ISMS Copilot
DORA con IA

Cómo planificar las pruebas de resiliencia de DORA mediante IA

Resumen

Aprenderá a diseñar e implementar un programa de pruebas de resiliencia operativa digital que cumpla con los artículos 24 a 27 de DORA utilizando IA. Esta guía abarca el programa general de pruebas (evaluaciones de vulnerabilidad, pruebas de penetración, pruebas basadas en escenarios), los requisitos avanzados de las pruebas de penetración basadas en amenazas (TLPT), el alcance y la frecuencia de las pruebas, la notificación de resultados al órgano de gestión y la integración de las pruebas con su marco de gestión de riesgos de TIC, con prompts específicos de ISMS Copilot para generar cada componente.

A quién va dirigido

Esta guía es para:

  • CISOs y responsables de seguridad encargados de diseñar y supervisar los programas de pruebas de resiliencia

  • Gestores de riesgos de TI que integran los resultados de las pruebas en las evaluaciones de riesgos de TIC

  • Coordinadores de pruebas de penetración que gestionan actividades de pruebas internas y externas

  • Responsables de cumplimiento que garantizan que los programas de pruebas cumplan con las expectativas regulatorias

  • Consultores que ayudan a las entidades financieras a prepararse para las TLPT o las pruebas generales de resiliencia

Antes de comenzar

Necesitará:

  • Una cuenta de ISMS Copilot (prueba gratuita disponible)

  • Su marco de gestión de riesgos de TIC y el inventario de activos de TIC de Cómo crear un marco de gestión de riesgos de TIC de DORA mediante IA

  • Sus procedimientos de clasificación y respuesta a incidentes de Cómo implementar el reporte de incidentes de DORA mediante IA

  • Comprensión de sus actividades de prueba actuales (escaneos de vulnerabilidades, pruebas de penetración, pruebas de DR)

  • Conocimiento de si su entidad ha sido designada para realizar TLPT por su autoridad competente

  • Autorización presupuestaria para servicios de pruebas externas (particularmente para TLPT)

DORA distingue entre las pruebas generales de resiliencia (obligatorias para todas las entidades financieras, Artículos 24-25) y las pruebas avanzadas mediante TLPT (obligatorias solo para entidades designadas, Artículos 26-27). Todas las entidades deben tener un programa de pruebas; solo algunas deben realizar TLPT. Esta guía cubre ambos.

Comprensión de los requisitos de las pruebas de resiliencia de DORA

Desglose artículo por artículo

El Capítulo IV de DORA (Artículos 24-27) establece un enfoque estructurado para las pruebas de resiliencia operativa digital:

Artículo

Título

Requisitos clave

Aplicabilidad

Art 24

Requisitos generales para las pruebas de resiliencia operativa digital

Establecer un programa de pruebas como parte de la gestión de riesgos de TIC, enfoque basado en el riesgo

Todas las entidades financieras (proporcional)

Art 25

Pruebas de herramientas y sistemas de TIC

Tipos de pruebas específicas: evaluaciones de vulnerabilidad, pruebas de penetración, pruebas basadas en escenarios, pruebas de compatibilidad, pruebas de rendimiento, revisiones de código fuente

Todas las entidades financieras (proporcional)

Art 26

Pruebas avanzadas mediante TLPT

Pruebas de penetración basadas en amenazas según el marco TIBER-EU, cada 3 años

Solo entidades designadas

Art 27

Requisitos para los probadores

Cualificaciones, independencia y estándares para los probadores (internos y externos)

Todas las entidades que realizan pruebas

Pruebas generales frente a TLPT

Comprender la distinción entre las pruebas generales y las TLPT es fundamental para definir el alcance de su programa:

Aspecto

Pruebas generales (Art 24-25)

TLPT (Art 26-27)

Diferencia clave

Quién

Todas las entidades financieras

Solo entidades designadas

La autoridad competente designa a las entidades de TLPT

Frecuencia

Basada en el riesgo; sistemas críticos al menos anualmente

Al menos cada 3 años

La TLPT es menos frecuente pero mucho más intensiva

Alcance

Todos los sistemas TIC (proporcional)

