DORA impone un marco armonizado para la resiliencia operativa digital en el sector financiero europeo a través del Reglamento (UE) 2022/2554, definiendo requisitos específicos para las pruebas de seguridad que van más allá de las TLPT, involucrando verificaciones ordinarias y continuas en todos los sistemas y herramientas TIC.

Pruebas de resiliencia operativa digital en DORA

Las pruebas de resiliencia operativa digital constituyen el cuarto pilar de DORA y aseguran que las entidades financieras sean capaces de resistir, responder y restablecer las operaciones en caso de amenazas e interrupciones TIC. Estas obligaciones se aplican a más de 20 tipos de entidades financieras en la UE, con el objetivo de prevenir y mitigar amenazas cibernéticas mediante una validación constante de las defensas.

Pruebas “básicas” y TLPT: diferencias

• Pruebas básicas (Artículos 24 y 25): Requeridas para casi todas las entidades financieras, incluyen un amplio espectro de verificaciones en las herramientas y sistemas TIC y representan el requisito mínimo para evaluar la robustez de las defensas.
• TLPT (Threat-Led Penetration Testing – Artículo 26): Se trata de pruebas avanzadas basadas en inteligencia que simulan tácticas de actores maliciosos reales. Son obligatorias solo para entidades identificadas por las autoridades como sistémicamente importantes o con un perfil de riesgo específico, y deben ejecutarse en sistemas de producción reales y operativos.

Pruebas requeridas por el Artículo 25

El Artículo 25 requiere un programa de pruebas estructurado con varias metodologías, entre ellas:

• Revisión de código fuente: Revisiones del código fuente con pruebas estáticas y dinámicas.
• Pruebas de seguridad para sistemas expuestos: Verificaciones de seguridad para aplicaciones y sistemas accesibles a través de internet.
• Evaluación de vulnerabilidades: Marco para la gestión y eliminación de vulnerabilidades.
• Pruebas de paquetes de software: Controles de seguridad antes de la implementación de nuevos paquetes de software.
• Análisis de impacto y compatibilidad: Pruebas para asegurar que los nuevos sistemas no introduzcan vulnerabilidades en los procesos TIC existentes.

Responsabilidad y enfoque de las pruebas

Las entidades financieras deben adoptar un enfoque basado en el riesgo, dimensionando los recursos para las pruebas en función de la criticidad de los activos TIC y los procedimientos empresariales. Las verificaciones deben ser realizadas por equipos independientes respecto al desarrollo o la operatividad de los sistemas, con evaluadores que posean idoneidad, reputación y competencias técnicas certificadas. En las TLPT se requiere la participación de proveedores de inteligencia de amenazas externos al banco o al grupo.

Frecuencia mínima de las pruebas en sistemas críticos

• Escaneo de vulnerabilidades: En los sistemas que soportan funciones críticas o importantes, los escaneos deben realizarse al menos semanalmente.
• Planes de Continuidad de Negocio: Los planes TIC de continuidad operativa deben probarse al menos anualmente o después de cambios sustanciales.
• Revisión general: Al menos una vez al año es necesario verificar que cualquier cambio estratégico se vea reflejado en el programa de pruebas.
• TLPT: La frecuencia es habitualmente trienal, salvo otras disposiciones de la autoridad competente.

Conexión entre pruebas, remediación y gobernanza

El programa de pruebas debe integrarse con la gobernanza de la entidad financiera. Los resultados deben documentarse y analizarse para identificar carencias; para cada vulnerabilidad se requiere un plan de remediación detallado. El órgano de gestión tiene la responsabilidad final de la supervisión y aprobación de los resultados y de los planes de mitigación de riesgos.

FAQ

• ¿DORA obliga siempre a realizar pruebas de penetración (penetration test)?
• Sí, se requieren pruebas de seguridad atribuibles a las pruebas de penetración para todas las entidades financieras, en el marco de la gestión de vulnerabilidades y la seguridad de los sistemas expuestos. Sin embargo, la prueba avanzada TLPT solo se requiere para las entidades más relevantes.
• ¿DORA obliga siempre a realizar TLPT?
• No, la obligación es válida solo para las entidades financieras maduras a nivel TIC con impacto sistémico; las autoridades pueden excluir a las entidades para las cuales la prueba no esté justificada por su perfil de riesgo.
• ¿Cada cuánto deben probarse los sistemas críticos?
• Escaneos de vulnerabilidades al menos semanalmente; otras pruebas generales de resiliencia y continuidad, al menos anualmente.

Asegura tu cumplimiento: solicita una evaluación inicial de tu programa de pruebas DORA para definir correctamente el perímetro de verificación de tus sistemas críticos.