DORA : 4.000 Años después…. las mismas preocupaciones

4.000 años después… Las mismas preocupaciones

Yamdesh Nasr, comerciante de vinos de la ciudad de Deiz Ezzor en el corazón del imperio Babilonio, llevaba una temporada preocupado, era conocido en todo el imperio que el Rey Hammurabi estaba preparando un código de leyes que sin duda afectaría a la manera en la que su familia llevaba haciendo negocios desde tiempos inmemoriales. Yamdesh comerciaba con ciudades fuera y dentro del imperio y el transporte de sus vinos significaba un riesgo que debía cubrir de alguna manera. Hasta ese momento, y según el sistema ancestral, las pérdidas se cubrían mediante un sistema de cajas de solidaridad y se retraía una parte de los beneficios para cubrir futuros riesgos. Mientras que los riesgos no se materializaban el dinero que se encontraba en la caja de solidaridad se podía utilizar para dar prestamos de bajo riesgo. Esto dejaba algunos beneficios a Yandesh.

El edicto real contenía, entre otras, 282 cláusulas que regulaban lo que se denominaba “Préstamo a la gruesa ventura” y que de facto regulaban la cobertura de riesgos en los transportes de mercancías mediante un préstamo al comerciante para la realización del viaje y unos intereses a pagar en caso de que llegase a buen término. Lo que a la postre sería la primera regulación del sector financiero y asegurador de la historia.

Aunque Yamdesh entendía el beneficio de la regulación su preocupación residía en el hecho de que si quería seguir asegurando los riesgos de sus vecinos y compartiendo los suyos propios tras la emisión del edicto real, le supondría generación de informes, auditorías de los recaudadores, intercambio de información entre los diferentes intervinientes y un registro exhaustivo de sus operaciones. En realidad, no sabía cómo iba a modificar su sistema de gestión formado por un escribiente experto de escritura cuneiforme, un punzón de madera y un sinfín de tablillas de arcilla. La tarea se le antojaba demasiado grande y no sabía por dónde empezar.

Casi 4.000 años después seguimos con las mismas preocupaciones que Yamdesh, el desasosiego que trae al Sector Financiero y Asegurador cualquier cambio legislativo no es nuevo, pero sí existen nuevas maneras más efectivas de abordar el problema.

En este artículo vamos a intentar desgranar el motivo de desasosiego del Sector Financiero y Asegurador a finales del primer cuarto del siglo XXI y las soluciones que podemos ofrecer para facilitar la vida de los “Yamdesh de la era espacial”.

La preocupación del Siglo XXI

La nueva regulación europea DORA (Digital Operations Resiliance Act) es una nueva norma europea que afecta en un principio a la Sector Financiero y Asegurador y que se irá extendiendo a otros sectores en un futuro próximo. DORA es una directriz europea que no necesita trasposición local y que será de obligado cumplimiento en Enero de 2025. La norma va orientada a fortalecer la digitalización de las empresas, gestionar de forma competente los riesgos asociados a la digitalización, asegurar la creación de los órganos de gobierno necesarios tanto internos como con proveedores, asegurar la continuidad de las actividades ante eventos adversos y asegurar una gestión eficiente de los incidentes.

Este proceso no tiene vuelta atrás y va a suponer una revolución en la forma en que las entidades gestionan su tecnología, sus proveedores tecnológicos, la relación entre la tecnología y el negocio , la formación tecnológica de su personal y la gestión de la información ante incidentes.

La implantación de DORA exigirá de las compañías las siguientes acciones:

1.    Revisión de los modelos internos de gobiernos de los departamentos de IT

2.    Revisión o creación de la función de auditoría de la tecnología

3.    Revisión de los planes de continuidad y recuperación de desastres, incluyendo los planes de prueba y los niveles requeridos por el negocio

4.    Revisión de los procedimientos de ciberseguridad

5.    Revisión de los procedimientos de manejo de incidentes

6.    Revisión de los procedimientos y metodologías de manejo de proveedores, incluyendo niveles de servicio, contingencia, etc.

7.    Revisión de los procedimientos de formación de los empleados y sensibilización

8.    Participación en foros en cuanto al manejo de información sobre seguridad, riesgos y amenazas

Todas las metodologías y procesos resultantes de estas acciones serán auditables por los reguladores y por tanto su incumplimiento estará sujeto a sanciones.

Evidentemente esta norma también afecta a todos los proveedores tecnológicos, aunque no se encuentren regulados por la CNMV, Banco de España o Dirección General de Seguros, ya que la relación con sus clientes regulados va a cambiar y deben estar preparado para ello.

Aún queda tiempo pero la cantidad de tareas a realizar es grande y más en un entorno en el que las entidades no ha dedicado demasiados esfuerzos a estos temas, primando la adopción de nuevas tecnologías a la organización y sincronización con el negocio de estas mismas.

De las tablillas de barro al contrato de servicios

Volviendo a nuestra historia en la Babilonia de hace 4.000 años, las preocupaciones de un comerciante de vinos de la época son perfectamente extrapolables a las grandes corporaciones actuales. De las tablillas de Barro , el punzón y la escritura cuneiforme hemos pasado a los ordenadores alojados en datacenters altamente eficientes, los datalakes, la inteligencia artificial y los proveedores altamente especializados con los que se externalizar nuestra tecnología pero la pregunta sigue siendo la misma que Yamdesh se hacía hace 4.000 años. ¿Cómo puedo abordar este cambio sin impactar negativamente en mi negocio? y otra no menos importante ¿Cuánto me va acostar?

Desde AREA XXI queremos ayudar a las entidades aseguradoras y financieras a implantar los cambios que supone la adopción a esta nueva normativa de una forma no invasiva para sus departamentos de tecnología, optimizando recursos y evitando realizar grandes inversiones. Para ello proponemos un proyecto basado en 12 bloques de actuación y 5 fases que comienza con un “gap analysis” entre la normativa que especifica DORA y la situación actual del IT en la compañía. En el caso del sector asegurador este análisis incluye también las normas EIOPA TICs y EIOPA CLOUD ya de aplicación y obligado cumplimiento para las compañías aseguradoras.

La solución de AREA XXI se comercializa como un servicio y se adapta a las necesidades de cada compañía. Para más información www.area-xxi.com.

Imaginemos lo que hubiese dado Yamdesh, hace 4.000 años, por que alguien le hubiese contado como resolver su problema.