El Reglamento sobre resiliencia operativa digital (DORA), que presentó la Comisión Europea en septiembre de 2020, es el primer reglamento que supervisa los aspectos de seguridad de las entidades financieras en toda la Unión Europea. Además, presenta un marco unificado que armoniza la gestión del riesgo de las TIC a lo largo de 21 tipos distintos de entidades financieras dentro de su ámbito.
Esto supone un cambio normativo clave no solo para las entidades financieras con sede en la UE, sino también para cualquier proveedor de servicios externo dentro de la red de una entidad. Muchas organizaciones que antes estaban exentas de las normas TIC, como los proveedores de servicios externos que informan sobre cuentas, criptoactivos y crean informes de datos, ahora tienen la obligación de cumplir con el DORA.
Con la entrada en vigor de esta legislación en enero de 2025, la gestión de terceros y el cumplimiento normativo en cuanto a riesgos tecnológicos de OneTrust proporciona funciones sólidas a la hora de ayudar a las organizaciones a cumplir con los requisitos de este marco.
Gestiona el riesgo de terceros de las TIC de forma proactiva
Un aspecto revolucionario del DORA es la inclusión del riesgo de terceros de las TIC como parte del marco general de gestión de riesgos. Las entidades financieras ahora son responsables de todos los riesgos posteriores entre terceros, cuartas partes y partes ulteriores de su red de colaboradores.
Entre las responsabilidades típicas, se incluyen la implementación de diligencia debida, evaluaciones de riesgos y un registro de información que distingue los servicios de terceros de las TIC que respaldan funciones críticas o importantes.
Para cumplir con estos requisitos, Gestión de terceros de OneTrust ayuda a crear un inventario centralizado de todas las relaciones con terceros que se pueden compartir entre unidades de negocio y dominios de riesgo.
Cualquier riesgo que surja se identifica rápidamente a través de controles de cumplimiento automatizados, evaluaciones de riesgo, calificaciones de riesgo integradas y el seguimiento de puntos de contacto a lo largo del ciclo de vida de terceros. Además, las organizaciones luego pueden gestionar estos riesgos potenciales con recomendaciones de mitigación listas para usarse, flujos de trabajo «si X, luego Y», integraciones de contratación basadas en riesgos y fuentes de inteligencia de datos que ayudan a comprender los cambios en tu empresa.
Amplía tu gestión de riesgos de las TIC
El DORA responsabiliza del riesgo de las TIC al órgano de gestión de la entidad financiera. Esto significa que hay que mantener un alto nivel de resiliencia operativa digital mediante la implementación de estrategias, políticas, protocolos y herramientas para salvaguardar toda la información y los activos TIC. Todos los esfuerzos deben documentarse y revisarse al menos una vez al año y estar sujetos a una auditoría interna.
La automaticación del cumplimiento normativo de OneTrust ayuda a facilitar estos pasos gracias a las directrices y al marco de evidencias listos para usarse del DORA. Por su parte, las organizaciones tienen acceso a políticas, controles y tareas de evidencia preasignados, así como a la asignación de evidencias entre marcos para identificar áreas superpuestas de cumplimiento normativo y eliminar duplicidades laborales.
Gestión de riesgos de TI y seguridad de OneTrust se nutre de los esfuerzos de cumplimiento normativo al integrar y conectar todo tu ecosistema, desde los activos y controles de datos hasta los terceros. Al operacionalizar la gestión de riesgos, esta solución reduce eficazmente los riesgos en todo el panorama de TI.
Además, la Gestión de auditorías de OneTrust centraliza las bibliotecas de control, los documentos de trabajo y las tareas de auditoría, lo que proporciona visibilidad sobre el estado de auditoría de una organización mediante paneles de información e informes consolidados.
