Una decisión estratégica, no solo regulatoria

La entrada en vigor del Reglamento de Resiliencia Operativa Digital (DORA) ha supuesto un cambio relevante en la forma en que las entidades financieras deben gestionar, gobernar y controlar los riesgos TIC. No se trata únicamente de una nueva obligación regulatoria, sino de un marco integral que eleva la resiliencia operativa digital al mismo nivel que otros riesgos tradicionales del negocio.

Sin embargo, tener DORA “bien” ante los ojos de un auditor o del supervisor no es, ni debería ser, el objetivo final. El verdadero valor de DORA reside en utilizar el marco regulatorio como una palanca para mejorar la resiliencia del negocio, reforzar la gobernanza TIC y fortalecer la capacidad de respuesta ante situaciones de crisis, con un impacto directo y tangible en la continuidad del negocio, la reputación de la entidad y la eficiencia operativa.

En este contexto, realizar una auditoría de cumplimiento DORA —antes de inspecciones supervisoras o requerimientos formales— se consolida como una buena práctica clave. No como un ejercicio defensivo, sino como una herramienta para evaluar si el marco de control está realmente preparado para afrontar escenarios de disrupción operativa cada vez más complejos y severos.

---

¿Por qué una auditoría DORA es crítica?

Porque DORA no evalúa únicamente la existencia de políticas o procedimientos, sino su coherencia interna, su trazabilidad, su alineación con la estrategia de negocio de la entidad y la efectividad de su gobierno, especialmente en ámbitos como:

• Gestión integral del riesgo TIC y su alineación con el riesgo de negocio.
• Gobernanza y ciclo de vida de los activos TIC críticos.
• Marco de ciberseguridad y control de la seguridad de la información.
• Prevención, detección y gestión de amenazas y vulnerabilidades.
• Gestión y notificación de incidentes TIC.
• Continuidad de negocio y recuperación ante desastres.
• Gestión de proveedores de servicios TIC críticos.
• Pruebas de resiliencia operativa digital.

Muchas entidades cuentan con parte de su documentación formalmente aprobada; sin embargo, no siempre todo el marco se encuentra actualizado, formalizado o alineado de forma homogénea. Las principales brechas suelen aparecer en el diseño del marco, no necesariamente en su ejecución diaria. Políticas desconectadas, documentos desactualizados, algunos formalmente aprobados y otros aún sin aprobación formal, marcos que no son conocidos por los usuarios, responsabilidades poco operativas, ausencia de criterios homogéneos o controles que, en la práctica, no se realizan de forma consistente, son señales habituales de un modelo poco defendible.

---

Proporcionalidad y madurez: claves del éxito

DORA es explícito en el principio de proporcionalidad. En este ámbito, menos, es más: se trata de hacer lo necesario y adecuado en función del tamaño, perfil de riesgo, complejidad real y alineación con los procesos de negocio de la entidad.

Una auditoría adecuadamente alineada con la proporcionalidad de la entidad es el mejor punto de partida, ya que permite enfocarse en las políticas, procedimientos y controles que realmente aportan coherencia al marco de gestión del riesgo TIC. Solo cuando ese marco es coherente, completo y proporcionado tiene sentido someterlo a una revisión estructurada de diseño y, posteriormente, a la validación de su efectividad.

---

Auditoría de diseño: el primer paso correcto

Una auditoría DORA bien planteada no debe empezar por pruebas operativas, sino por responder a una pregunta clave:

¿Está el marco de control correctamente diseñado para cumplir con DORA y servir de base a una futura evaluación de su efectividad?

Desde la experiencia en auditoría regulatoria, los hallazgos más relevantes en esta fase suelen concentrarse en aspectos estructurales como:

• Ausencia de una metodología formal de gestión del riesgo TIC que sustente de forma defendible el perímetro DORA.
• Falta de integración entre políticas clave (riesgos TIC, seguridad, continuidad, terceros).
• Gobernanza poco operativa que no involucra de forma efectiva al órgano de dirección.
• Definiciones ambiguas de criticidad o esencialidad sin criterios homogéneos.

Identificar estas brechas de diseño permite priorizar correctamente los esfuerzos y construir una hoja de ruta ordenada y sostenible.

---

El segundo paso: auditoría de efectividad de los controles

Una vez validado el diseño, el siguiente paso natural —y regulatoriamente esperado— es verificar la efectividad de los controles en funcionamiento.

¿Se están ejecutando realmente los controles definidos y pueden demostrarse con evidencias consistentes ante un supervisor?

En esta fase no se cuestiona el diseño conceptual, sino la ejecución práctica. Los hallazgos más habituales no suelen ser de definición, sino de aplicación y evidencia, por ejemplo:

• Controles periódicos definidos en política, pero no ejecutados o no documentados (revisiones de accesos, seguimiento de SLAs, monitorización de riesgos TIC).
• Registros incompletos o falta de trazabilidad en la gestión de incidentes.
• Pruebas de continuidad realizadas sin documentación formal de resultados, lecciones aprendidas o acciones correctivas.
• Falta de evidencias de seguimiento de vulnerabilidades, parches o alertas de ciberseguridad.
• Reportes al órgano de dirección definidos pero no emitidos con la periodicidad prevista.
• Dependencia operativa de proveedores TIC sin evidencia de supervisión efectiva continua.

Estos hallazgos no implican necesariamente que exista un defecto estructural en el diseño, sino que no está plenamente internalizado ni ejecutado de forma consistente.

El enfoque secuencial —primero diseño, después efectividad— permite diferenciar claramente entre debilidades estructurales y fallos de ejecución. En esta segunda fase el foco es exclusivamente operativo: comprobar que los controles se aplican, se supervisan, se evidencian y funcionan de manera consistente en el día a día, alineados con los procesos de negocio de la entidad.

---

El verdadero valor de auditar DORA

El verdadero valor de una auditoría DORA no reside únicamente en demostrar cumplimiento, sino en comprobar si el marco de gestión del riesgo TIC es coherente, ejecutable y alineado con los procesos de negocio de la entidad.

Una auditoría estructurada —primero de diseño y después de efectividad— permite:

• Confirmar que la gobernanza TIC está realmente operativa y que el órgano de dirección ejerce su rol como último responsable del riesgo TIC.
• Verificar que los activos críticos están correctamente identificados, gobernados y protegidos.
• Asegurar que los controles de ciberseguridad, gestión de incidentes y continuidad no solo existen, sino que se aplican y generan evidencias consistentes.
• Validar que los mecanismos de supervisión de proveedores TIC funcionan de forma continua y proporcional al riesgo.
• Detectar desviaciones entre lo documentado y lo que efectivamente ocurre en la práctica.

En otras palabras, permite responder con fundamento a una cuestión esencial: ¿Está la entidad verdaderamente preparada para sostener su estrategia de negocio en un entorno de amenazas tecnológicas crecientes, dependencia de terceros críticos y exigencia regulatoria permanente, con un marco de gobierno y control capaz de anticipar, absorber y adaptarse a la disrupción digital?

Auditar DORA es, por tanto, una decisión estratégica que impacta directamente en la resiliencia del negocio, la calidad de la gobernanza TIC y la capacidad real de respuesta ante crisis. No se trata de estar preparados para una inspección, sino de estar preparados para una interrupción significativa.

Porque cuando la disrupción llega, ya no se evalúa el diseño… se pone a prueba la efectividad.