La Experiencia del Banco de España como CCO

• Julia Sánchez, CCO del Banco de España desde marzo de 2022, comparte su experiencia en la creación e implementación de una función de cumplimiento normativo de software (CCO) dentro del banco.

• Aunque el Banco de España no está sujeto a la regulación DORA, reconoce la importancia de adaptarse a la evolución del mercado tecnológico y protegerse de los riesgos asociados al uso del software.

Inicio y Formación:

• La función de CCO se creó el 8 de marzo de 2022, con Julia Sánchez a la cabeza y con el apoyo de un equipo.

• Dada la escasez de información sobre cumplimiento normativo de software, se contrató a una empresa experta (CSV) para brindar formación y asesoramiento.

• Se analizaron las prácticas de otras entidades y se consultó al Sistema Europeo de Bancos Centrales para comprender mejor el panorama del CCO.

Enfoque y Decisiones Clave:

• Se optó por un enfoque de cumplimiento normativo en lugar de gestión de activos, debido a las diferencias en objetivos, normativa y alcance.

• Se definió la función del CCO, que incluye el desarrollo de un sistema de gestión, asesoramiento a la organización, gestión de consultas y elaboración de informes.

• Se establecieron tres líneas de defensa: la primera línea (usuarios de software), la segunda línea (CCO) y la tercera línea (auditoría).

Acciones Iniciales y Valor Agregado:

• Se priorizó la formación continua y la concienciación de los empleados sobre los riesgos del software.

• Se segmentaron los contratos de software para centrarse en aquellos con mayor riesgo para la organización.

• Se estableció un canal de consultas para brindar apoyo a los empleados en temas de cumplimiento.

• Se identificaron y gestionaron amenazas e incidentes relacionados con el software.

Desarrollo del Sistema de Gestión:

• Se está desarrollando un sistema de gestión de cumplimiento normativo de software, que se espera esté finalizado en 2024-2025.

• El sistema incluirá procedimientos, guías y herramientas para gestionar los riesgos del software.

Objetivos Futuros y Conclusión:

• Se busca integrar la conciencia del riesgo del software en el ADN de la organización.

• Se espera que el sistema de gestión de cumplimiento mejore la mitigación y gestión de riesgos derivados del uso del software.

• Aunque no está sujeto a DORA, el Banco de España aprovechará las mejores prácticas de esta regulación para fortalecer su resiliencia.

En resumen, la experiencia del Banco de España demuestra la importancia de la función de CCO en un entorno tecnológico en constante evolución. La formación, la concienciación y el desarrollo de un sistema de gestión sólido son elementos clave para mitigar los riesgos asociados al uso del software y proteger a la organización.