ISGroup Consultoría de Ciberseguridad

Evaluación y escaneo de vulnerabilidades DORA para entidades financieras

El Digital Operational Resilience Act (DORA) y el Reglamento Delegado (UE) 2024/1774 han elevado la evaluación de vulnerabilidades (vulnerability assessment) a un requisito normativo imprescindible para todas las entidades financieras. Implementar un programa de evaluación y escaneo de vulnerabilidades bajo DORA resulta esencial para validar la resiliencia de los sistemas TIC frente a amenazas dinámicas y en evolución.

Definición de DORA sobre la evaluación de vulnerabilidades

La evaluación de vulnerabilidades, según DORA, constituye un componente fundamental de un marco de gestión de TIC transparente, coherente y responsable. Dicha actividad comprende procedimientos para identificar, validar y registrar las debilidades de los activos TIC que podrían ser explotadas por actores malintencionados. La atención no se limita a la detección, sino que se extiende al análisis del impacto potencial en la resiliencia operativa de la entidad.

Diferencia entre evaluación (assessment) y escaneo (scanning)

  • Vulnerability Scanning (Escaneo de vulnerabilidades): actividad automatizada mediante software especializado para cubrir sistemáticamente la más amplia gama de activos TIC.
  • Vulnerability Assessment (Evaluación de vulnerabilidades): proceso más extenso que integra el escaneo, la evaluación crítica de los resultados, el análisis de las causas raíz y la definición de las mejores medidas de mitigación.

Alcance correcto: sistemas, aplicaciones, nube, endpoints y librerías de terceros

  • Activos TIC totales: todos los activos deben someterse a verificación según su clasificación y perfil de riesgo.
  • Librerías de terceros: es obligatorio monitorear versiones y actualizaciones de seguridad, incluso para componentes de código abierto (open source).
  • Aplicaciones y software: análisis y pruebas sobre el código fuente y el software propietario suministrado por terceros.
  • Endpoints e infraestructura: control sobre endpoints portátiles y configuraciones de red para reducir la exposición a las amenazas.

Frecuencias: cuándo es semanal y cuándo basada en el riesgo

  • Frecuencia semanal: escaneos automatizados al menos una vez por semana para los activos TIC que soportan funciones críticas o importantes.
  • Frecuencia basada en el riesgo: para activos no críticos, la frecuencia está determinada por la clasificación y el perfil de riesgo.
  • Situaciones de emergencia: la frecuencia debe aumentar en presencia de amenazas elevadas o vulnerabilidades recién detectadas.

Evidencias documentales: hallazgos, severidad, propietario, remediación y retest

  • Identificación y severidad: cada vulnerabilidad debe registrarse con valores cuantitativos o cualitativos sobre el impacto y la probabilidad de ocurrencia.
  • Priorización de la remediación: los planes de remediación deben priorizar los parches en función de la criticidad detectada y el perfil de riesgo.
  • Verificación y monitoreo: control y verificación de la resolución efectiva de las vulnerabilidades surgidas.
  • Control de terceros: obligación para los proveedores de TIC de gestionar y notificar prontamente las vulnerabilidades críticas relacionadas con sus servicios.

KPI útiles para auditoría y gestión

  • Tiempo medio de detección y resolución de vulnerabilidades (MTTR).
  • Porcentaje de activos críticos escaneados dentro de los plazos semanales.
  • Número de vulnerabilidades abiertas más allá de los tiempos de tolerancia definidos en el plan de mitigación.
  • Estadísticas y tendencias sobre las vulnerabilidades gestionadas por proveedores externos.

Preguntas frecuentes (FAQ)

  • ¿Es suficiente con el escaneo de vulnerabilidades?
  • No. El escaneo es solo un componente automatizado. DORA requiere un marco de gestión integral que incluya análisis de causas raíz, priorización del riesgo y verificación de la remediación.
  • ¿El escaneo semanal aplica a todos los activos?
  • No. La obligación semanal se refiere únicamente a los activos que soportan funciones críticas o importantes. Para los demás, se aplica un enfoque basado en el riesgo.
  • ¿Cómo documentar la actividad?
  • Es necesario adoptar procedimientos escritos para el registro de detecciones, la atribución de responsables (owners), el seguimiento de parches y la conservación segura de los informes para las autoridades competentes.

Evita sanciones e interrupciones: solicita hoy una Gap Analysis completa sobre tu proceso de gestión de vulnerabilidades para alinearlo con los requisitos técnicos de DORA.

In

, , ,