Funciones críticas e importantes, sistemas de producción en vivo

La TLPT prueba sistemas en vivo, no solo entornos de prueba

Metodología

Diversas (escaneos de vulnerabilidades, pruebas de penetración, pruebas de escenarios)

Marco TIBER-EU, guiado por inteligencia de amenazas

La TLPT simula tácticas de adversarios del mundo real

Probadores

Internos o externos (con requisitos de independencia)

Se requieren probadores externos (con excepciones limitadas)

La TLPT requiere un equipo rojo (red team) externo certificado

Reporte

Interno (órgano de dirección, función de riesgo de TIC)

A la autoridad competente, con certificación

Los resultados de la TLPT van al regulador

Designación de TLPT: Su autoridad competente designará a las entidades obligadas a realizar TLPT en función de su importancia sistémica, perfil de riesgo de TIC y criticidad de los servicios. Si no ha sido designado formalmente, no está obligado a realizar TLPT, pero aun así debe evaluar si es probable que sea designado y prepararse en consecuencia. Los grandes bancos, las aseguradoras significativas y los principales operadores de infraestructuras de mercado son candidatos típicos.

Paso 1: Diseñar su programa general de pruebas (Artículos 24-25)

Marco del programa de pruebas

El artículo 24 exige un programa de pruebas que sea parte integrante de su marco de gestión de riesgos de las TIC, que siga un enfoque basado en el riesgo y que sea proporcionado al tamaño y al perfil de riesgo de su entidad.

  1. Abra su espacio de trabajo DORA en ISMS Copilot

  2. Genere el documento del programa de pruebas:

    "Cree un Programa de Pruebas de Resiliencia Operativa Digital para una [tipo de entidad] que cumpla con los Artículos 24-25 de DORA. Incluya: propósito y objetivos del programa, gobernanza (supervisión del órgano de gestión, propietario del programa, funciones y responsabilidades), enfoque basado en el riesgo para la planificación de las pruebas (cómo determinan los riesgos qué se prueba y con qué frecuencia), alcance de las pruebas (mapeado al inventario de activos de TIC y a las funciones críticas/importantes), tipos de pruebas a realizar (evaluaciones de vulnerabilidad, pruebas de seguridad de red, pruebas de penetración, pruebas basadas en escenarios, pruebas de compatibilidad, pruebas de rendimiento, revisiones de código fuente, pruebas de software de código abierto, pruebas de extremo a extremo), frecuencia de las pruebas por criticidad de los activos y tipo de prueba, requisitos de probadores internos vs externos, requisitos de independencia según el Artículo 27, reporte de resultados y comunicación al órgano de gestión, proceso de seguimiento de la remediación, integración con las actualizaciones del marco de gestión de riesgos de las TIC, plantilla de calendario anual de pruebas, y planificación de presupuesto y recursos. Aplicar la proporcionalidad para una organización de [tamaño de la entidad]."

  3. Defina la metodología de pruebas basada en el riesgo:

    "Cree una metodología de pruebas basada en el riesgo para las pruebas de resiliencia de DORA. Defina cómo determinamos: qué sistemas y funciones probar (basándose en la criticidad de los activos de las TIC, el impacto en el negocio, el panorama de amenazas, los incidentes anteriores), qué tipo de prueba aplicar (escaneo de vulnerabilidades frente a prueba de penetración frente a prueba basada en escenarios), profundidad e intensidad de las pruebas (básica, estándar, avanzada), frecuencia de las pruebas (trimestral, semestral, anual) y prioridad de las pruebas cuando los recursos son limitados. Proporcione una matriz de prioridad de pruebas que relacione la criticidad de los activos y el nivel de amenaza con el tipo y la frecuencia de las pruebas. Incluya ejemplos para un [tipo de entidad]."

Consejo profesional: Su programa de pruebas debe ser un documento vivo que evolucione en función de los cambios en los riesgos, los hallazgos de los incidentes y las nuevas amenazas. Incorpore revisiones trimestrales del plan de pruebas y la posibilidad de añadir pruebas ad hoc cuando se produzcan cambios significativos (nuevos sistemas, nuevas amenazas, incidentes graves). Esto demuestra el enfoque basado en el riesgo que esperan los reguladores.

