ISGroup Consultoría de Ciberseguridad

Checklist de pruebas DORA para auditoría y cumplimiento 2026

El Reglamento DORA es oficialmente de aplicación desde el 17 de enero de 2025. Para las entidades financieras, 2026 representa el año de la madurez operativa, en el que ya no basta con haber diseñado los procesos, sino que es necesario demostrar su eficacia mediante pruebas documentales sólidas. El cumplimiento no es un objetivo estático: las autoridades exigen un ciclo continuo de pruebas, corrección (remediation) y revisión de la gobernanza. Esta guía proporciona una lista de verificación (checklist) de pruebas DORA exhaustiva para comprobar si su organización está lista para una auditoría interna o una inspección de las autoridades de supervisión.

Checklist de Gobernanza

  • El órgano de gestión ha aprobado formalmente el marco de gestión de riesgos TIC y la estrategia sobre riesgos de terceros.
  • Se ha redactado y enviado a las autoridades el informe anual sobre la revisión del marco de gestión de riesgos TIC.
  • Se han definido y aprobado niveles claros de tolerancia al riesgo TIC.
  • Existe un procedimiento de revisión del marco activado en caso de cambios significativos en el panorama de amenazas o en los activos TIC.

Checklist de Activos y Alcance

  • Existe un Registro de Información (RoI) completo de todos los acuerdos contractuales con proveedores TIC externos.
  • Todas las funciones críticas o importantes (CIF) han sido identificadas y mapeadas con sus respectivos activos TIC y proveedores.
  • Cada activo TIC tiene un “propietario” (owner) claramente identificado y una clasificación de criticidad documentada.
  • Se han mapeado las interdependencias entre activos, funciones y proveedores (incluidos los subcontratistas materiales).

Checklist de Gestión de Vulnerabilidades

  • Los escaneos de vulnerabilidades en los activos que soportan funciones críticas (CIF) se realizan con una frecuencia al menos semanal.
  • Existe un procedimiento automatizado para la detección de vulnerabilidades en todos los activos TIC.
  • El uso de librerías de terceros (incluido código abierto) está rastreado y monitorizado para actualizaciones y parches.
  • Los parches se priorizan en función de la criticidad de la vulnerabilidad y el perfil de riesgo del activo.
  • Existe un registro documentado que rastrea todo el ciclo de vida de las vulnerabilidades, desde el descubrimiento hasta la verificación del cierre.

Checklist de Pruebas de Penetración (Pentesting)

  • El programa de pruebas incluye verificaciones de seguridad apropiadas para los sistemas expuestos a Internet.
  • Para las entidades sujetas a TLPT, las pruebas se realizan en sistemas de producción reales (“live production systems”).
  • Los evaluadores (internos o externos) cumplen con los requisitos de idoneidad, reputación, certificación y cobertura de seguro.
  • Los resultados de las pruebas incluyen un análisis de causas raíz (root cause analysis) y un plan de corrección detallado.

Checklist de Continuidad de Negocio

  • Los planes de continuidad operativa TIC se prueban al menos anualmente o tras cambios significativos.
  • Las pruebas se basan en escenarios severos pero plausibles, incluidos ataques informáticos y el fallo de proveedores críticos.
  • Las pruebas demuestran el cumplimiento de los Objetivos de Tiempo de Recuperación (RTO) y los Objetivos de Punto de Recuperación (RPO) definidos.
  • El programa incluye pruebas de conmutación (switchover) hacia sitios secundarios o entornos de recuperación ante desastres durante un periodo representativo.

Checklist de Terceros

  • Se ha realizado la debida diligencia (due diligence) sobre todos los proveedores TIC que soportan funciones críticas antes de la firma de los contratos.
  • Los contratos con proveedores TIC incluyen cláusulas explícitas sobre derechos de auditoría y participación en pruebas de seguridad.
  • Los proveedores notifican puntualmente las vulnerabilidades críticas y las estadísticas de riesgo relativas a los servicios prestados.
  • La entidad tiene visibilidad sobre los subproveedores materiales involucrados en la cadena de suministro de las CIF.

Checklist de Paquete de Evidencias para Auditoría

  • Políticas y procedimientos: Gestión de activos, vulnerabilidades, incidentes y continuidad de negocio.
  • Informes de pruebas: Actas de escaneo semanal, informes de pentest y TLPT.
  • Planes de corrección: Documentación de acciones correctivas, plazos y verificaciones de cierre (retest).
  • Certificaciones y CV: Evidencias de las competencias e independencia de los evaluadores involucrados.
  • Registro de información: Plantilla actualizada según los estándares ITS.
  • Informes de gestión de incidentes: Notificaciones iniciales, informes intermedios y finales sobre los principales incidentes TIC.

FAQ

  • ¿Qué documentos debe poder exhibir la empresa?
  • Además de las políticas aprobadas, son vitales los informes técnicos de las pruebas, los planes de corrección firmados, los registros de vulnerabilidades y las evidencias de monitorización de proveedores externos.
  • ¿Cómo demostrar que las pruebas se basan en el riesgo?
  • Mediante la documentación del Análisis de Impacto en el Negocio (BIA) y la clasificación de activos, que justifican por qué determinados sistemas se prueban con mayor frecuencia o con metodologías más invasivas.
  • ¿Qué es lo que más suele faltar en los programas DORA?
  • Las carencias más comunes se refieren a la falta de verificación de la corrección (retest), la ausencia de visibilidad sobre los subproveedores materiales y la frecuencia insuficiente (no semanal) de los escaneos en sistemas críticos.

Asegure su cumplimiento para 2026: solicite hoy una Evaluación de Preparación para Auditoría (Audit Readiness) DORA para identificar las brechas en su programa de pruebas y asegurar sus evidencias de ciberseguridad.

In

, , ,