El Digital Operational Resilience Act (DORA) representa un paso determinante para el sector financiero: el objetivo ya no es solo prevenir ataques informáticos, sino garantizar la continuidad de los servicios incluso en presencia de incidentes o fallos. La resiliencia operativa se convierte, por tanto, en el parámetro central, que debe validarse mediante un programa de pruebas definido en el Artículo 25, el cual va mucho más allá de las verificaciones técnicas ordinarias y requiere pruebas de resiliencia avanzadas: pruebas basadas en escenarios (scenario-based tests), pruebas de extremo a extremo (end-to-end tests) y pruebas de rendimiento (performance tests).

Por qué DORA va más allá del testing de vulnerabilidades

Las pruebas tradicionales, como el análisis de vulnerabilidades o el test de penetración (pentest), a menudo se limitan a analizar sistemas individuales o entornos aislados. DORA, en cambio, impone validar la capacidad de la entidad financiera para resistir y responder a interrupciones reales de las TIC. El objetivo no es solo detectar un fallo de software específico, sino asegurar que las funciones críticas o importantes (CIF) permanezcan operativas incluso ante vulnerabilidades o incidentes en proveedores externos.

Pruebas basadas en escenarios sobre eventos severos pero plausibles

Las pruebas basadas en escenarios previstas por DORA implican la simulación de perturbaciones basadas en escenarios severos pero realistas. Las entidades financieras deben identificar diversos escenarios de exposición de sus activos TIC, entre ellos:

• Ataques informáticos directos: simulaciones de técnicas adoptadas por actores maliciosos reales.
• Cambios tecnológicos (switchover): pruebas de conmutación de la infraestructura TIC primaria a capacidades redundantes, copias de seguridad o estructuras secundarias para verificar la rapidez de la recuperación.
• Fallos críticos: situaciones donde la calidad de una función crítica se reduce a un nivel inaceptable o falla por completo.

Pruebas de extremo a extremo (end-to-end) sobre procesos y dependencias

Las pruebas de extremo a extremo según DORA prevén la validación de toda la cadena de un proceso empresarial, incluyendo cada dependencia relevante. Los puntos fundamentales de estas pruebas son:

• Mapeo de la ruta de ataque: descripción de un ataque potencial desde su entrada en los sistemas hasta la vulneración del objetivo final.
• Participación de proveedores externos: en las funciones críticas externalizadas, las pruebas deben incluir los servicios de proveedores TIC y subproveedores para verificar la resiliencia de todo el ecosistema.
• Interdependencias: análisis de cómo el fallo de un componente tecnológico puede impactar en cascada sobre las demás funciones de la organización.

Pruebas de rendimiento y robustez operativa

En el ámbito de DORA, las pruebas de rendimiento no solo miden la velocidad del software, sino que certifican la robustez operativa en condiciones de estrés. Las entidades deben:

• Someter los sistemas TIC a condiciones de estrés extremo para identificar los puntos críticos de ruptura.
• Gestionar la capacidad y el rendimiento: identificar los requisitos de capacidad para prevenir carencias que podrían interrumpir los servicios.
• Verificar que los sistemas de soporte a las funciones críticas mantengan estándares de disponibilidad e integridad incluso durante picos de carga o en presencia de incidentes.

Cómo seleccionar los escenarios

La selección de los escenarios debe seguir un enfoque basado en el riesgo:

• Análisis de Impacto en el Negocio (BIA): las pruebas deben reflejar los resultados del BIA y la clasificación de los activos.
• Relevancia y plausibilidad: prioridad a los escenarios con alta probabilidad de ocurrencia o gran impacto sistémico/reputacional, incluso si son poco frecuentes.
• Inteligencia de amenazas (Threat Intelligence): los escenarios se basan en las amenazas cibernéticas más recientes y en las lecciones aprendidas de incidentes históricos.

Preguntas frecuentes

• ¿Son alternativas al pentest?
• No. Estas pruebas integran el programa de seguridad: mientras que el pentest detecta vulnerabilidades, el testing basado en escenarios evalúa la capacidad de respuesta y recuperación de toda la organización.
• ¿Se debe involucrar a los proveedores?
• Sí. Para las funciones críticas externalizadas, DORA exige que las pruebas incluyan los servicios de terceros y que los contratos prevean explícitamente la colaboración de los proveedores en las pruebas de seguridad.
• ¿Cómo elegir los escenarios prioritarios?
• Prioridad a los escenarios referidos a funciones cuya interrupción tendría mayores impactos en la estabilidad financiera, la continuidad de los servicios a los clientes y la reputación de la entidad.

Más allá del cumplimiento técnico: diseña hoy tu plan de pruebas de resiliencia para validar la robustez de tus procesos de extremo a extremo según los criterios DORA.