Tipos de pruebas y su aplicación

El artículo 25 especifica múltiples tipos de pruebas. Utilice ISMS Copilot para desarrollar planes detallados para cada una:

  1. Programa de evaluación de vulnerabilidades:

    "Cree un programa de evaluación de vulnerabilidades para el cumplimiento del Artículo 25 de DORA. Incluya: alcance del escaneo (todos los activos de TIC por nivel de criticidad), herramientas y metodología de escaneo, frecuencia del escaneo (al menos trimestral para activos críticos, mensual recomendado), clasificación de vulnerabilidades alineada con la puntuación CVSS, plazos de remediación por gravedad (crítica: 48 horas, alta: 7 días, media: 30 días, baja: 90 días), proceso de gestión de excepciones para vulnerabilidades que no se pueden remediar inmediatamente, formato de reporte (informe técnico y resumen de gestión), metodología de análisis de tendencias e integración con los procedimientos de gestión de parches. Proporcione un flujo de trabajo de gestión de vulnerabilidades."

  2. Programa de pruebas de penetración:

    "Cree un programa de pruebas de penetración para el cumplimiento del Artículo 25 de DORA. Incluya: alcance de las pruebas (perímetro externo, red interna, aplicaciones web, aplicaciones móviles, seguridad de API, ingeniería social), frecuencia de las pruebas (al menos anual para sistemas críticos, más frecuente para áreas de alto riesgo), metodología de las pruebas (OWASP, PTES o equivalente), plantilla de reglas de participación (alcance, calendario, escalada, acciones prohibidas), requisitos de cualificación de los probadores según el Artículo 27 de DORA (independencia, competencia, seguro), procedimientos previos a la prueba (autorización, confirmación del alcance, comunicación), requisitos de reporte (resumen ejecutivo, hallazgos técnicos, calificaciones de riesgo, recomendaciones de remediación), procedimientos posteriores a la prueba (verificación de la remediación, re-evaluación) y formato de reporte al órgano de gestión. Proporcione una plantilla de ejemplo de reglas de participación."

  3. Programa de pruebas basadas en escenarios:

    "Diseñe un programa de pruebas de resiliencia basado en escenarios para el Artículo 25 de DORA. Cree escenarios de prueba que cubran: ataque de ransomware en sistemas bancarios/de pago principales, interrupción de un gran proveedor de nube que afecte a servicios críticos, ataque DDoS durante periodos de máxima actividad de transacciones, amenaza interna que comprometa datos sensibles, ataque a la cadena de suministro a través de un proveedor de servicios TIC crítico de terceros, fallo simultáneo de los sistemas principal y de respaldo, pérdida de personal clave de TIC durante un incidente, brecha de datos regulatoria que requiera la notificación al cliente. Para cada escenario, defina: objetivos de la prueba, alcance y sistemas involucrados, narrativa del escenario y cronograma de inyecciones, criterios de éxito, participantes y roles, procedimientos de ejecución de la prueba, resultados esperados, criterios de evaluación y plantilla de reporte. Incluya formatos tanto de mesa de debate como de ejercicio simulado."

Paso 2: Establecer los requisitos de los probadores (Artículo 27)

Independencia y cualificaciones de los probadores

El artículo 27 establece requisitos para los probadores que realizan pruebas de resiliencia. Estos se aplican tanto a los probadores internos como a los externos:

"Cree una política de requisitos y cualificación de probadores para el Artículo 27 de DORA. Aborde: probadores internos (independencia de las áreas probadas, certificaciones pertinentes como OSCP/CREST/GPEN, mantenimiento de la competencia, requisitos de rotación), probadores externos (certificaciones y acreditaciones profesionales, experiencia relevante en pruebas del sector financiero, seguro de responsabilidad civil profesional, verificación de la independencia, comprobación de referencias), gestión de conflictos de intereses, procedimientos de investigación y habilitación de seguridad de los probadores, requisitos de no divulgación y confidencialidad, y criterios de evaluación del desempeño de los probadores. Proporcione una lista de comprobación de cualificación del probador tanto para probadores internos como externos, y un ejemplo de declaración de trabajo para contratos de pruebas externos."

