Tiempo estimado: 5:23 minutos.
A menudo se asocia la Resiliencia Digital Operativa solo en el ámbito de la ciberseguridad, sin embargo, es un concepto más amplio. Se trata de conseguir una adaptabilidad de los servicios de la Tecnologías de la Información y Comunicaciones (TIC) con el objetivo de mantener operativas las funciones esenciales en una organización.
Podemos pensar en muchos ejemplos que pudieran afectar a la adaptabilidad digital en una entidad. ¿Qué ocurre si un
proveedor deja de dar servicio y tiene un grado de sustituibilidad muy alto en
mi organización? ¿Y si un proveedor de software aumenta sustancialmente los
precios y no puedo prescindir o cambiarlo a corto plazo? ¿Y si una actualización
errónea o un cambio deja inoperativos los sistemas críticos de la
organización? Se trata de situaciones dentro de ámbito digital que no están relacionadas
con ataques informáticos, que sin embargo podrían perturbar significativamente
la operativa de una empresa.
La Resiliencia Digital Operativa, en el fondo, trata de establecer unas buenas prácticas, con un modelo de control y con un enfoque de gestionar los riesgos, así como ser capaz de actuar y adaptar los sistemas en determinadas situaciones.
Conforme el artículo 3.1 del Reglamento Europeo de Resiliencia Digital Operativa (DORA) que aplica al sector financiero, resiliencia operativa digital, es la capacidad de una entidad financiera para construir, asegurar y revisar su integridad y fiabilidad operativas asegurando, directa o indirectamente mediante el uso de servicios prestados por proveedores terceros de servicios de TIC, toda la gama de capacidades relacionadas con las TIC necesarias para preservar la seguridad de las redes y los sistemas de información que utiliza una entidad financiera y que sustentan la prestación continuada de servicios financieros y su calidad, incluso en caso de perturbaciones.
El reglamento DORA establece unos
puntos esenciales para la Resiliencia Digital Operativa:
1.- Gestión del riesgo en el
ámbito de las TIC.
2.- Notificación a las
autoridades de incidentes graves y, con carácter voluntario, de ciberamenazas
importantes.
3.- Pruebas de resiliencia
operativa digital.
4.- Gestión del riesgo
relacionado con las TIC derivado de terceros. (Proveedores externos y empresas
intragrupo).
5.- Intercambio de información e
inteligencia en relación con las ciberamenazas y las vulnerabilidades.
En el ámbito de la gestión del
riesgo relacionado con las TIC cabe destacar la importancia de la Gestión
de proyectos, tal como indica en el artículo 15 de la noma técnica ITS que desarrolla
el reglamento (https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=OJ:L_202401774):
Dentro de las salvaguardias para preservar la disponibilidad, autenticidad,
integridad y confidencialidad de los datos, las entidades financieras
elaborarán, documentarán y aplicarán una política de gestión de proyectos de
TIC.
En consecuencia, se destaca la importancia de la gestión de los proyectos TIC y en este sentido entran en juego metodologías como PMP, PM2, Prince, SCRUM etc., que son adecuadas tanto para la gestión de la cartera de proyectos como para la dirección de cada uno de los proyectos de forma individualizada. Aspectos como definir los objetivos, la gobernanza de los proyectos de TIC, funciones y responsabilidades, planificación, calendario y etapas, la evaluación de los riesgos de los proyectos de TIC, los hitos pertinentes, requisitos en la gestión de los cambios, pruebas de los requisitos (incluyendo pruebas de seguridad) y el proceso de la puesta en producción de un sistema TIC son de carácter obligatorio para el cumplimiento de este Reglamento.
En conclusión, cuando las funciones críticas de una organización dependen de servicios TIC para su normal funcionamiento, entre otras cosas, adquiere gran importancia el empleo de metodologías para dirigir proyectos TIC. De esta forma, no solo se conseguirá un mayor acercamiento a los objetivos de la organización, si no también se conseguirá una mejor adaptación de los sistemas ante posibles perturbaciones.
Enlaces de interés
PM2 Metodología Europea Gestión Proyectos
PMP Project Management Professional (USA)
Reviewed by Bloginnova
on
marzo 01, 2025
Rating:
