Aunque con frecuencia nos encontremos con ello, el Reglamento DORA no es susceptible de ser certificado. El verdadero objetivo del mismo no radica tanto en su cumplimiento como en la mejora de la resiliencia del sector financiero en su conjunto, incluyendo a las entidades obligadas y a sus proveedores, a fin de aumentar la confianza del mercado en el sistema financiero y preservar su estabilidad.
La mejora de la resiliencia solo puede conseguirse disponiendo de un sistema de medida, como lo es la Calificación de LEET Security. Su marco de control incorpora los estándares de mayor implantación y las mejores prácticas internacionales, y se ha ampliado para recoger y mapear todos los contenidos que se establecen como requisitos. DORA Passport verifica y acredita el grado de implantación de las normas reguladoras.
DORA Passport Proporciona una valoración completa de los requisitos establecidos en el Reglamento (UE) 2022/2554 sobre la resiliencia operativa digital del sector financiero (DORA) y su desarrollo en los posteriores Reglamentos delegados.
Esta solución es válida, tanto para las entidades financieras como para sus proveedores, complementa a la Calificación de Ciberseguridad de LEET Security y muestra de forma expresa si la organización ha implantado, y en qué grado, la totalidad de medidas técnicas y organizativas recogidas en el Reglamento, así como aquellas prácticas que deberían ser establecidas para su consecución y/o suponen una mejora de nivel.
Durante el proceso de auditoría necesario un equipo especializado e independiente, aplicando la metodología y toda la experiencia adquirida con la Calificación LEET, requerirá:
Una descripción clara y precisa del alcance asociado a los servicios.
Documentación (políticas, normativas y procedimientos) que dé cobertura a todo el contenido.
Pruebas de la implantación y eficiencia operativa de los controles relacionados.
Evidencias de la realización de pruebas de resiliencia.
Tras el proceso auditor se entrega, además de la documentación propia de la Calificación LEET a la que va asociada:
Índice de ciberresiliencia: Evaluación del grado de implementación de medidas para la ciber resiliencia del servicio ofrecido (indicativo con valor entre 0 y 1000), y su evolución en los últimos 3 años. Para un resultado entre 500 y 749, se alcanza el grado de DORA Prime, y entre 750 y 1.000, el de DORA Elite.
Resumen ejecutivo: Opinión general del resultado de la evaluación, destacando los aspectos principales y las direcciones estratégicas de mejora.
Resultados en los cinco pilares: Resultado de la revisión realizada para cada uno de los cinco pilares fundamentales sobre los que se basa la regulación.
Evaluación respecto a los requisitos DORA: Evaluación detallada sobre el nivel de implantación de cada uno de los requisitos establecidos por DORA y los actos delegados asociados.
Benchmarking: Comparación de los resultados obtenidos con el resto de entidades evaluadas (en el sector financiero y/o en los proveedores TIC)
Lista priorizada de aspectos de mejora Medidas necesarias para mejorar el nivel de resiliencia clasificada por la importancia de las mismas.
Para evaluar y acreditar grado de cumplimiento.
Como mecanismo de evaluación objetivo para conocer, controlar y reportar el nivel de resiliencia, que permite hacer benchmarking con otras organizaciones.
Como sistema de due-diligence previa a la contratación de proveedores y posterior supervisión.
Una herramienta de diferenciación frente a clientes al demostrar compromiso con la seguridad y la resiliencia, facilitando a dichos clientes el cumplimiento de sus propias obligaciones.
LEET Security es una agencia especializada cuya única actividad es el desarrollo de un modelo optimizado para la evaluación de capacidades de ciberseguridad, que ha sido adaptado para DORA, por lo que las evaluaciones se realizan de forma homogénea y con total ausencia de conflictos de intereses que pudieran derivarse de una potencial actividad asociada de consultoría/adecuación.
En particular, la auditoría realizada por LEET no es para detectar vulnerabilidades (tipo TIBER-EU), sino que se verifica que estas auditorías se realicen conforme a los requisitos (Arts. 26 y 27 del reglamento).
La calificación de ciberseguridad de LEET Security es la mejor opción para cumplir con los requisitos de la regulación y gestionar de manera efectiva los riesgos cibernéticos, tanto propios como de terceros, y para acreditar cumplimiento.
Existen certificaciones y estándares tipo ISO 27001, que abordan criterios de ciberseguridad pero sólo informan sobre la existencia de un sistema de gestión, no sobre si las medidas realmente aplicadas ofrecen mayor o menor nivel de seguridad.
También están las evaluaciones perimetrales, o rating digitales, que son cómodas pero poco fiables ya que aportan información "reputacional" del evaluado disponible de forma pública, y no evalúan los procesos ni medidas operativas en los servicios ofrecidos.
Solicite su sesión de descubrimiento y sepa de qué manera la calificación de ciberseguridad puede ayudarle a mejorar su seguridad, o solicítenos información sobre LEET Security y nuestros servicios.