Para las pruebas de resiliencia generales (Artículos 24-25), pueden utilizarse probadores internos siempre que cumplan los requisitos de independencia. Sin embargo, para la TLPT (Artículo 26), los probadores externos son obligatorios, salvo en circunstancias limitadas en las que las autoridades competentes pueden permitir probadores internos bajo condiciones estrictas.

Paso 3: Planificación de la TLPT (Artículos 26-27)

Comprensión de los requisitos de la TLPT

Las pruebas de penetración basadas en amenazas (TLPT) según DORA se basan en el marco TIBER-EU y representan el requisito de prueba más intensivo. Incluso si no ha sido designado para realizar TLPT, comprender los requisitos es valioso para la preparación.

  1. Evaluar la aplicabilidad de la TLPT:

    "Evalúe si es probable que nuestro [tipo de entidad] con [tamaño, importancia sistémica, perfil de riesgo de TIC] sea designado para la TLPT de DORA en virtud del Artículo 26. Considere: nuestra importancia sistémica en el sector financiero, la criticidad de los servicios que prestamos, nuestro perfil de riesgo y complejidad de las TIC, los criterios de designación de la autoridad competente según la guía publicada. Si es probable que seamos designados, proporcione una evaluación de la preparación para la TLPT y un cronograma de preparación. Si es poco probable, recomiende las medidas preparatorias que deberíamos tomar de todos modos."

  2. Generar el marco de la TLPT:

    "Cree un marco de preparación y ejecución de TLPT para el Artículo 26 de DORA, alineado con la metodología TIBER-EU. Incluya: Fase 1 - Preparación: definición del alcance (funciones críticas e importantes a probar en sistemas de producción en vivo), compromiso y notificación a la autoridad competente, selección del proveedor de inteligencia de amenazas, selección del proveedor del red team, formación del white team (equipo interno al tanto de la prueba), aprobaciones de gobernanza interna. Fase 2 - Inteligencia de amenazas: informe de inteligencia de amenazas (análisis del panorama de amenazas dirigidas), escenarios de amenazas basados en actores y técnicas de amenazas actuales, análisis de la superficie de ataque y revisión por la autoridad competente de los escenarios de amenazas. Fase 3 - Pruebas del Red Team: participación del red team (ataques simulados en sistemas de producción en vivo), ejecución de la prueba durante [duración típica: 8-12 semanas], pruebas controladas con mecanismos de seguridad, actividades de purple team (si se acuerdan) y documentación de hallazgos. Fase 4 - Cierre: informe del red team con hallazgos y evidencias, evaluación de la respuesta del blue team, desarrollo del plan de remediación, sesión informativa para el órgano de gestión, proceso de certificación de la autoridad competente. Proporcione estimaciones de plazos y requisitos de recursos para cada fase."

Pruebas en producción real: La TLPT bajo DORA se lleva a cabo contra sistemas de producción reales, no en entornos de prueba. Esto conlleva un riesgo operativo inherente. Establezca mecanismos de seguridad claros, procedimientos de escalada y capacidades de reversión antes de la ejecución de la TLPT. El "white team" debe estar facultado para detener las pruebas si éstas amenazan la estabilidad operativa. Coordínese estrechamente con su autoridad competente durante todo el proceso.

Selección del proveedor de TLPT

La TLPT requiere un proveedor de inteligencia de amenazas y un proveedor de red team. Utilice ISMS Copilot para desarrollar los criterios de selección:

"Cree un marco de selección de proveedores de TLPT para el Artículo 26-27 de DORA. Para el Proveedor de Inteligencia de Amenazas: cualificaciones requeridas (experiencia en amenazas financieras específicas del sector, certificaciones reconocidas), criterios de evaluación (calidad de informes de amenazas anteriores, comprensión de las amenazas del sector financiero de la UE, fuentes de datos y capacidades de recopilación) y lista de control de selección. Para el Proveedor de Red Team: cualificaciones requeridas (acreditación CREST, CBEST o equivalente, experiencia con pruebas TIBER-EU, experiencia en el sector financiero), criterios de evaluación (capacidades técnicas, metodología, composición del equipo, historial de seguridad), verificación de independencia (sin relación de asesoría actual con la entidad), requisitos de seguro y lista de control de selección. Proporcione una plantilla de RFP para ambos tipos de proveedores."

