El Reglamento (UE) 2022/2554, conocido como DORA (Digital Operational Resilience Act), impone a las entidades financieras europeas un sistema armonizado para la resiliencia operativa digital. La normativa no exige exclusivamente pruebas de tipo Red Teaming como los TLPT, sino una serie articulada de actividades de prueba y monitorización que involucran a todos los sistemas y herramientas TIC.

Digital operational resilience testing in DORA

La prueba de resiliencia operativa digital es el cuarto pilar de DORA y garantiza que las entidades financieras sean capaces de resistir, responder y restablecer sus operaciones frente a amenazas e interrupciones TIC. El marco proporciona criterios uniformes para la seguridad de redes y sistemas de información, con aplicación a más de 20 tipos diferentes de sujetos financieros dentro de la UE. El objetivo declarado es la prevención y mitigación de las amenazas informáticas mediante una validación constante de las defensas.

Pruebas básicas y TLPT: diferencias y ámbitos de aplicación

DORA distingue entre verificaciones de rutina y pruebas avanzadas:

• Pruebas básicas (Artículos 24 y 25): Obligatorias para la casi totalidad de las entidades financieras. Se refieren a amplias verificaciones sobre herramientas y sistemas TIC. Representan el requisito mínimo para evaluar la solidez de las defensas.
• TLPT (Threat-Led Penetration Testing – Artículo 26): Pruebas avanzadas, basadas en inteligencia y diseñadas para simular tácticas utilizadas por actores maliciosos reales. Son obligatorias solo para entidades consideradas sistémicamente importantes o con perfiles de riesgo específicos, y deben realizarse en sistemas de producción reales y operativos.

Las verificaciones requeridas por el artículo 25

El artículo 25 de DORA enumera los tipos de pruebas que deben componer el programa de verificación de las entidades financieras:

• Revisión de código fuente: Revisiones del código fuente con pruebas tanto estáticas como dinámicas.
• Pruebas de seguridad para sistemas expuestos: Pruebas de seguridad dedicadas a las aplicaciones y sistemas accesibles desde internet.
• Evaluación de vulnerabilidades (Vulnerability assessment): Estructura transparente para la identificación, gestión y resolución de vulnerabilidades.
• Pruebas de paquetes de software: Verificaciones de seguridad previas a la implementación de nuevos paquetes de software.
• Análisis de impacto y compatibilidad: Pruebas que garantizan que los nuevos sistemas TIC no introduzcan vulnerabilidades en los procesos existentes.

Responsabilidad, enfoque y requisitos de los evaluadores

Las entidades financieras deben adoptar una visión basada en el riesgo, calibrando los recursos empleados según la criticidad de los activos TIC y los procesos empresariales. Las pruebas deben ser realizadas por funciones distintas a las responsables del desarrollo o de la operatividad de los sistemas. Los evaluadores, ya sean internos o externos, deben demostrar idoneidad, reputación y competencias técnicas certificadas. En los TLPT es obligatorio contar con proveedores de inteligencia de amenazas independientes del banco o del grupo financiero.

Frecuencia requerida en los sistemas críticos

• Escaneo de vulnerabilidades (Vulnerability scanning): Para activos TIC que soportan funciones críticas o importantes, el escaneo de vulnerabilidades debe efectuarse al menos semanalmente.
• Planes de Continuidad de Negocio (Business Continuity Plans): Los planes de continuidad operativa TIC deben probarse al menos una vez al año o en caso de cambios significativos.
• Revisión general: Al menos una vez al año se debe verificar la adecuación del programa de pruebas respecto a las actualizaciones de la estrategia empresarial.
• TLPT: Las pruebas avanzadas deben realizarse normalmente cada tres años, salvo otras indicaciones por parte de la autoridad competente.

Conexión entre pruebas, remediación y gobernanza

El programa de pruebas impone a las entidades financieras integrar la verificación de la resiliencia en su propio sistema de gobernanza. Los resultados de las pruebas deben documentarse y analizarse para detectar y corregir las carencias, mediante planes de remediación que especifiquen acciones, responsabilidades y tiempos de ejecución. El órgano de gestión mantiene la responsabilidad última sobre la supervisión y aprobación de las pruebas y los planes de mitigación de los riesgos identificados.

FAQ sobre DORA y pruebas de seguridad

• ¿DORA obliga siempre a realizar pruebas de penetración (penetration test)?
• DORA requiere para todas las entidades financieras pruebas de seguridad que incluyan verificaciones similares a las pruebas de penetración, en particular en la gestión de vulnerabilidades y la seguridad de los sistemas expuestos. La prueba de penetración avanzada (TLPT), en cambio, está reservada solo a las entidades de mayor relevancia.
• ¿DORA obliga siempre a realizar el TLPT?
• El TLPT es obligatorio exclusivamente para entidades financieras maduras desde el punto de vista TIC y con impacto sistémico, mientras que las autoridades pueden excluir a aquellas para las que no esté justificado por el perfil de riesgo.
• ¿Cada cuánto se deben probar los sistemas críticos?
• Los sistemas que soportan funciones críticas deben someterse a escaneos de vulnerabilidades al menos una vez a la semana, mientras que las pruebas generales de resiliencia y continuidad de negocio deben ejecutarse al menos anualmente.

Asegura tu cumplimiento: solicita una evaluación inicial de tu programa de pruebas DORA para definir correctamente el perímetro de verificación de tus sistemas críticos.