Carlos Tur.

Carlos Tur.

Opinión la tribuna

DORA: compras más seguras para las empresas digitalizadas

Carlos Tur
Publicada

Proteger los datos de los clientes y blindarse contra los ciberataques, más que una necesidad, es ya un requisito legal. La llegada de la ley DORA obliga a las entidades financieras y a sus proveedores de servicios tecnológicos a implantar normas técnicas para blindarse contra los riesgos y asegurar el perfecto funcionamiento de la cadena de suministro. Para acelerar su adaptación a la nueva normativa es esencial que las empresas avancen en sus procesos de digitalización, en especial el de los departamentos de compras.

Los ciberataques sufridos por entidades financieras y de seguros en los últimos años, algunos de ellos muy preocupantes por la gran cantidad de información filtrada relativa a sus clientes, ha acelerado la necesidad de contar con un marco normativo estable y vinculante.

La ley de Resiliencia Operativa Digital (DORA) establece las normas técnicas que las entidades financieras y sus proveedores de servicios tecnológicos críticos deben implantar en sus sistemas a partir de enero de 2025 para operar con la máxima transparencia y seguridad para las propias organizaciones y sus clientes.

De este modo, entra en escena un marco vinculante y exhaustivo para la gestión de los riesgos de las tecnologías de la información y la comunicación (TIC) en el sector financiero de la UE.

De hecho, el informe 'Panorama Global de Ciberseguridad' del Foro Económico Mundial revela que el 60% de los ejecutivos creen que una normativa adecuada reduce los riesgos en materia de ciberseguridad y privacidad – un importante aumento respecto al 21% de 2022.

Más digitalización, más seguridad

Pero ¿qué pasos previos son necesarios para adaptarse a la nueva norma? Desarrollar una estrategia de compras sólida y gestionar el riesgo son dos transformaciones vitales para el cumplimiento. Entre otros cambios significativos, las organizaciones deben actualizar sus políticas estableciendo pautas claras para incorporar cláusulas de ciberseguridad y resiliencia digital.

Al incorporar estas cláusulas en la creación y negociación de contratos, las organizaciones garantizan que los proveedores cumplen con los altos estándares de seguridad, clave para mejorar la resiliencia operativa digital.

En su proceso de selección de proveedores, las entidades deben incorporar criterios de ciberseguridad y resiliencia digital, evaluando a aquellos en función de su capacidad para cumplir con las exigencias legales. Una estrategia de compras bien definida garantiza una selección cuidadosa de proveedores que cumplan con estrictos estándares de ciberseguridad mediante una debida diligencia exhaustiva.

Mejorar los procesos de diligencia debida supone además contrarrestar los riesgos relacionados con los proveedores, especialmente el de concentración. Esto implica diversificar la base para evitar una dependencia excesiva de unos pocos.

Al distribuir el riesgo, las organizaciones pueden brindar una prestación continua de servicios sin comprometer la cadena de suministro, y esto solo se puede lograr controlando cada fase del proceso. Es decir, es necesario saber quiénes son los proveedores de los proveedores y si todos cumplen con la normativa y los criterios de sostenibilidad, seguridad y transparencia exigibles.

Asimismo, las facturas se deben procesar de manera segura, con sistemas diseñados para detectar y prevenir actividades fraudulentas. Las organizaciones deben verificar la autenticidad de estos documentos y su cumplimiento de los estándares normativos.

En la última fase, los procesos de pago deben reforzarse con medidas de seguridad mejoradas utilizando pasarelas seguras y tecnologías de cifrado.

En definitiva, las organizaciones deben realizar evaluaciones de riesgos exhaustivas y garantizar que tanto la propia organización como sus proveedores cuenten con medidas sólidas de seguridad y resiliencia, algo que solo es posible mediante la implantación de la tecnología en sus operaciones.

Romper la brecha

Lógicamente, no hay unanimidad entre las entidades en cuanto al grado de aplicación de normas relativas a la ciberseguridad. Según el Foro Económico Mundial, todavía existe una brecha entre aquellas que están tomando medidas decisivas para mejorar su ciberresiliencia y las que se enfrentan a los retos sin una visión estratégica de las soluciones a largo plazo.

Para ello es imprescindible pasar de lo tradicional o analógico a lo digital. Parece increíble pensar que en 2025 hay grandes empresas que aún no digitalizan sus operaciones de compras, teniendo en cuenta los volúmenes que manejan cada día; y sin embargo así es.

Y no es solo por cumplir la legalidad. La experiencia ha demostrado que las empresas que ya tenían recorrido en digitalización salen mejor paradas de las crisis, por ejemplo, la del Covid en 2020 o la de la cadena de suministro en 2024, que aquellas que no lo tenían. Invertir en nuevas tecnologías supone eliminar labores burocráticas y de poco valor añadido. Y, por supuesto, tener la capacidad de seguir y rastrear procesos facilita detectar antes irregularidades en la cadena de suministro o falta de cumplimiento de las leyes locales o internacionales.

Pero antes, las organizaciones que aún no lo hayan hecho deben abandonar la calculadora y el Excel (nada en contra, pero son obsoletos) y dedicar el 80% del tiempo a tareas estratégicas, investigar en nuevas tecnologías, innovar, cambiar de chip. Una transformación verdadera que al final aporta ahorro, transparencia, fiabilidad y una correcta gestión del riesgo. En definitiva, las que se adelanten a la norma no solo estarán cumpliendo con ella sino que sobre todo jugarán con ventaja en el nuevo escenario que refuerza la ciberseguridad y la transparencia en las operaciones.

*** Carlos Tur es Country manager de JAGGAER para España y Portugal.