Si tienes hijos, recordarás a Dora la Exploradora: mochila preparada, mapa en mano y una misión clara. Hoy, como CISOs, os toca algo parecido… solo que la selva es digital, los puentes son proveedores críticos y el villano no es Swiper, sino una interrupción operativa mal gestionada.
La entrada en vigor de DORA (Digital Operational Resilience Act) marca un antes y un después para las organizaciones financieras y su ecosistema tecnológico. Y sí, esta vez no basta con preguntar al mapa tres veces.
La mochila del CISO: ¿llevas todo lo que pide DORA?
DORA no es “otro framework de ciberseguridad”. Es una regulación europea que exige a las organizaciones demostrar resiliencia operativa, no solo declararla. En la mochila del CISO ya no pueden faltar:
- Gestión del riesgo TIC de extremo a extremo: No solo firewalls y SOC. También procesos, personas, dependencias y escenarios de fallo realistas.
- Gestión de incidencias seria (y coordinada): Clasificación, tiempos de notificación, lecciones aprendidas… y coherencia entre IT, negocio y legal.
- Testing avanzado de resiliencia: No basta con DRP sobre el papel. DORA empuja hacia pruebas más exigentes: escenarios severos pero plausibles, incluso threat-led penetration testing para entidades críticas.
- Control de terceros TIC: Porque si tu proveedor cae, tú caes. Y DORA lo deja muy claro.
El mapa: resiliencia operativa no es solo ciberseguridad
Uno de los errores más comunes es pensar que DORA es “un tema del CISO”. Spoiler: no lo es. DORA habla de resiliencia operativa digital, lo que implica:
- Negocio
- IT
- Ciberseguridad
- Riesgos
- Compliance
- Proveedores
- Alta dirección
El CISO suele convertirse en el guía de la expedición, pero el viaje es transversal. Si cada área sigue su propio mapa, el resultado es previsible: desalineación, redundancias… y sustos en auditoría.
Swiper no roba mochilas, roba servicios: el reto de los terceros
En Dora, Swiper intenta llevarse cosas sin permiso. En nuestro mundo, los riesgos vienen de:
- Proveedores cloud
- MSSPs
- SaaS críticos
- Integradores
- Subcontratas invisibles
DORA pone orden:
- Inventario completo
- Clasificación por criticidad
- Cláusulas contractuales claras
- Planes de salida (exit strategies)
- Evidencias
Para muchos CISOs, esto es el punto más crítico… y también donde más valor se puede aportar si se hace bien.
“¡Lo hicimos!”: pasar de cumplir a ser resilientes
El mayor riesgo con DORA es abordarlo como un checklist regulatorio. El mayor acierto es usarlo como palanca para:
- Mejorar la relación CISO–negocio
- Priorizar inversiones con impacto real
- Visibilizar dependencias ocultas
- Ganar madurez operativa, no solo técnica
Cuando llegue la incidencia (porque llegará), la pregunta no será “¿cumplimos DORA?”, sino: ¿fuimos capaces de resistir, responder y recuperarnos sin paralizar el negocio? Ahí es donde se separa el cumplimiento de la resiliencia real.
Conclusión: explorar sin perder el camino
DORA no viene a complicar la vida al CISO, viene a formalizar algo que ya sabíamos: la ciberseguridad sin resiliencia operativa es solo media historia. Como en los dibujos animados:
- Hay misión
- Hay obstáculos
- Hay equipo
- Y hay un objetivo claro
La diferencia es que esta vez, cuando digamos “¡Lo hicimos!”, no será por llegar al final del capítulo… sino por mantener el negocio en pie cuando todo falla.
Fundador y CEO de Optima Solutions desde 2006, una empresa tecnológica en España enfocada en la implementación de tecnologías para el soporte al cliente y al usuario. Cuento con más de 25 años de experiencia en el sector tecnológico. Antes de emprender, trabajé en varias consultoras tecnológicas, lo que me permitió adquirir un profundo conocimiento de los desafíos a los que se enfrentan tanto los clientes como las empresas. Aquí comparto lo que voy aprendiendo o me parece interesante sobre tecnología e Inteligencia Artificial.