Definición del alcance de la TLPT

Un alcance adecuado es fundamental para el éxito de una TLPT. Utilice ISMS Copilot para definir el alcance de las pruebas:

"Ayúdenos a definir el alcance de nuestro ejercicio de TLPT de DORA. Nuestras funciones críticas e importantes incluyen: [enumerar funciones]. Para cada función crítica, identifique: los sistemas e infraestructura de TIC de apoyo que deberían estar en el alcance, los flujos de datos e integraciones que podrían ser rutas de ataque, los proveedores de TIC externos que apoyan la función (y si deben incluirse en las pruebas según el Artículo 26(3)), las posibles superficies de ataque (externas, internas, físicas, ingeniería social) y los sistemas que deben excluirse explícitamente por razones de seguridad. Elabore un documento de alcance de la TLPT adecuado para la revisión de la autoridad competente."

Paso 4: Reporte de resultados y seguimiento de la remediación

Comunicación de los resultados de las pruebas a la dirección

DORA exige que los resultados de las pruebas se notifiquen al órgano de gestión y se utilicen para actualizar el marco de gestión de riesgos de las TIC:

  1. Generar plantillas de informes de resultados de pruebas:

    "Cree una plantilla de informe de resultados de pruebas de resiliencia para el reporte al órgano de gestión según el Artículo 24 de DORA. Incluya: resumen ejecutivo (postura global de resiliencia, hallazgos clave, comparación de tendencias), resumen de ejecución del programa de pruebas (pruebas realizadas, alcance, calendario), hallazgos por gravedad (críticos, altos, medios, bajos) con contexto de impacto empresarial, comparación con ciclos de pruebas anteriores (mejora o degradación), estado de remediación de vulnerabilidades identificadas anteriormente, nuevas recomendaciones de remediación con priorización basada en el riesgo, evaluación de la eficacia del programa de pruebas, utilización de presupuesto y recursos, y recomendaciones de ajustes en el programa de pruebas. El informe debe ser adecuado para miembros de la junta no técnicos, manteniendo al mismo tiempo el detalle suficiente para la supervisión de riesgos."

  2. Crear documentación de certificación de TLPT:

    "Cree un paquete de documentación de certificación de TLPT para su presentación a nuestra autoridad competente según el Artículo 26(6) de DORA. Incluya: informe resumido de la TLPT (alcance, metodología, cronograma), hallazgos anónimos del red team (gravedad crítica y alta), plan de remediación con cronograma y estado, reconocimiento y aprobación por parte del órgano de gestión, lecciones aprendidas de la organización y cualquier solicitud de reconocimiento mutuo con otras autoridades competentes. Siga la guía de formato de [autoridad competente] y el marco TIBER-EU."

Seguimiento de la remediación

Las pruebas solo tienen valor si los hallazgos conducen a mejoras. Establezca un sólido seguimiento de la remediación:

"Cree un procedimiento de seguimiento de la remediación de las pruebas de resiliencia para el cumplimiento de DORA. Incluya: cómo se traducen los hallazgos en acciones de remediación, metodología de priorización (crítica: remediar en 30 días, alta: 60 días, media: 90 días, baja: próximo ciclo de pruebas), asignación de propietarios de la remediación y rendición de cuentas, seguimiento del progreso y escalada para remediaciones vencidas, pruebas de verificación (confirmar que las correcciones son efectivas), proceso de excepción para hallazgos que no pueden ser remediados (controles compensatorios, aceptación del riesgo con aprobación del órgano de gestión), integración con el registro de riesgos de TIC (actualización de las evaluaciones de riesgos basadas en los hallazgos de las pruebas) y cadencia de reporte al órgano de gestión. Proporcione una plantilla de registro de seguimiento de la remediación."

