Pruebas de resiliencia digital DORA para entidades financieras de la UE

Test di resilienza digitale DORA per entità finanziarie UE

DORA impone un marco armonizado para la resiliencia operativa digital en el sector financiero europeo a través del Reglamento (UE) 2022/2554, definiendo requisitos específicos para las pruebas de seguridad que van más allá de las TLPT, involucrando verificaciones ordinarias y continuas en todos los sistemas y herramientas TIC.

Pruebas de resiliencia operativa digital en DORA

Las pruebas de resiliencia operativa digital constituyen el cuarto pilar de DORA y aseguran que las entidades financieras sean capaces de resistir, responder y restablecer las operaciones en caso de amenazas e interrupciones TIC. Estas obligaciones se aplican a más de 20 tipos de entidades financieras en la UE, con el objetivo de prevenir y mitigar amenazas cibernéticas mediante una validación constante de las defensas.

Pruebas “básicas” y TLPT: diferencias

  • Pruebas básicas (Artículos 24 y 25): Requeridas para casi todas las entidades financieras, incluyen un amplio espectro de verificaciones en las herramientas y sistemas TIC y representan el requisito mínimo para evaluar la robustez de las defensas.
  • TLPT (Threat-Led Penetration Testing – Artículo 26): Se trata de pruebas avanzadas basadas en inteligencia que simulan tácticas de actores maliciosos reales. Son obligatorias solo para entidades identificadas por las autoridades como sistémicamente importantes o con un perfil de riesgo específico, y deben ejecutarse en sistemas de producción reales y operativos.

Pruebas requeridas por el Artículo 25

El Artículo 25 requiere un programa de pruebas estructurado con varias metodologías, entre ellas:

  • Revisión de código fuente: Revisiones del código fuente con pruebas estáticas y dinámicas.
  • Pruebas de seguridad para sistemas expuestos: Verificaciones de seguridad para aplicaciones y sistemas accesibles a través de internet.
  • Evaluación de vulnerabilidades: Marco para la gestión y eliminación de vulnerabilidades.
  • Pruebas de paquetes de software: Controles de seguridad antes de la implementación de nuevos paquetes de software.
  • Análisis de impacto y compatibilidad: Pruebas para asegurar que los nuevos sistemas no introduzcan vulnerabilidades en los procesos TIC existentes.

Responsabilidad y enfoque de las pruebas

Las entidades financieras deben adoptar un enfoque basado en el riesgo, dimensionando los recursos para las pruebas en función de la criticidad de los activos TIC y los procedimientos empresariales. Las verificaciones deben ser realizadas por equipos independientes respecto al desarrollo o la operatividad de los sistemas, con evaluadores que posean idoneidad, reputación y competencias técnicas certificadas. En las TLPT se requiere la participación de proveedores de inteligencia de amenazas externos al banco o al grupo.

Frecuencia mínima de las pruebas en sistemas críticos

  • Escaneo de vulnerabilidades: En los sistemas que soportan funciones críticas o importantes, los escaneos deben realizarse al menos semanalmente.
  • Planes de Continuidad de Negocio: Los planes TIC de continuidad operativa deben probarse al menos anualmente o después de cambios sustanciales.
  • Revisión general: Al menos una vez al año es necesario verificar que cualquier cambio estratégico se vea reflejado en el programa de pruebas.
  • TLPT: La frecuencia es habitualmente trienal, salvo otras disposiciones de la autoridad competente.

Conexión entre pruebas, remediación y gobernanza

El programa de pruebas debe integrarse con la gobernanza de la entidad financiera. Los resultados deben documentarse y analizarse para identificar carencias; para cada vulnerabilidad se requiere un plan de remediación detallado. El órgano de gestión tiene la responsabilidad final de la supervisión y aprobación de los resultados y de los planes de mitigación de riesgos.

FAQ

  • ¿DORA obliga siempre a realizar pruebas de penetración (penetration test)?
  • Sí, se requieren pruebas de seguridad atribuibles a las pruebas de penetración para todas las entidades financieras, en el marco de la gestión de vulnerabilidades y la seguridad de los sistemas expuestos. Sin embargo, la prueba avanzada TLPT solo se requiere para las entidades más relevantes.
  • ¿DORA obliga siempre a realizar TLPT?
  • No, la obligación es válida solo para las entidades financieras maduras a nivel TIC con impacto sistémico; las autoridades pueden excluir a las entidades para las cuales la prueba no esté justificada por su perfil de riesgo.
  • ¿Cada cuánto deben probarse los sistemas críticos?
  • Escaneos de vulnerabilidades al menos semanalmente; otras pruebas generales de resiliencia y continuidad, al menos anualmente.

Asegura tu cumplimiento: solicita una evaluación inicial de tu programa de pruebas DORA para definir correctamente el perímetro de verificación de tus sistemas críticos.