La gestión de activos bajo DORA representa el requisito estratégico para la seguridad de las infraestructuras críticas. La eficacia de las pruebas de seguridad impuestas por el Digital Operational Resilience Act depende de la precisión en la definición del perímetro de los activos. La identificación y clasificación de los activos son indispensables para garantizar que los sistemas de producción en vivo críticos (critical live production systems) estén protegidos y probados de manera adecuada.
Inventario de activos y pruebas: un vínculo normativo
El Artículo 8 de DORA afirma que la identificación y clasificación de los activos constituyen los pasos fundamentales e iniciales para la resiliencia operativa. Los programas previstos por los Artículos 24 y 25 y la gestión de vulnerabilidades deben basarse en una clasificación precisa de los activos, ya que el escaneo de vulnerabilidades debe ser proporcional al perfil de riesgo del propio activo. La falta de clasificación o la exclusión de activos críticos puede llevar a pruebas insuficientes o erróneas.
Identificación de las funciones críticas o importantes (CIF)
- Identificación total: La entidad financiera debe mapear todas las funciones operativas y empresariales.
- Evaluación de criticidad: Los criterios, que deben respetarse según el Art. 3(22) de DORA, incluyen el impacto en la estabilidad financiera, la importancia para las operaciones diarias y la dificultad de sustitución en caso de fallo.
Mapeo de activos, propietarios, dependencias y exposición
El Reglamento Delegado (UE) 2024/1774 impone el mantenimiento de registros detallados para cada activo TIC. Cada activo debe incluir:
- Identificador único y ubicación física/lógica
- Propiedad (owner): identidad del responsable
- Soporte a las CIF: relación con funciones críticas
- Interdependencias con otros activos o funciones empresariales
- Exposición a redes externas o Internet
- Fecha de fin de soporte (End-of-Life) proporcionada por proveedores externos
Errores de clasificación que impactan en las pruebas
Un error frecuente en el inventario de activos TIC bajo DORA se refiere a la falta de mapeo de las dependencias tecnológicas hacia terceros. Si un proveedor TIC subcontrata servicios relevantes para funciones críticas, toda la cadena de valor tecnológica debe registrarse en el registro de información (register of information). Un riesgo adicional deriva del uso de entornos de prueba distintos a los de producción; DORA establece que para las pruebas avanzadas (TLPT) se deben utilizar los sistemas en vivo, lo que hace esencial contar con información actualizada y precisa sobre los activos involucrados.
Resultado mínimo requerido para VA/PT
Antes de realizar evaluaciones de vulnerabilidad (VA) o pruebas de penetración (PT) es necesario disponer de:
- Registro de información (RoI) actualizado sobre acuerdos contractuales y servicios TIC
- Documentación de las CIF: lista aprobada de las funciones críticas y de los activos relacionados
- Mapeo de flujos de datos: detalles de las conexiones de red y de los flujos para definir la superficie de ataque
Preguntas frecuentes sobre la gestión de activos DORA
- ¿Es suficiente un CMDB?
- Un CMDB estándar generalmente no es suficiente, ya que DORA requiere también la vinculación con las CIF, los requisitos de continuidad de negocio (RTO/RPO) y la gestión de las interdependencias con proveedores externos.
- ¿Cómo clasificar los activos en la nube?
- Los activos en la nube deben clasificarse según la taxonomía DORA (IaaS, PaaS, SaaS) e incluirse en el inventario general, definiendo claramente las responsabilidades entre la entidad y el proveedor.
- ¿Procedimiento de vinculación entre activos y funciones críticas?
- Se debe realizar una “evaluación de criticidad” (criticality assessment) para valorar el impacto de la pérdida de confidencialidad, integridad o disponibilidad del activo sobre la función empresarial soportada.
Planifica correctamente tu perímetro: participa en nuestro taller de clasificación de activos y alcance de pruebas para alinear tu inventario con los requisitos técnicos de DORA.