Consejo profesional: Realice un seguimiento de las tasas de cierre de remediaciones como un KPI e infórmelas al órgano de gestión. Un programa de pruebas que identifica vulnerabilidades pero que no impulsa la remediación es peor que inútil: crea evidencia documentada de riesgos conocidos sin tratamiento. Los reguladores se darán cuenta de los hallazgos no abordados de ciclos de pruebas anteriores.

Paso 5: Integrar las pruebas con su marco de gestión de riesgos de TIC

Incorporación de los resultados en la gestión de riesgos

DORA requiere que los resultados de las pruebas informen y actualicen su marco de gestión de riesgos de TIC. Utilice ISMS Copilot para formalizar esta integración:

"Defina cómo se integran los resultados de las pruebas de resiliencia con nuestro marco de gestión de riesgos de TIC de DORA. Incluya: cómo los hallazgos de las pruebas actualizan el registro de riesgos de TIC (nuevos riesgos identificados, calificaciones de riesgo ajustadas, eficacia de los controles reevaluada), cómo informan los resultados de las pruebas a la revisión anual del marco de gestión de riesgos de TIC según el Artículo 6(5), cómo influyen los resultados de la TLPT en nuestra estrategia de riesgos de TIC y el apetito de riesgo, cómo las pruebas de escenarios actualizan nuestros planes de continuidad de negocio y recuperación ante desastres, cómo las tendencias de la evaluación de vulnerabilidades informan nuestras medidas de protección y prevención según el Artículo 9, y cómo los resultados de la simulación de incidentes validan o cuestionan nuestros procedimientos de clasificación y notificación de incidentes. Proporcione un flujo de proceso que muestre el bucle de retroalimentación entre las pruebas y la gestión de riesgos."

Mejora continua de las pruebas

Su propio programa de pruebas debe evolucionar en función de los resultados y las amenazas cambiantes:

"Cree un proceso de revisión anual del programa de pruebas para el cumplimiento de DORA. La revisión debe evaluar: la cobertura de las pruebas (¿probamos todos los sistemas y funciones críticos según lo previsto?), la eficacia de las pruebas (¿identificaron las pruebas vulnerabilidades reales? ¿cómo se comparan los hallazgos con los incidentes reales?), la eficiencia de las pruebas (¿estamos utilizando los recursos de forma eficaz? ¿hay pruebas solapadas o redundantes?), los cambios en el panorama de amenazas (¿reflejan nuestros escenarios de prueba las amenazas actuales?), los nuevos sistemas o servicios añadidos desde la última revisión (¿están incluidos en el alcance de las pruebas?), los comentarios o guías regulatorias sobre las expectativas de las pruebas y los ajustes recomendados del programa para el próximo ciclo. Elabore una plantilla de informe de revisión anual del programa de pruebas para la aprobación del órgano de gestión."

Paso 6: Gestión de la logística y gobernanza de las pruebas

Calendario de pruebas y coordinación

Establecer un calendario anual de pruebas estructurado para garantizar que todas las actividades de prueba estén planificadas, dotadas de recursos y coordinadas:

"Cree un calendario anual de pruebas de resiliencia para nuestro [tipo de entidad]. Mapee todas las actividades de prueba requeridas a lo largo del año: escaneos de vulnerabilidades (trimestrales para los críticos, mensuales para los expuestos a Internet), pruebas de penetración (externas anuales, internas anuales, de aplicaciones anuales), ejercicios basados en escenarios (mesa de debate semestral, simulación anual), pruebas de continuidad del negocio (fallo anual, restauración anual de copias de seguridad) y actividades de preparación de TLPT (si procede). Incluya: requisitos de recursos para cada actividad, requisitos de coordinación (ventanas de congelación de cambios, participación de las unidades de negocio), dependencias entre las actividades de prueba, asignación de presupuesto por trimestre e hitos de reporte al órgano de gestión. Formato como vista de calendario con estructura de diagrama de Gantt."

