ISGroup Consultoría de Ciberseguridad

Evaluación de seguridad de red en DORA para infraestructuras financieras

El Reglamento DORA impone a las entidades financieras una verificación rigurosa y constante de la infraestructura de red, exigiendo evaluaciones exhaustivas para garantizar que la arquitectura resista, detecte y contenga las ciberamenazas. El programa de pruebas de resiliencia operativa digital, según el Artículo 25, debe incluir evaluaciones de seguridad de red (network security assessments) estructuradas para asegurar la continuidad y seguridad de las funciones críticas o importantes.

¿Qué es un network security assessment en DORA?

Un network security assessment en el ámbito de DORA es un proceso técnico y analítico que valida la eficacia de las políticas, los procedimientos y las herramientas de seguridad de la red. El objetivo no es solo identificar vulnerabilidades de software, sino verificar la robustez de la configuración y el diseño de la red para prevenir accesos no autorizados, garantizar la confidencialidad e integridad de los datos en tránsito y proteger la continuidad de las funciones críticas.

Segmentación, accesos remotos, firewalling, IAM, PAM y registro de eventos (logging)

  • Segregación y Segmentación: La red debe estar segmentada según la criticidad de las funciones soportadas y el perfil de riesgo de los activos TIC, limitando el movimiento lateral de los atacantes.
  • Firewalling y Filtros de Conexión: Deben identificarse roles y responsabilidades para la aprobación y revisión de las reglas de firewall. En los sistemas que soportan funciones críticas, la revisión de la adecuación de las reglas es obligatoria al menos cada seis meses.
  • Gestión de Accesos (IAM y PAM): La implementación de controles de acceso a la red es obligatoria para impedir la conexión de dispositivos no autorizados. Para la administración de activos críticos, se requiere una red separada y dedicada.
  • Logging y Monitorización: Es necesario registrar eventos relacionados con el tráfico y el rendimiento de la red, con un nivel de detalle proporcional a la criticidad del activo. Los registros (logs) deben estar protegidos contra manipulaciones y eliminaciones.
  • Cifrado en tránsito: Todas las conexiones de red, ya sean corporativas, públicas o inalámbricas, deben estar cifradas según la clasificación de los datos tratados.

Hardening y revisión de exposición para activos expuestos

  • Network Hardening: Deben implementarse bases de configuración segura para todos los componentes de red, siguiendo las instrucciones de los proveedores y las mejores prácticas del sector.
  • Gestión de la Exposición: Está prohibido el acceso directo desde Internet a los dispositivos utilizados para la administración de los sistemas de información.
  • Terminación de Sesiones: Los procedimientos deben prever el cierre automático de las sesiones remotas tras un periodo de inactividad preestablecido.
  • Aislamiento Temporal: La red debe estar diseñada para permitir el aislamiento temporal de subredes o componentes en caso de incidente.

Relación con el análisis de vulnerabilidades y el pentesting

El network security assessment se sitúa entre el análisis de vulnerabilidades (vulnerability assessment) y el test de penetración (penetration test). El análisis de vulnerabilidades se limita a un escaneo automatizado de fallos conocidos, mientras que el test de penetración realiza una simulación activa de ataques. El network assessment se centra en el análisis de la configuración y la arquitectura para identificar errores lógicos y puntos de fallo que los escaneos podrían no detectar. Sirve para mapear los flujos de datos y definir el alcance correcto para las actividades de análisis de vulnerabilidades y tests de penetración.

Evidencias y remediación

  • La documentación producida debe incluir el mapeo y la representación visual de las redes y los flujos de datos.
  • Deben reportarse los resultados de las revisiones anuales de la arquitectura de red.
  • Debe preverse un plan de remediación que vincule las carencias detectadas con su causa raíz mediante un análisis de causa raíz (root cause analysis), asignando prioridades según el riesgo para las funciones críticas.

Preguntas frecuentes (FAQ)

  • ¿Es lo mismo que un pentest?
  • No. El test de penetración intenta violar las defensas; el network security assessment verifica que las defensas (segmentación, firewall, hardening) estén configuradas según las políticas y las mejores prácticas.
  • ¿Se debe incluir la nube?
  • Sí. DORA se aplica a todos los activos TIC, incluidas las infraestructuras en la nube y los servicios de terceros.
  • ¿Cómo demostrar la proporcionalidad del control?
  • Según el Artículo 4, la complejidad de la evaluación depende del tamaño y el perfil de riesgo de la entidad, pero no se puede prescindir de los requisitos mínimos de segregación y revisión semestral para los sistemas críticos.

Proteja su infraestructura: solicite un Network Security Assessment orientado a DORA para validar su segmentación y hardening antes de la inspección de las autoridades.

In

, , ,