista hablar del número de transacciones que no fue posible realizar. Una caída de unas pocas horas puede significar varios millones de transacciones que no pueden realizarse, dependiendo del día y el horario y con un impacto directo en las ventas de los clientes del sistema.

[2] La identificación de riesgos y su evaluación debe ser una tarea que nace desde la primera línea de defensa y debe existir una cultura de incentivación adecuada para ello.

[3] La tendencia natural de cualquier organización es a una relajación de estándares con el tiempo. La ausencia de incidentes percibidos genera una falsa sensación de seguridad.

[4] La documentación es una de las herramientas más poderosas para la identificación y gestión del riesgo, pero necesita un claro apoyo desde la Alta Dirección y el propio Consejo. Requiere atención y dedicación. Documentar es poner en un espejo como se hacen las cosas; al vernos reflejados enseguida nos damos cuenta si realmente queremos ser como se describe en el documento.