"El impacto de DORA en el sector financiero va a ser profundo": así ha reforzado Azvalor su ciberseguridad

El Reglamento Europeo sobre Resiliencia Operativa Digital (DORA), en vigor desde el pasado 17 de enero de 2025, supone un antes y un después en la forma en que las entidades financieras deben gestionar los riesgos derivados de sus sistemas tecnológicos. 

Esta normativa pone el foco en la ciberseguridad en un sector sensible por la cantidad y sobre todo, el tipo de datos que maneja. DORA pretende garantizar que bancos, gestoras, aseguradoras y otros participantes del sistema financiero sean capaces de resistir, responder y recuperarse ante ciberataques sin comprometer la estabilidad del sistema ni los intereses de sus clientes.
Este marco de actuación impone un enfoque integral que abarca desde la ciberseguridad y la protección de datos hasta la gestión de terceros en cuanto a proveedores de servicios TIC. Y, desde este planteamiento, exige un cambio estructural en los procesos internos de las entidades. 

El cumplimiento de este reglamento es obligatorio desde que entró en vigor. Sin embargo, la certificación externa de ese cumplimiento no lo es, al menos de momento. En este contexto, la gestora Azvalor ha optado por validar de forma voluntaria y externa que su sistema de información cumple con todos los requisitos del reglamento, a través de una certificación creada ad hoc y emitida por Bureau Veritas.

Para conocer cómo ha sido este proceso, Finect entrevista a Sergio Fernández-Pacheco, socio fundador y director financiero de Azvalor, quien además ha sido el máximo responsable de la implantación de DORA en la firma. 

DORA entró en vigor en enero y, si bien su cumplimiento es obligatorio, la certificación no lo es. ¿Qué les llevó a dar este paso adicional y qué ventajas aporta?

Efectivamente, si bien el cumplimiento del reglamento es obligatorio, la certificación con Bureau Veritas es una decisión voluntaria que hemos tomado para reforzar nuestra posición. 

Contar con una certificación de un verificador externo aporta ventajas significativas. Para empezar, demuestra nuestro compromiso con mantener los más altos estándares de seguridad y resiliencia operativa digital. Además, asegura que nuestros sistemas y procesos cumplen con los requisitos del reglamento, evitando posibles sanciones. 

El proceso de certificación nos ha permitido revisar y fortalecer nuestros sistemas y procesos de gestión de riesgos de las TIC. Ha sido un proceso muy útil para identificar y mitigar posibles vulnerabilidades, reduciendo el riesgo de incidentes.

Consideramos que la certificación DORA es, en la práctica, una inversión estratégica que nos permite reforzar nuestra posición, mejorar la gestión de riesgos y demostrar nuestro compromiso con la seguridad y la confianza de nuestros coinversores.

 "La certificación DORA es, en la práctica, una inversión estratégica"

La certificación se basa en un esquema propio desarrollado por Bureau Veritas España. ¿En qué se diferencia este modelo de evaluación de otros posibles enfoques?

El modelo está específicamente diseñado para evaluar el cumplimiento de los requisitos del Reglamento DORA, teniendo en cuenta las especificidades del sector financiero y, en concreto, de las gestoras de activos. Bureau Veritas España ha llevado a cabo un proceso de auditoría exhaustivo que incluye la revisión de políticas, procedimientos, sistemas y controles. 

Adicionalmente, este modelo fomenta la mejora continua de los procesos de la gestora, identificando áreas de mejora y facilitando con ello la elaboración de planes de acción que aseguren precisamente esa mejora permanente de la infraestructura operativa y digital de Azvalor.

DORA aborda aspectos como la ciberseguridad, la protección de datos y la relación con proveedores tecnológicos. ¿Cuál de estos desafíos consideraron más complejo y cómo lo superaron?

El Reglamento DORA abarca una amplia gama de aspectos y requerimientos, desde la ciberseguridad hasta la gestión de riesgos con proveedores TIC. En nuestro caso, quizá el desafío más complejo ha sido esa gestión de riesgos con los proveedores tecnológicos, precisamente por la dependencia creciente del sector financiero de terceros para la prestación de servicios críticos de TIC. La normativa es muy estricta en la obligación de las entidades financieras de garantizar que los proveedores cumplan con los mismos estándares de seguridad y resiliencia que se exige a las propias entidades.

