ISGroup Consultoría de Ciberseguridad

DORA: Gestión del riesgo de proveedores TIC y resiliencia operativa

La Ley de Resiliencia Operativa Digital (DORA, por sus siglas en inglés) extiende la gestión de la resiliencia operativa de las entidades financieras más allá de su infraestructura interna, incluyendo en la evaluación a los proveedores TIC externos y a toda la cadena de suministro, con especial atención a la continuidad operativa y a los servicios TIC de terceros que soportan funciones vitales para el negocio.

Pruebas DORA y dependencias externas

DORA establece que cualquier interrupción en proveedores críticos puede generar crisis sistémicas capaces de amenazar la estabilidad del sector financiero. Las entidades financieras mantienen la responsabilidad final del cumplimiento y de la gestión del riesgo, incluso para las operaciones externalizadas. Por tanto, los programas de pruebas de resiliencia se extienden a las dependencias externas para asegurar la resistencia y el restablecimiento de los servicios, incluso en caso de incidentes que afecten a los socios tecnológicos.

Funciones críticas o importantes soportadas por terceros

Los proveedores TIC que soportan funciones críticas o importantes (CIF, por sus siglas en inglés) están sujetos a requisitos de monitorización y pruebas especialmente rigurosos. Se requiere que las entidades financieras:

  • Identifiquen de forma explícita en el registro de información qué activos y proveedores soportan las funciones críticas o importantes.
  • Evalúen el impacto potencial de un fallo del proveedor en la resiliencia operativa y en la continuidad de los servicios.
  • Incluyan los sistemas “en vivo” de los proveedores que soportan CIF en el perímetro de las pruebas avanzadas (TLPT).

Due diligence, cláusulas contractuales y gestión de vulnerabilidades

La gestión del riesgo TIC de terceros bajo DORA se articula a lo largo de todo el ciclo de vida de la relación con el proveedor:

  • Due Diligence: Antes de contratar a un proveedor para una función crítica o importante, es necesario evaluar su reputación, recursos técnicos y financieros, y estándares de seguridad de la información.
  • Cláusulas Contractuales: Los contratos deben detallar los servicios, establecer los niveles de servicio (SLA) esperados y prever derechos de acceso, inspección y auditoría.
  • Gestión de Vulnerabilidades: Los proveedores están obligados a gestionar las vulnerabilidades relacionadas con los servicios prestados, analizar sus causas raíz y notificar puntualmente los riesgos críticos a la entidad financiera.

Auditabilidad y registro de información

Todas las entidades financieras deben mantener un Registro de Información (RoI) actualizado que recoja cada acuerdo contractual con proveedores TIC externos. Este registro:

  • Ofrece a las autoridades competentes una visión general de las dependencias tecnológicas y de los riesgos de concentración.
  • Permite la trazabilidad de la cadena de subcontratación, identificando a los subcontratistas materiales involucrados en las funciones críticas o importantes.
  • Permite a la entidad ejercer derechos de auditoría y pruebas a lo largo de toda la cadena de valor tecnológica.

Errores frecuentes con la nube y los MSP

  • Bajo poder de negociación: Las entidades suelen tener dificultades para imponer cláusulas de prueba personalizadas a los grandes proveedores de servicios en la nube (Cloud Service Providers), pero DORA exige que dichas cláusulas estén presentes desde la fase contractual.
  • Falta de visibilidad sobre los subproveedores: Limitarse a la monitorización del proveedor directo es un error; es necesario obtener visibilidad también sobre los subcontratistas y su participación efectiva en los servicios críticos.
  • Confusión sobre las responsabilidades: La externalización no conlleva una delegación total de responsabilidad; la entidad debe verificar que las medidas de seguridad de los proveedores estén alineadas con sus propias políticas.

Preguntas frecuentes

  • ¿Se puede solicitar evidencia de VA/PT a los proveedores?
  • Sí. Las entidades financieras son titulares del derecho contractual de solicitar informes de auditoría, certificaciones de seguridad de terceros (como ISO o SOC), o los resultados de las pruebas realizadas por el proveedor para validar la seguridad de los sistemas.
  • ¿DORA exige auditorías a todos los proveedores?
  • Todos los proveedores deben estar incluidos en la estrategia de riesgo, pero las auditorías independientes y las verificaciones exhaustivas son obligatorias exclusivamente para los servicios TIC que soportan funciones críticas o importantes.
  • ¿Cómo gestionar a los subproveedores?
  • El contrato con el proveedor directo debe garantizar que los subcontratistas críticos concedan los mismos derechos de acceso, inspección y auditoría, y participen en las pruebas de resiliencia operativa cuando sea necesario.

Evaluación de preparación para pruebas de terceros (Third-party testing readiness assessment)

No dejes zonas de sombra en tu resiliencia: solicita hoy una evaluación de preparación para pruebas de terceros (Third-party testing readiness assessment) para mapear a tus proveedores críticos y validar tus derechos de auditoría y pruebas conforme a DORA.

In

, , ,