ISGroup Consultoría de Ciberseguridad

Pruebas de continuidad de negocio y resiliencia operativa según DORA

El Digital Operational Resilience Act (DORA) introduce un nuevo enfoque sobre la seguridad informática, desplazando el foco de la mera protección del perímetro a la capacidad de mantener las operaciones incluso en presencia de incidentes. Las pruebas de continuidad de negocio (business continuity testing) bajo DORA se transforman así en un proceso de validación estructurado que involucra la gobernanza, los procesos y a los proveedores externos. El Reglamento Delegado (UE) 2024/1774 describe los criterios según los cuales las pruebas deben garantizar la conformidad de los sistemas de recuperación con los estándares regulatorios.

Continuidad y resiliencia en DORA

DORA exige a las entidades financieras integrar una política de continuidad operativa TIC en su marco de gestión de riesgos. Las pruebas de continuidad de negocio según DORA verifican tanto la validez de los planes de respuesta como la posibilidad real de sostener la viabilidad del negocio hasta el restablecimiento de las operaciones críticas.

Cómo definir escenarios de interrupción

Las pruebas de continuidad de negocio deben basarse en escenarios de interrupción severos pero plausibles, tal como establece la normativa:

  • Ataques informáticos directos y corrupción de datos.
  • Indisponibilidad de personal clave o de sedes físicas (oficinas y centros de datos).
  • Fallos sustanciales de los activos TIC o de la infraestructura de comunicación.
  • Insolvencia o quiebra de proveedores TIC críticos.
  • Eventos externos extremos, por ejemplo, desastres naturales, pandemias o interrupciones prolongadas de la red eléctrica.

Pruebas de recuperación, conmutación por error (failover), respaldo y comunicación

  • Respaldo y restauración (Backup y restore): Los procedimientos de recuperación de datos deben probarse al menos anualmente.
  • Conmutación tecnológica (Switchover): Es necesario probar la conmutación por error (failover) hacia sistemas redundantes o sitios secundarios, demostrando la capacidad de operar en dicho modo antes del retorno a la normalidad.
  • Comunicación de crisis: Las pruebas deben poner a prueba los planes de comunicación de crisis, verificando la prontitud de los flujos informativos hacia las partes interesadas y las autoridades.
  • Infraestructuras críticas: Para las CCP y CSD, la prueba incluye obligatoriamente un sitio secundario con riesgo geográfico distinto.

RTO/RPO: cómo interpretarlos correctamente

La normativa distingue claramente entre los requisitos de recuperación:

  • Recovery Time Objective (RTO): Para funciones críticas de CCP, CSD y centros de negociación, se impone un RTO máximo de 2 horas. Para las demás entidades, el RTO viene determinado por el Análisis de Impacto en el Negocio (BIA).
  • Recovery Point Objective (RPO): Representa la máxima pérdida de datos tolerable; para los centros de negociación, debe ser cercano a cero.
  • Registro: Cada función que soporte procesos críticos debe tener el RTO y el RPO registrados detalladamente en el Registro de Información (Register of Information).

Dependencias de proveedores y servicios compartidos

DORA destaca el papel de la cadena de suministro en la resiliencia operativa. Las pruebas de continuidad deben incluir los servicios prestados por terceros TIC, con la obligación contractual de que los proveedores participen en las pruebas de seguridad y resiliencia. También se requiere la evaluación de riesgos políticos o de jurisdicción, en caso de que el proveedor gestione datos en terceros países.

Preguntas frecuentes

  • ¿DORA impone siempre pruebas anuales de continuidad?
  • Los planes de continuidad operativa TIC deben probarse al menos una vez al año o tras cambios significativos en la infraestructura.
  • ¿Existe un RTO único para todas las entidades?
  • Solo las infraestructuras de mercado (CCP, CSD, centros de negociación) deben respetar el límite de las 2 horas. Para las demás entidades, el RTO se establece internamente mediante el BIA, con una justificación acorde al riesgo.
  • ¿Cómo demostrar que el plan es realista?
  • Es necesario documentar los resultados de las pruebas, analizar las deficiencias y presentar un informe al órgano de gestión con las acciones correctivas adoptadas.

Valida tu resiliencia: solicita el diseño de un programa de pruebas de continuidad de negocio conforme a DORA para asegurarte de que tus RTO y RPO sean realistas y verificados.

In

, , ,