¿Cómo cumplir con un reglamento para el que no hay certificación?
CONTROLA Y ACREDITA LA DEBIDA DILIGENCIA EN LA GESTIÓN DE RIESGO TECNOLÓGICO
Aunque con frecuencia nos encontremos con ello, el Reglamento DORA no es susceptible de ser certificado. El verdadero objetivo del mismo no radica tanto en su cumplimiento como en la mejora de la resiliencia del sector financiero en su conjunto, incluyendo a las entidades obligadas y a sus proveedores, a fin de aumentar la confianza del mercado en el sistema financiero y preservar su estabilidad.
La mejora de la resiliencia solo puede conseguirse disponiendo de un sistema de medida, como lo es la Calificación de LEET Security. Su marco de control incorpora los estándares de mayor implantación y las mejores prácticas internacionales, y se ha ampliado para recoger y mapear todos los contenidos que se establecen como requisitos. DORA Passport verifica y acredita el grado de implantación de las normas reguladoras.
DORA Passport by LEET
la solución integral y eficiente para conocer y acreditar el nivel de cumplimiento
DORA Passport Proporciona una valoración completa de los requisitos establecidos en el Reglamento (UE) 2022/2554 sobre la resiliencia operativa digital del sector financiero (DORA) y su desarrollo en los posteriores Reglamentos delegados.
Esta solución es válida, tanto para las entidades financieras como para sus proveedores, complementa a la Calificación de Ciberseguridad de LEET Security y muestra de forma expresa si la organización ha implantado, y en qué grado, la totalidad de medidas técnicas y organizativas recogidas en el Reglamento, así como aquellas prácticas que deberían ser establecidas para su consecución y/o suponen una mejora de nivel.
UN PROCESO ÚNICO
Durante el proceso de auditoría necesario un equipo especializado e independiente, aplicando la metodología y toda la experiencia adquirida con la Calificación LEET, requerirá:
Una descripción clara y precisa del alcance asociado a los servicios.
Documentación (políticas, normativas y procedimientos) que dé cobertura a todo el contenido.
Pruebas de la implantación y eficiencia operativa de los controles relacionados.
Evidencias de la realización de pruebas de resiliencia.
Tras el proceso auditor se entrega, además de la documentación propia de la Calificación LEET a la que va asociada:
Índice de ciberresiliencia: Evaluación del grado de implementación de medidas para la ciber resiliencia del servicio ofrecido (indicativo con valor entre 0 y 1000), y su evolución en los últimos 3 años. Para un resultado entre 500 y 749, se alcanza el grado de DORA Prime, y entre 750 y 1.000, el de DORA Elite.
Resumen ejecutivo: Opinión general del resultado de la evaluación, destacando los aspectos principales y las direcciones estratégicas de mejora.
Resultados en los cinco pilares: Resultado de la revisión realizada para cada uno de los cinco pilares fundamentales sobre los que se basa la regulación.
Evaluación respecto a los requisitos DORA: Evaluación detallada sobre el nivel de implantación de cada uno de los requisitos establecidos por DORA y los actos delegados asociados.
Benchmarking: Comparación de los resultados obtenidos con el resto de entidades evaluadas (en el sector financiero y/o en los proveedores TIC)
Lista priorizada de aspectos de mejora Medidas necesarias para mejorar el nivel de resiliencia clasificada por la importancia de las mismas.
Una solución para diferentes necesidades
Responsables de compliance
Para evaluar y acreditar grado de cumplimiento.
CISOs y Órganos de Dirección
Como mecanismo de evaluación objetivo para conocer, controlar y reportar el nivel de resiliencia, que permite hacer benchmarking con otras organizaciones.
Compras
Como sistema de due-diligence previa a la contratación de proveedores y posterior supervisión.
Responsables de Negocio (proveedores)
Una herramienta de diferenciación frente a clientes al demostrar compromiso con la seguridad y la resiliencia, facilitando a dichos clientes el cumplimiento de sus propias obligaciones.
UN SISTEMA PROBADO Y EVOLUCIONADO
La Calificación LEET, la mejor opción ante DORA
LEET Security es una agencia especializada cuya única actividad es el desarrollo de un modelo optimizado para la evaluación de capacidades de ciberseguridad, que ha sido adaptado para DORA, por lo que las evaluaciones se realizan de forma homogénea y con total ausencia de conflictos de intereses que pudieran derivarse de una potencial actividad asociada de consultoría/adecuación.
En particular, la auditoría realizada por LEET no es para detectar vulnerabilidades (tipo TIBER-EU), sino que se verifica que estas auditorías se realicen conforme a los requisitos (Arts. 26 y 27 del reglamento).
La calificación de ciberseguridad de LEET Security es la mejor opción para cumplir con los requisitos de la regulación y gestionar de manera efectiva los riesgos cibernéticos, tanto propios como de terceros, y para acreditar cumplimiento.
LAS CERTIFICACIONES NO SON SUFICIENTES
Informan sólo sobre cumplimiento de mínimos
Existen certificaciones y estándares tipo ISO 27001, que abordan criterios de ciberseguridad pero sólo informan sobre la existencia de un sistema de gestión, no sobre si las medidas realmente aplicadas ofrecen mayor o menor nivel de seguridad.
También están las evaluaciones perimetrales, o rating digitales, que son cómodas pero poco fiables ya que aportan información "reputacional" del evaluado disponible de forma pública, y no evalúan los procesos ni medidas operativas en los servicios ofrecidos.
“Lo que no se define no se puede medir. Lo que no se mide, no se puede mejorar. Lo que no se mejora, se degrada siempre.”
Lord Kelvin, físico y matemático británico
Contacte con nosotros
Solicite su sesión de descubrimiento y sepa de qué manera la calificación de ciberseguridad puede ayudarle a mejorar su seguridad, o solicítenos información sobre LEET Security y nuestros servicios.