Pruebas de proveedores de TIC externos

El artículo 26(3) aborda las pruebas en las que participan proveedores de servicios de TIC externos. Coordine los requisitos de prueba con sus proveedores:

"Cree procedimientos para coordinar las pruebas de resiliencia con proveedores de TIC externos bajo DORA. Incluya: requisitos contractuales para la participación del proveedor en las pruebas (vínculo con las cláusulas contractuales del Artículo 28), procedimientos de notificación y coordinación con el proveedor, pruebas de responsabilidad compartida (lo que probamos nosotros frente a lo que prueba el proveedor), gestión de la negativa del proveedor a participar en las pruebas, enfoques de prueba alternativos cuando no es posible la prueba directa del proveedor (pruebas sintéticas, informes de pruebas suministrados por el proveedor), TLPT que afecte a sistemas de proveedores externos (acuerdos de pruebas conjuntas del Artículo 26(3)) y recopilación de evidencias de las actividades de prueba del proveedor. Aborde escenarios para proveedores de nube, proveedores de servicios gestionados y proveedores de infraestructuras críticas."

El artículo 26(3) de DORA permite acuerdos de pruebas conjuntas (pooled testing) en los que varias entidades financieras que utilizan el mismo proveedor de TIC crítico pueden coordinar la TLPT, reduciendo la carga sobre el proveedor. Si utiliza un proveedor de nube importante o una infraestructura compartida, explore si existen acuerdos de pruebas conjuntas o si podrían establecerse a través de sus asociaciones sectoriales.

Siguientes pasos

Ahora dispone de un completo programa de pruebas de resiliencia operativa digital:

  • Marco del programa de pruebas con metodología basada en riesgos

  • Planes detallados para evaluaciones de vulnerabilidades, pruebas de penetración y pruebas basadas en escenarios

  • Requisitos de cualificación e independencia de los probadores

  • Marco de preparación para TLPT (si está designado o es probable que lo esté)

  • Plantillas de reporte de resultados para el órgano de gestión y la autoridad competente

  • Procedimientos de seguimiento de la remediación

  • Integración con el marco de gestión de riesgos de TIC

Continúe con la guía final de esta serie DORA:

  • Cómo gestionar el riesgo de TIC de terceros con DORA usando IA -- Asegúrese de que sus proveedores terceros estén incluidos en su programa de pruebas y que los contratos respalden sus obligaciones de prueba

Para la configuración básica, consulte Cómo empezar con la implementación de DORA mediante IA. Para el marco de riesgo TIC, consulte Cómo crear un marco de gestión de riesgos de TIC de DORA mediante IA. Para la integración del reporte de incidentes, consulte Cómo implementar el reporte de incidentes de DORA mediante IA.

Para obtener prompts listos para usar, consulte la Biblioteca de prompts para el cumplimiento de DORA. Para conocer la visión regulatoria completa, consulte la Guía de cumplimiento de DORA para entidades financieras.

Obtener ayuda

Para obtener soporte adicional en la planificación de su programa de pruebas de resiliencia:

  • Pregunte a ISMS Copilot: Utilice su espacio de trabajo DORA para generar escenarios de prueba específicos para su tipo de entidad y entorno de TIC

  • Cargue informes de pruebas existentes: Obtenga un análisis de brechas cargando informes anteriores de pruebas de penetración o de evaluación de vulnerabilidades para compararlos con los requisitos de DORA

  • Preparación de TLPT: Utilice ISMS Copilot para desarrollar su documento de alcance de la TLPT y los criterios de selección de proveedores antes de contactar con su autoridad competente

  • Validar los resultados: Revise todos los planes de pruebas con respecto a los Artículos 24-27 de DORA, los RTS pertinentes y el marco TIBER-EU antes de la aprobación del órgano de gestión

Diseñe su programa de pruebas hoy mismo. Abra su espacio de trabajo DORA en chat.ismscopilot.com y comience con el marco de su programa de pruebas. Las pruebas proactivas de resiliencia son la mejor manera de identificar y abordar las vulnerabilidades de las TIC antes de que se conviertan en incidentes que activen las obligaciones de reporte de DORA.

¿Te fue útil?