Avaluació avançada del gap de compliment NIS2

Desafiament

Un supervisor financer nacional necessitava conèixer amb precisió el grau d'adequació a DORA.

L'organisme devia:

Avaluar el estat corporatiu de compliment DORA, juntament amb altres principals marcs daplicació per a entorn financer a tota l'organització.
Identificar incompliments, mancances i solapaments en les polítiques, els procediments i els controls de seguretat.
Prioritzar les mesures dadequació amb una visió de riscos, distingint els incompliments de més impacte potencial.

El repte principal era el volum i la dispersió de la informació: centenars de documents interns (normativa interna, procediments, polítiques de seguretat, gestió d'incidents, continuïtat de negoci, relació amb proveïdors, etc.) elaborats al llarg d'anys per diferents àrees.

Un enfocament purament manual hauria suposat:

Mesos de treball intensiu dequips jurídics, de seguretat i de compliment.
Risc de inconsistències els criteris d'avaluació.
Dificultat per obtenir una foto global, estructurada i prioritzada del compliment de la DORA.

Enfocament

ECIX Tech va desplegar un servei Legal Operations d'avaluació de DORA recolzat en les capacitats de MIA Enterprise per automatitzar lanàlisi documental i la interpretació normativa. L'enfocament es va estructurar en tres passes:

Model de referència DORA juntament amb altres marcs d'aplicació principals per a entorn financer
- Definició d'un mapa de requisits DORA adaptat al rol de lorganisme com a entitat essencial en làmbit financer.
- Construcció d'una matriu d'avaluació que relacionava cada obligació amb evidències esperades en polítiques, procediments i controls interns.
Anàlisi massiva de documentació amb MIA Enterprise
- Ús dels algorismes de MIA per analitzar centenars de documents internsidentificant referències rellevants a govern de la seguretat, gestió d'incidents, continuïtat, gestió de proveïdors i altres dominis d'aplicació.
- Classificació automàtica dels continguts segons els requisits de la norma i detecció de llacunes, incoherències o absència d'evidències.
Avaluació de gap i priorització basada en risc
- Elaboració d'un diagnòstic estructurat de compliment, indicant per a cada requisit DORA el nivell d'adequació assolit.
- Identificació de incompliments i desviacions amb una visió de riscos: destacant aquells amb impacte potencial més elevat sobre la continuïtat de serveis essencials o l'exposició davant de supervisors.
- Proposta de mesures mitigadores i d'adequació prioritzades facilitant l'elaboració d'un roadmap realista d'alineament amb DORA.

Resultats

La combinació del servei Legal Operations i la tecnologia de MIA Enterprise va permetre a l'organisme:

Obtenir en un termini reduït una radiografia completa i estructurada de la seva situació davant de DORA, sense necessitat de revisar manualment cada document.
Identificar amb claredat quins requisits es complien, quins presentaven debilitats i quins suposaven un risc rellevant des del punt de vista operatiu i regulatori.
Disposar d'un informe de gap DORA prioritzat per risc, que es va convertir en la base per al disseny del seu pla dadequació i dinversió en seguretat.
Millorar-ne capacitat de resposta davant de futures exigències supervisores i auditories, en comptar amb una anàlisi traçable, explicable i recolzada en criteris objectius.

En conjunt, el projecte va demostrar com MIA Enterprise pot accelerar i enfortir l'avaluació de compliment en marcs complexos com ara DORA, proporcionant a un supervisor financer nacional una visió clara, prioritzada i accionable del nivell de maduresa en ciberseguretat.