Blog de Internet Security Auditors: Cambios regulatorios y su impacto en las estructuras de decisión de las empresas

En mayo de 2017, las autoridades que conforman el Sistema Europeo de Supervisores Financieros, Autoridad Bancaria Europea (EBA), Autoridad Europea de Mercados y Valores (ESMA) y Autoridad de Seguros y Pensiones (EIOPA) publicaron una serie de propuestas que refrendaban la necesidad de crear un marco común de cooperación que permitiera  un equilibrio entre innovación y garantías para el consumidor, desde el punto de vista de la prestación de servicios digitales.

La EIOPA diseño seis áreas de estrategia para garantizar la protección de los consumidores y salvaguardar la estabilidad financiera:

1. Integrar las consideraciones de las finanzas sostenibles en todas las áreas de trabajo, incluyendo las brechas en la protección.
2. Apoyar a los operadores del mercado financiero y a las entidades supervisoras en la transformación digital: preparación de Normas Técnicas de Regulación y de Aplicación del Reglamento de Resiliencia Operativa Digital (DORA).
3. Mejorar la calidad y la eficacia de la supervisión, incluida la definición de prioridades estratégicas a escala de la Unión.
4. Garantizar una política prudencial y de conducta técnicamente sólida.
5. Identificar, evaluar, supervisar e informar sobre los riesgos para la estabilidad financiera y la conducta empresarial, así como promover políticas preventivas y acciones de mitigación.
6. Proporcionar una contratación, gestión y desarrollo eficaces del capital humano de EIOPA.

Reglamento de Resiliencia Operativa Digital (DORA)

Ya es una realidad y mejora la igualdad de condiciones en Europa, permitiendo simplificar y armonizar las normas en resiliencia operativa digital, sin perjuicio de las directrices fijadas por EBA, ESMA o EIOPA sobre esta materia, o las prácticas de supervisión nacionales.
En la actual coyuntura de externalización, los riesgos TIC siguen aumentado y dentro de las organizaciones marcan una potencial vulnerabilidad que precisa de estudio, priorización e integración en los programas de control internos. Esto sucede cuando:

• Se buscan metas de mejora de la ciberseguridad.
• No se está seguro del mejor uso de los recursos.
• Existe una aglomeración de tareas y precisamos evaluar las alternativas más apropiadas.
• O una decisión genera una incertidumbre de eficacia o retorno de inversión.

Ante un objetivo determinado, tener visibilidad de todos los riesgos es clave para adoptar la acción adecuada.

DORA viene a endurecer los actuales marcos de gobierno, gestión y control de las entidades financieras, introduciendo requerimientos previos tales como la evaluación y homologación previa al contrato de proveedores TIC y en el proceso posterior.

Pero como un riesgo TIC no sólo tiene su origen en la externalización, sino también en el riesgo de disponibilidad y continuidad, integridad de datos etc.…las entidades deben contemplar todos esos riesgos y gestionarlos en las políticas y procedimientos de riesgos TIC globales, junto con la manera prevista de actuación que tienen, en caso de producirse un incidente.

Ello nos lleva a plantear cual sería la forma más eficiente de organizar un esquema de decisión empresarial, la figura del CEO, CIO, CDO, CTO ect…supone en ocasiones, una necesidad de delimitación de competencias, que no siempre está establecida claramente o que como consecuencia de transformación o readaptación de cargos supone un choque entre áreas.

Debemos tener presente que cada vez más se precisará de una comunicación que trasciende las estructuras jerárquicas tradicionales, el ejemplo mas claro es la figura del Chief Technology Risk Officer (CTRO) cargo responsable de gestionar de manera eficiente y efectiva el control sobre los riesgos y oportunidades a los que se enfrenta una compañía garantizando que éste se encuentra dentro de los límites fijados por la misma.

Entre las competencias que tiene esta figura podemos destacar:

• Garantizar el cumplimiento de acuerdo con la normativa que afecte a la organización.
• Establecer, implementar y mantener un marco integral de gestión de riesgos que permita  cubrir todos los riesgos internos y externos por lo que pueda verse afectada.
• Asegurar que la exposición al riesgo se comprende y cumple todos sus niveles de la compañía.
• Establecer, implementar y mantener procesos y procedimientos para asegurar que se identifican los riesgos emergentes se comunican a todo el personal.
• Gestionar la recuperación del riesgo.
• Coordinarse con el Departamento de Cumplimiento Normativo, (auditoría interna) para que las pruebas y el cumplimiento con los procedimientos de gestión de riesgo sean eficaces.

Esta figura CTRO, puede parecer que entra en conflicto con el Chief Executive Officer (CEO), que es el máximo responsable de la gestión y administración de la compañía, dado que sobre él recae la responsabilidad de la toma de decisiones, estrategias y objetivos de una organización, pero no es así, dado que su el CTRO tiene como responsabilidad evaluar los riesgos que amenazan a una compañía, para ser considerados por el CEO.

Al final y si bien el CEO estaría por encima de la figura del CTRO en esa toma de decisiones, dada la importancia que hoy en día ha adquirido el control de los riesgos, podemos decir que ambos deberían situarse en un nivel equiparable dentro de la estructura empresarial, estableciendo un grado de colaboración e interdependencia que hace igual de importante una figura y que la otra sin olvidar también a los CIO que se encargan de la operación de tecnología de la información de la organización.

Por tanto la confluencia CEO-CTO-CIO se convierte en un trío esencial en cualquier compañía que quiera enfrentar adecuadamente  los nuevos retos regulatorios,  retos que cada vez se producen más rápido y generan una constante obligación de evolución y adaptación si queremos tener  protegidas nuestras  organizaciones.

Autor: Carmen Areces
Gerente de Cuentas