ISMS Copilot
DORA con IA

Cómo crear un marco de gestión de riesgos de TIC para DORA utilizando IA

Descripción general

Aprenderá a crear un marco de gestión de riesgos de TIC integral que cumpla con los Artículos 6 al 16 de DORA utilizando IA. Esta guía cubre la estructura completa del marco, desde la gobernanza y la identificación de riesgos hasta la protección, detección, respuesta, recuperación y mejora continua, con prompts específicos de ISMS Copilot para generar cada componente.

A quién va dirigido

Esta guía es para:

  • CISOs y gestores de riesgos de TI que crean o mejoran marcos de gestión de riesgos de TIC para el cumplimiento de DORA

  • Responsables de cumplimiento encargados de documentar las políticas y procedimientos de gestión de riesgos de TIC

  • Consultores que desarrollan marcos conformes a DORA para clientes de entidades financieras

  • Miembros de comités de riesgos y del órgano de dirección que supervisan la gobernanza de riesgos de TIC

  • Auditores internos que evalúan la adecuación de los acuerdos de gestión de riesgos de TIC

Antes de comenzar

Necesitará:

  • Una cuenta de ISMS Copilot (prueba gratuita disponible)

  • Haber completado los pasos fundamentales de Cómo empezar con la implementación de DORA utilizando IA, incluidos la evaluación del alcance y el análisis de brechas

  • Su documentación actual de gestión de riesgos de TIC (políticas, registros de riesgos, inventarios de activos) para la comparación de brechas

  • Comprensión de su panorama de TIC (aplicaciones, infraestructura, servicios en la nube, topología de red)

  • Acceso a las partes interesadas clave: CISO, CRO, operaciones de TI, gestor de continuidad del negocio

Los requisitos de gestión de riesgos de TIC de DORA en los Artículos 6-16 constituyen la columna vertebral de todo el reglamento. El marco que construya aquí sustenta la notificación de incidentes, las pruebas de resiliencia y la gestión de riesgos de terceros. Invierta tiempo suficiente en asentar correctamente este pilar.

Entendiendo los requisitos de gestión de riesgos de TIC de DORA

Desglose artículo por artículo

El Capítulo II de DORA (Artículos 5-16) establece los requisitos de gestión de riesgos de TIC más detallados en la regulación de servicios financieros de la UE. Comprender las demandas específicas de cada artículo es esencial antes de construir su marco:

Artículo

Título

Requisitos clave

Entregables clave

Art 5

Gobernanza y organización

El órgano de dirección define, aprueba y supervisa el marco de riesgo de TIC

Mandato del consejo, carta de gobernanza, programa de formación

Art 6

Marco de gestión del riesgo de TIC

Marco documentado e integral con estrategias, políticas y procedimientos

Documento del marco, estrategia de riesgo de TIC, proceso de revisión anual

Art 7

Sistemas, protocolos y herramientas de TIC

Sistemas de TIC fiables y resilientes, mantenidos y actualizados

Estándares de sistemas, políticas de actualización, gestión de capacidad

Art 8

Identificación

Identificar, clasificar y documentar todos los activos, riesgos y dependencias de TIC

Registro de activos de TIC, registro de riesgos, mapas de dependencias

Art 9

Protección y prevención

Políticas de seguridad de TIC, controles de acceso, cifrado, gestión de parches

Suite de políticas de seguridad, procedimientos de control de acceso, estándares de cifrado

Art 10

Detección

Mecanismos para detectar actividades anómalas e incidentes de TIC

Estrategia de monitorización, configuración de SIEM, procedimientos de alerta

Art 11

Respuesta y recuperación

Política de continuidad del negocio de TIC, planes de recuperación ante desastres, planes de comunicación

BCP, DRP, plan de comunicación de crisis, estrategia de copias de seguridad

Art 12

Políticas y procedimientos de copia de seguridad

Políticas de respaldo y restauración, prueba de respaldos, sitios de recuperación separados

Política de copias de seguridad, procedimientos de restauración, registros de pruebas

Art 13

Aprendizaje y evolución

Revisiones post-incidente, formación obligatoria, divulgación de vulnerabilidades

Proceso de revisión post-incidente, programa de formación, registro de lecciones aprendidas

Art 14

Comunicación

Planes de comunicación de crisis, políticas de divulgación responsable

Política de comunicación, procedimientos de divulgación, plantillas de notificación pública

Art 15

Mayor armonización de las herramientas de gestión del riesgo de TIC

Normas Técnicas de Regulación (RTS) que especifican los detalles del marco

Mapeo de cumplimiento de RTS, implementación técnica

Art 16

Marco simplificado de gestión del riesgo de TIC

Requisitos proporcionados para entidades pequeñas que califiquen

Documento de marco simplificado (si aplica)

Responsabilidad del órgano de dirección: El Artículo 5 otorga la responsabilidad última del marco de gestión de riesgos de TIC al órgano de dirección. Cada política y procedimiento que cree bajo los Artículos 6-16 debe ser aprobado a nivel de junta y revisado al menos anualmente. Este es un punto de enfoque constante en las auditorías.

La estructura del marco

DORA exige que su marco de gestión de riesgos de TIC siga un ciclo de vida específico: Identificar, Proteger, Detectar, Responder, Recuperar, Aprender. Esto refleja marcos de ciberseguridad establecidos (como NIST CSF) pero añade requisitos específicos de DORA sobre gobernanza, proporcionalidad y reporte regulatorio.

Utilice ISMS Copilot para entender cómo su marco actual se mapea con este ciclo de vida:

"Compara el ciclo de vida de gestión de riesgos de TIC de DORA (Identificar, Proteger, Detectar, Responder, Recuperar, Aprender) de los Artículos 6-16 con nuestro marco actual [ISO 27001 / NIST CSF / Directrices de la EBA]. Para cada fase del ciclo de vida, identifica: qué controles existentes ya cumplen con DORA, dónde añade DORA requisitos específicos más allá de nuestro marco actual y qué nueva documentación o procesos necesitamos crear."

Paso 1: Establecer el documento del marco de gestión de riesgos de TIC

Estructura del marco y gobernanza

El Artículo 6 exige un marco de gestión de riesgos de TIC integral y documentado. Este es el documento maestro que une todas las políticas, procedimientos y procesos a lo largo del ciclo de vida.

  1. Abra su espacio de trabajo DORA en ISMS Copilot

  2. Genere el documento del marco:

    "Crea un documento integral de Marco de Gestión de Riesgos de TIC para una [tipo de entidad] que cumpla con el Artículo 6 de DORA. Incluye: propósito y alcance, estructura de gobernanza (vinculando con las responsabilidades del órgano de dirección del Artículo 5), estrategia y objetivos de gestión de riesgos de TIC, niveles de apetito y tolerancia al riesgo, componentes del marco (identificación, protección, detección, respuesta, recuperación, aprendizaje), integración con la gestión de riesgos empresarial global, roles y responsabilidades (CISO, CRO, función de riesgo de TIC, primera/segunda/tercera línea), procedimientos de revisión y actualización (al menos anual, y tras incidentes graves según el Artículo 6(5)), y métricas de eficacia del marco. Haz referencia a artículos específicos de DORA para cada sección."

  3. Defina la estrategia de riesgo de TIC:

    "Redacta una estrategia de riesgo de TIC para nuestra [tipo de entidad] según lo requerido por el Artículo 6(8) de DORA. Incluye: objetivos estratégicos de riesgo de TIC alineados con la estrategia de negocio, umbrales de tolerancia al riesgo aprobados por el órgano de dirección, enfoque de la metodología de evaluación de riesgos de TIC, estrategia de asignación de recursos para la seguridad de las TIC, indicadores clave de riesgo (KRI) y frecuencia de reporte, e integración con iniciativas de transformación digital. Hazlo apto para la aprobación del órgano de dirección."

Consejo profesional: El documento de su marco de gestión de riesgos de TIC debe servir como el "paraguas" que referencia todas las políticas y procedimientos subordinados. Manténgalo estratégico y centrado en la gobernanza, con los procedimientos operativos detallados en documentos separados. Esta estructura facilita las revisiones anuales y la aprobación del órgano de dirección.

Función de auditoría interna de TIC

El Artículo 6(6) exige que el marco de gestión de riesgos de TIC sea auditado regularmente por auditores de TIC. Utilice ISMS Copilot para establecer esta función:

"Define los requisitos de la función de auditoría interna de TIC para el Artículo 6(6) de DORA. Incluye: estatuto de auditoría de TIC, requisitos de independencia y objetividad, universo de auditoría que cubra todos los componentes del marco de gestión de riesgos de TIC, metodología de planificación de auditoría basada en riesgos, frecuencia de auditoría (al menos anual para áreas clave), reporte al órgano de dirección y al comité de auditoría, y procedimientos de seguimiento para los hallazgos de auditoría. Proporciona un ejemplo de plan anual de auditoría de TIC."

Paso 2: Identificación y clasificación de activos de TIC (Artículo 8)

Construcción de su inventario de activos de TIC

El Artículo 8 le obliga a identificar, clasificar y documentar todos los activos de TIC, recursos y sus interconexiones. Este inventario constituye la base para la evaluación de riesgos, la clasificación de incidentes y la gestión de riesgos de terceros.

  1. Genere la estructura del inventario de activos:

    "Crea una plantilla de inventario de activos de TIC que cumpla con los requisitos del Artículo 8 de DORA. Incluye columnas para: ID del activo, nombre y descripción del activo, categoría del activo (hardware, software, datos, red, servicio en la nube, servicio de terceros), propietario del activo, función de negocio soportada, clasificación de criticidad (crítica, importante, estándar), requisitos de confidencialidad/integridad/disponibilidad, ubicación física y lógica, interconexiones y dependencias con otros activos, proveedores terceros de TIC de apoyo, objetivo de tiempo de recuperación (RTO) y objetivo de punto de recuperación (RPO), última fecha de revisión. Proporciona criterios de clasificación para cada campo y entradas de ejemplo para una [tipo de entidad]."

  2. Mapee las dependencias de los activos de TIC:

    "Crea una metodología de mapeo de dependencias de TIC para el Artículo 8(1) de DORA. Nuestras funciones de negocio críticas incluyen [lista de funciones]. Para cada función, ayúdanos a identificar: los sistemas y aplicaciones de TIC que la soportan, componentes de infraestructura (servidores, redes, almacenamiento), flujos de datos y repositorios de datos, servicios y proveedores de TIC de terceros, puntos únicos de fallo y riesgos de concentración. Proporciona una plantilla para documentar estas dependencias de forma visual y en formato de tabla."

  3. Clasifique los activos de TIC por criticidad:

    "Define los criterios de clasificación de activos de TIC para el cumplimiento de DORA. Crea un esquema de clasificación con niveles (Crítico, Importante, Estándar) basado en: impacto en la prestación de servicios financieros si se interrumpe, obligaciones de reporte regulatorio activadas, número de clientes/contrapartes afectados, sensibilidad de los datos, requisitos de tiempo de recuperación e interconexión con otros activos críticos. Proporciona árboles de decisión y ejemplos para una [tipo de entidad]."

El Artículo 8(4) exige que las entidades financieras identifiquen todos los activos de TIC que sustentan funciones críticas o importantes y sus dependencias, incluidos los alojados por proveedores externos. Este inventario alimenta directamente su clasificación de incidentes (qué califica como mayor), el alcance de las pruebas de resiliencia (qué probar) y el registro de riesgos de terceros (qué proveedores son críticos).

Identificación y evaluación de riesgos de TIC

Con su inventario de activos completado, realice una evaluación de riesgos sistemática de los activos de TIC identificados:

"Crea una metodología y plantilla de evaluación de riesgos de TIC alineada con el Artículo 8 de DORA. Para cada activo de TIC crítico e importante, evalúa: escenarios de amenazas (ciberataques, fallos de sistema, desastres naturales, error humano, fallos de terceros), vulnerabilidades (técnicas, procedimentales, organizativas), controles existentes y su eficacia, probabilidad de ocurrencia (escala 1-5 con criterios), impacto en las funciones de negocio, clientes y cumplimiento regulatorio (escala 1-5 con criterios), puntuación de riesgo residual y nivel de riesgo, propietario del riesgo y decisión de tratamiento (mitigar, aceptar, transferir, evitar), acciones de tratamiento y cronograma. Incluye puntos de integración con nuestro registro de riesgos empresarial."

Expectativa de auditoría: Los reguladores esperan que su evaluación de riesgos de TIC sea exhaustiva y cubra todos los activos críticos, no solo una muestra. Asegúrese de que cada activo clasificado como crítico o importante en su inventario tenga una evaluación de riesgos correspondiente. Los vacíos aquí son un hallazgo común en las auditorías.

Paso 3: Medidas de protección y prevención (Artículo 9)

Desarrollo de políticas de seguridad de TIC

El Artículo 9 ordena que las entidades financieras desarrollen y documenten políticas de seguridad de TIC que cubran la gestión de accesos, el cifrado, la seguridad de red y la gestión de cambios. Estas políticas deben ser proporcionadas a su perfil de riesgo.

  1. Genere la suite de políticas de seguridad de TIC:

    "Crea una política integral de seguridad de TIC para una [tipo de entidad] que cumpla con el Artículo 9 de DORA. Estructura la política para cubrir: gobernanza y objetivos de seguridad de la información, control de acceso y gestión de identidades (incluyendo acceso privilegiado, autenticación multifactor y principio de mínimo privilegio), seguridad de red (segmentación, protección de perímetro, prevención de intrusiones), cifrado y controles criptográficos (datos en reposo, en tránsito, gestión de claves), gestión de cambios de TIC (pruebas, aprobación, procedimientos de reversión), gestión de parches y cronogramas de remediación de vulnerabilidades, seguridad física y ambiental para activos de TIC, requisitos del ciclo de vida de desarrollo seguro, protección de endpoints y gestión de dispositivos móviles, y medidas de prevención de fuga de datos. Para cada área, referencia el artículo de DORA específico y proporciona una guía de implementación proporcionada para una organización de [tamaño de entidad]."

  2. Cree procedimientos de control de acceso:

    "Desarrolla procedimientos detallados de control de acceso para el Artículo 9(4) de DORA. Incluye: flujos de trabajo de alta y baja de usuarios, diseño de control de acceso basado en roles (RBAC), requisitos de gestión de accesos privilegiados (PAM), procedimientos de revisión de acceso (frecuencia, alcance, documentación), estándares de autenticación (requisitos de MFA, políticas de contraseñas), controles de seguridad de acceso remoto, gestión de cuentas de servicio y requisitos de registro y monitorización de accesos. Proporciona plantillas de procedimientos con instrucciones paso a paso."

  3. Establezca procedimientos de gestión de parches:

    "Crea una política y procedimiento de gestión de parches de TIC para el cumplimiento de DORA. Incluye: frecuencia de escaneo de vulnerabilidades, clasificación de parches (crítico, alto, medio, bajo) con los cronogramas de remediación correspondientes, procedimientos de prueba antes del despliegue, proceso de parcheo de emergencia para vulnerabilidades de día cero, seguimiento de parches y reporte de cumplimiento, gestión de excepciones para sistemas que no pueden ser parcheados e integración con su proceso de gestión de cambios. Proporciona KPIs para el reporte de cumplimiento de parches al órgano de dirección."

Consejo profesional: Si ya tiene implementados los controles del Anexo A de ISO 27001, utilice ISMS Copilot para identificar qué controles se mapean con los requisitos del Artículo 9 de DORA. Pregunte: "Mapea nuestros controles del Anexo A de ISO 27001:2022 con los requisitos del Artículo 9 de DORA. Identifica dónde nuestros controles actuales cumplen totalmente con DORA, dónde cumplen parcialmente y dónde DORA requiere medidas adicionales más allá de ISO 27001." Esto evita duplicar esfuerzos.

Estándares de sistemas de TIC y resiliencia (Artículo 7)

El Artículo 7 exige que los sistemas de TIC sean resilientes, fiables y tengan capacidad suficiente. Utilice ISMS Copilot para desarrollar los estándares de apoyo:

"Crea estándares y requisitos de sistemas de TIC para el Artículo 7 de DORA. Incluye: objetivos de fiabilidad y disponibilidad de sistemas para funciones críticas, procedimientos de gestión de capacidad (monitorización, planificación, escalado), políticas de mantenimiento y actualización de sistemas, gestión de obsolescencia tecnológica, estándares de gestión de configuración, separación de entornos (producción, pruebas, desarrollo) y requisitos para sistemas que soportan funciones críticas o importantes. Proporciona un formato de lista de verificación de cumplimiento."

Paso 4: Capacidades de detección (Artículo 10)

Construcción de su estrategia de detección y monitorización

El Artículo 10 exige mecanismos para detectar rápidamente actividades anómalas, incluidos problemas de rendimiento de la red de TIC e incidentes relacionados con las TIC. Sus capacidades de detección deben ser proporcionadas a la importancia de los activos de TIC monitorizados.

  1. Diseñe la estrategia de detección:

    "Crea una estrategia integral de detección y monitorización de TIC para una [tipo de entidad] que cumpla con el Artículo 10 de DORA. Incluye: arquitectura de monitorización (componentes SIEM, EDR, NDR, UEBA), fuentes de datos a monitorizar (tráfico de red, registros de sistema, registros de aplicaciones, eventos de autenticación, actividad de bases de datos, registros de servicios en la nube), casos de uso de detección priorizados por riesgo (acceso no autorizado, filtración de datos, malware, DDoS, amenazas internas, anomalías de terceros), clasificación de alertas y niveles de severidad, reglas de correlación y líneas base de comportamiento, requisitos de cobertura de monitorización 24/7 e integración con la clasificación de incidentes bajo el Artículo 17 de DORA. Proporciona prioridades de implementación para una organización de [tamaño]."

  2. Defina procedimientos de detección de anomalías:

    "Desarrolla procedimientos operativos para la detección de anomalías de TIC bajo el Artículo 10 de DORA. Incluye: cómo se identifican las anomalías (alertas automatizadas, revisión manual, feeds de inteligencia de amenazas), proceso de triaje inicial (quién revisa, objetivos de tiempo de respuesta, criterios de escalada), gestión de falsos positivos, requisitos de documentación para anomalías detectadas, procedimientos de traspaso al equipo de respuesta a incidentes y ajuste continuo de las reglas de detección basado en cambios en el panorama de amenazas. Proporciona una plantilla de procedimiento con roles y responsabilidades."

Las capacidades sólidas de detección impactan directamente en su capacidad para cumplir con el plazo de notificación de incidentes de 4 horas de DORA (Artículo 19). Si no puede detectar y clasificar los incidentes rápidamente, no podrá reportarlos a tiempo. Consulte Cómo implementar el reporte de incidentes de DORA usando IA para obtener la guía completa de reporte de incidentes.

Paso 5: Procedimientos de respuesta y recuperación (Artículos 11-12)

Gestión de la continuidad del negocio de TIC

Los Artículos 11 y 12 establecen requisitos detallados para la continuidad del negocio, la recuperación ante desastres y la gestión de copias de seguridad. Estos deben cubrir escenarios que incluyan perturbaciones graves de las TIC, ciberataques y fallos de proveedores externos.

  1. Cree la política de continuidad del negocio de TIC:

    "Desarrolla una Política de Continuidad del Negocio de TIC para una [tipo de entidad] que cumpla con el Artículo 11 de DORA. Incluye: objetivos y alcance de la política, gobernanza (requisito de aprobación del órgano de dirección), metodología de análisis de impacto en el negocio (BIA) para servicios de TIC, estrategias de continuidad para cada función de negocio crítica, objetivos de tiempo de recuperación (RTO) y objetivos de punto de recuperación (RPO) por función, planes de continuidad para escenarios: ciberataque, fallo del sistema, interrupción del centro de datos, fallo de un proveedor crítico de terceros, desastre natural, pandemia, planes de comunicación (internos, clientes, autoridades competentes, público), roles y responsabilidades durante un evento de continuidad, criterios de activación del plan y procedimientos de escalada, requisitos de prueba (frecuencia, alcance, tipos de pruebas), ciclo de revisión y mantenimiento del plan (al menos anual). Haz referencia a los requisitos del Artículo 11 de DORA en todo momento."

  2. Desarrolle procedimientos de recuperación ante desastres:

    "Crea Planes de Recuperación ante Desastres de TIC para nuestra [tipo de entidad] que cubran [lista de sistemas críticos]. Para cada sistema crítico, documenta: descripción del sistema y funciones de negocio soportadas, equipo de recuperación y datos de contacto, procedimientos de recuperación (paso a paso), mecanismos de conmutación por error (failover) y sitios de procesamiento alternativos, procedimientos de restauración de datos desde copias de seguridad, verificación de integridad después de la restauración, requisitos de comunicación durante la recuperación, criterios para declarar la recuperación completada y procedimientos de revisión post-recuperación. Alinea los RTO y RPO con nuestra política de continuidad del negocio."

  3. Establezca políticas y procedimientos de copias de seguridad (Artículo 12):

    "Crea políticas y procedimientos integrales de copia de seguridad y restauración para el Artículo 12 de DORA. Incluye: alcance de la copia de seguridad (todos los datos, configuraciones y software necesarios para restaurar las operaciones), frecuencia de respaldo por clasificación de datos y RPO, métodos de respaldo (completo, incremental, diferencial), requisitos de almacenamiento seguro (sitio secundario geográficamente separado según el Artículo 12(1)), cifrado de datos de respaldo, procedimientos y frecuencia de pruebas de integridad de respaldo, procedimientos de prueba de restauración (al menos anual según el Artículo 12(2)), monitorización y alertas de respaldo, requisitos de documentación y registro, y procedimientos para el respaldo de sistemas alojados por proveedores externos. Especifica los requisitos para el sitio de respaldo física y lógicamente separado."

Requisito crítico: El Artículo 12 de DORA exige específicamente que los sistemas de copia de seguridad se alojen en un sitio que sea geográficamente remoto y esté física y lógicamente segregado del sitio principal. Esto es más prescriptivo que muchos estándares existentes. Verifique que su arquitectura de respaldo actual cumpla con este requisito específico.

Comunicación de crisis (Artículo 14)

El Artículo 14 exige planes específicos de comunicación de crisis. Genérelos usando ISMS Copilot:

"Desarrolla un plan de comunicación de crisis de TIC para el Artículo 14 de DORA. Incluye: gobernanza de la comunicación (quién autoriza las comunicaciones externas), matriz de comunicación de partes interesadas (órgano de dirección, empleados, clientes, contrapartes, autoridades competentes, medios, público), plantillas de comunicación para diferentes niveles de severidad de incidentes, política de divulgación responsable de vulnerabilidades de TIC, procedimientos para coordinar con las autoridades competentes durante incidentes, protocolos de redes sociales y relaciones públicas, portavoz designado y suplente, y registro y mantenimiento de archivos de comunicación. Proporciona ejemplos de mensajes para escenarios de incidentes graves de TIC."

Paso 6: Aprendizaje y evolución (Artículo 13)

Proceso de revisión post-incidente

El Artículo 13 exige que las entidades financieras aprendan de los incidentes de TIC, de los resultados de las pruebas y de las vulnerabilidades. Esto crea un ciclo de mejora continua que fortalece su marco con el tiempo.

  1. Establezca el proceso de revisión post-incidente:

    "Crea un procedimiento de revisión post-incidente para el Artículo 13 de DORA. Incluye: criterios de activación (qué incidentes requieren revisión formal), cronograma de revisión (dentro de [X] semanas tras el cierre del incidente), participantes en la revisión (respondedores de incidentes, gestión de riesgos, áreas de negocio afectadas, dirección), plantilla de revisión que cubra: cronograma del incidente, análisis de causa raíz (técnica y organizativa), evaluación de la eficacia de los controles, brechas en la detección o respuesta, impacto en los clientes y funciones de negocio, precisión del reporte regulatorio, lecciones aprendidas y acciones de mejora, seguimiento de acciones (propietario, plazo, prioridad), requisitos de reporte al órgano de dirección e integración de lecciones en las actualizaciones del marco de gestión de riesgos de TIC. Proporciona una plantilla de informe de revisión post-incidente."

  2. Construya el programa de mejora continua:

    "Diseña un programa de mejora continua para el marco de gestión de riesgos de TIC bajo el Artículo 13 de DORA. Incluye: entradas al ciclo de mejora (revisiones post-incidente, resultados de pruebas, hallazgos de auditoría, guía regulatoria, inteligencia de amenazas, cambios tecnológicos), gobernanza de las acciones de mejora (cómo se priorizan, aprueban y rastrean), métricas de eficacia del marco (tendencias de incidentes, tiempos de detección, tiempos de recuperación, madurez de controles), proceso de revisión anual del marco para el órgano de dirección e integración con programas de formación y concienciación según el Artículo 13(6). Proporciona una plantilla para el informe anual de revisión del marco."

Concienciación y formación en seguridad de las TIC

El Artículo 13(6) exige programas obligatorios de concienciación en seguridad de las TIC y formación en resiliencia operativa digital. Desarrolle estos con ISMS Copilot:

"Crea un programa de formación y concienciación en seguridad de TIC para el Artículo 13(6) de DORA. Incluye: análisis de necesidades de formación por rol (órgano de dirección, personal de TIC, todos los empleados, contratistas externos), temas de formación (concienciación sobre riesgos de TIC, obligaciones de reporte de incidentes, políticas de seguridad, ingeniería social, requisitos específicos de DORA), métodos de entrega y frecuencia, currículo de formación en riesgos de TIC para el órgano de dirección (según el Artículo 5(4)), evaluación de la eficacia de la formación, mantenimiento de registros y seguimiento de cumplimiento, y plan anual de formación. Diferencia entre concienciación general y formación técnica específica por rol."

Consejo profesional: Cree un módulo de formación específico sobre DORA para su órgano de dirección que cubra sus obligaciones personales bajo el Artículo 5, el panorama de riesgos de TIC relevante para su entidad y cómo interpretar los informes de riesgos de TIC. Este es un elemento de auditoría de alta visibilidad y demuestra un compromiso real de gobernanza.

Paso 7: Integrar y validar el marco completo

Referencia cruzada de los componentes del marco

Una vez que haya desarrollado todos los componentes del marco, utilice ISMS Copilot para validar su integridad y coherencia:

"Revisa la integridad del cumplimiento de DORA de los siguientes componentes del marco de gestión de riesgos de TIC: [lista o sube tu documento de marco, políticas, procedimientos, plantillas]. Para cada Artículo de DORA del 5 al 16, confirma: si se aborda el requisito, qué documento lo aborda, si el tratamiento es adecuado para una [tipo de entidad] de nuestro tamaño, cualquier brecha o inconsistencia entre documentos y cualquier requisito de las Normas Técnicas de Regulación (RTS) bajo el Artículo 15 que aún no se haya abordado. Proporciona una matriz de cumplimiento."

Preparación para el examen regulatorio

Las autoridades competentes examinarán su marco de gestión de riesgos de TIC como un área de enfoque principal. Prepare su paquete de evidencias:

"Crea una lista de verificación de preparación para el examen de gestión de riesgos de TIC de DORA para una [tipo de entidad]. Para cada Artículo del 5 al 16, enumera: las preguntas regulatorias esperadas, los documentos de evidencia que debe tener listos, las métricas clave y KPIs a presentar, los hallazgos de deficiencias comunes y cómo evitarlos, y los requisitos de demostración del órgano de dirección (registros de formación, actas de reuniones, evidencia de aprobación). Prioriza por probabilidad de enfoque del examen."

Su marco de gestión de riesgos de TIC debe revisarse al menos una vez al año y tras detectarse incidentes graves de TIC (Artículo 6(5)). Incorpore este ciclo de revisión en su calendario de gobernanza desde el principio y utilice ISMS Copilot para generar la plantilla del informe de revisión anual.

Próximos pasos

Ahora dispone de un marco de gestión de riesgos de TIC integral que cubre todos los requisitos de los Artículos 6-16 de DORA:

  • Documento de marco con estructura de gobernanza y estrategia de riesgo de TIC

  • Inventario de activos de TIC con clasificación y mapeo de dependencias

  • Medidas de protección y prevención con suite de políticas de seguridad

  • Capacidades de detección con estrategia y procedimientos de monitorización

  • Procedimientos de respuesta y recuperación con políticas de BCP, DRP y copias de seguridad

  • Programa de aprendizaje y evolución con revisión post-incidente y formación

Continúe con las siguientes guías de esta serie sobre DORA:

  • Cómo implementar el reporte de incidentes de DORA usando IA: parta de sus capacidades de detección y respuesta para cumplir con los requisitos específicos de clasificación y reporte de incidentes de DORA.

  • Cómo planificar las pruebas de resiliencia de DORA usando IA: diseñe su programa de pruebas para validar los controles y procedimientos establecidos en este marco.

  • Cómo gestionar el riesgo de terceros proveedores de TIC de DORA usando IA: amplíe su marco de gestión de riesgos para cubrir a los proveedores externos identificados en su inventario de activos.

Para obtener prompts listos para usar que cubran todos los aspectos de la gestión de riesgos de TIC, consulte la Biblioteca de Prompts para el Cumplimiento de DORA. Para una visión general regulatoria completa, consulte la Guía de Cumplimiento de DORA para Entidades Financieras.

Obtener ayuda

Para obtener apoyo adicional en la construcción de su marco de gestión de riesgos de TIC:

  • Pregunte a ISMS Copilot: use su espacio de trabajo DORA para el desarrollo y la revisión iterativa de políticas.

  • Suba políticas existentes: obtenga un análisis de brechas específico cargando su documentación actual de riesgos de TIC para compararla con los requisitos de DORA.

  • Referencia cruzada de marcos: mapee los controles existentes de ISO 27001 o de las Directrices de la EBA con los Artículos 6-16 de DORA para aprovechar el trabajo previo.

  • Valide los resultados: revise los documentos del marco generados por la IA contrastándolos con el texto del reglamento DORA y las Normas Técnicas de Regulación pertinentes antes de la aprobación del órgano de dirección.

Construya hoy mismo su marco de gestión de riesgos de TIC. Abra su espacio de trabajo DORA en chat.ismscopilot.com y comience con el documento de su marco. El conocimiento detallado de DORA de ISMS Copilot, artículo por artículo, garantiza que cada política y procedimiento que genere esté alineado con las expectativas regulatorias y listo para el examen de supervisión.

¿Te fue útil?