Ese control de las funciones delegadas en el ámbito de la tecnología nos ha exigido realizar una evaluación de los riesgos asociados a cada proveedor, incluyendo su capacidad para proteger datos y garantizar la continuidad operativa, así como revisar y actualizar los contratos firmados con todos ellos y revisar los sistemas de monitorización.

"El desafío más complejo ha sido esa gestión de riesgos con los proveedores tecnológicos"

¿Qué papel han desempeñado finReg360 e Izertis en el proceso de adaptación y certificación? 

Ambas entidades han desempeñado un papel fundamental. Estas dos firmas cuentan con equipos con mucha experiencia y especialización, aspectos que son clave para garantizar el cumplimiento de esta nueva normativa, que es compleja y muy extensa.

En cuanto a finReg360, destacaríamos su profundo conocimiento del marco regulatorio financiero, que nos ha facilitado primero entender y posteriormente aplicar los requisitos del Reglamento DORA de la forma más eficiente posible. Adicionalmente, nos han proporcionado un asesoramiento integral en la elaboración y adecuación de nuestras políticas, procedimientos y controles. Nos han ayudado igualmente a identificar y mitigar posibles vulnerabilidades en nuestros sistemas y procesos.

Por su parte, Izertis, gracias a su experiencia en ciberseguridad, nos ha permitido mejorar nuestra infraestructura de defensa contra las amenazas cibernéticas y ayudarnos, por su amplia experiencia, en el propio proceso de obtención de la certificación.

¿Creen que en el futuro una certificación como la suya será un factor diferenciador dentro del sector financiero?

Sí, consideramos que la certificación puede convertirse en un factor diferenciador. Los inversores son cada vez más conscientes de los riesgos asociados a la ciberseguridad y a la continuidad operativa de la actividad. Una certificación independiente demuestra el compromiso de la entidad con la protección de sus activos y datos, y es un sello de calidad proporcionado por una firma externa, aspecto que suele dar mucha tranquilidad no solo a los inversores sino también a las entidades supervisoras.

"Una certificación independiente demuestra el compromiso de la entidad con la protección de sus activos y datos"

DORA fomenta la cooperación entre entidades financieras y supervisores para mejorar la ciberseguridad del sector. ¿Qué papel cree que jugará la colaboración en este nuevo entorno regulatorio?

Compartir información sobre ciberataques y vulnerabilidades nos permitirá anticiparnos a posibles incidentes y responder de manera más eficaz. Adicionalmente, esa colaboración nos permitirá establecer estándares comunes en materia de ciberseguridad y resiliencia operativa, lo que fortalecerá la seguridad de todo el sector. Esa cooperación, en definitiva, va a permitir compartir conocimientos y experiencias, lo que impulsará la innovación en el desarrollo de soluciones de ciberseguridad.

Y en general, ¿qué impacto creen que puede tener DORA en el sector financiero?

Representa un cambio importante en la forma en que el sector financiero europeo debe abordar la resiliencia operativa digital. Por tanto, sí consideramos que su impacto va a ser profundo y, aunque exigente, será positivo en cuanto que va a suponer una mayor seguridad y confianza en el sistema financiero, características que nos benefician a todos: entidades e inversores.

DORA adicionalmente obliga a las entidades financieras a reforzar sus estrategias de defensa contra las amenazas cibernéticas y, sin duda, eso va a suponer una mayor inversión en tecnología de ciberseguridad. Esto beneficiará a todo el sector y a los clientes e inversores de forma particular.

Adicionalmente, un aspecto positivo de este tipo de normativas es el establecimiento de un marco regulatorio común para toda la Unión Europea, eliminando con ello las diferencias entre los Estados miembros, de forma que se cree un entorno competitivo más uniforme para las entidades financieras.
 

Este contenido se ha elaborado bajo un criterio editorial y no constituye una recomendación ni propuesta de inversión. La inversión contiene riesgos. Las rentabilidades pasadas no son garantía de rentabilidades futuras.