DORA
Cumpla con los requisitos de la Ley de Resiliencia Operativa Digital de la UE utilizando CyberOrigen.
Vision General
DORA (Digital Operational Resilience Act) es una regulacion de la UE para el sector financiero. Establece requisitos uniformes para gestion de riesgos TIC, reporte de incidentes y gestion de riesgos de terceros.
Fecha de Aplicacion: 17 de enero de 2025
Alcance
Entidades Cubiertas
- Entidades de credito
- Instituciones de pago
- Empresas de inversion
- Companias de seguros
- Fondos de pensiones
- Proveedores de servicios de criptoactivos
- Proveedores de servicios TIC de terceros
Areas Clave
| Pilar | Descripcion |
|---|---|
| Gestion de Riesgos TIC | Marco de gobierno y riesgos |
| Reporte de Incidentes | Mecanismo de reporte unificado |
| Pruebas de Resiliencia | Requisitos de pruebas regulares |
| Riesgo de Terceros | Supervision de proveedores TIC |
| Compartir Informacion | Intercambio de inteligencia de amenazas |
Marco de Gestion de Riesgos TIC
Requisitos Articulos 5-16
| Articulo | Requisito |
|---|---|
| 5 | Marco de gestion de riesgos TIC |
| 6 | Sistemas y herramientas TIC |
| 7 | Identificacion |
| 8 | Proteccion y prevencion |
| 9 | Deteccion |
| 10 | Respuesta y recuperacion |
| 11 | Politicas de respaldo |
| 12 | Aprendizaje y evolucion |
| 13 | Comunicacion |
| 14 | Pruebas avanzadas |
Mapeo CyberOrigen
| Articulo DORA | Funcion CyberOrigen |
|---|---|
| Art. 7 Identificacion | Descubrimiento de activos, escaneo |
| Art. 8 Proteccion | Remediacion de vulnerabilidades |
| Art. 9 Deteccion | Monitoreo continuo |
| Art. 10 Respuesta | Flujo de trabajo de remediacion |
| Art. 14 Pruebas | Soporte de pruebas de penetracion |
Primeros Pasos
1. Habilitar Marco
- Vaya a GRC → Marcos
- Haga clic en Inscribir en DORA
- Haga clic en Habilitar
2. Evaluacion de Riesgos TIC
Documente su marco de riesgos TIC:
- Vaya a GRC → Registro de Riesgos
- Identifique riesgos relacionados con TIC
- Evalue impacto en operaciones
- Documente controles
3. Inventario de Terceros
Catalogue proveedores de servicios TIC:
- Vaya a GRC → Proveedores
- Agregue proveedores TIC
- Clasifique por criticidad
- Rastree contratos
Requisitos Clave
Clasificacion de Incidentes TIC
| Severidad | Criterio | Reporte |
|---|---|---|
| Mayor | Impacto operacional significativo | Autoridad competente |
| Significativo | Impacto operacional material | Reporte interno |
| Menor | Impacto limitado | Solo registro |
Factores de Clasificacion
- Numero de clientes afectados
- Duracion del incidente
- Extension geografica
- Perdidas de datos
- Criticidad del servicio
- Impacto economico
Soporte CyberOrigen
- Deteccion de incidentes
- Clasificacion de severidad
- Recopilacion de evidencias
- Documentacion de cronologia
Pruebas de Resiliencia
Pruebas Basicas (Todas las Entidades)
| Prueba | Frecuencia |
|---|---|
| Escaneos de vulnerabilidades | Continuo |
| Evaluacion de seguridad de red | Anual |
| Analisis de brechas | Anual |
| Revision de seguridad fisica | Anual |
| Revision de codigo fuente | Segun necesidad |
Pruebas Avanzadas (Entidades Significativas)
| Prueba | Requisito |
|---|---|
| TLPT | Pruebas de Penetracion Guiadas por Amenazas |
| Frecuencia | Cada 3 anos minimo |
| Alcance | Funciones criticas |
| Proveedor | Evaluadores independientes |
Escaneo CyberOrigen
- Escaneo continuo de vulnerabilidades
- Evaluacion de configuracion
- Pruebas de control de acceso
- Verificacion de cifrado
Gestion de Riesgos de Terceros
Requisitos Articulos 28-30
| Requisito | Descripcion |
|---|---|
| Due diligence | Evaluacion pre-contrato |
| Evaluacion de riesgos | Monitoreo continuo |
| Contratos | Clausulas especificas requeridas |
| Estrategia de salida | Planes de transicion documentados |
Supervision de Proveedores Criticos
Para proveedores de servicios TIC criticos:
- Funcion de supervision dedicada
- Due diligence mejorado
- Evaluacion de riesgo de concentracion
- Controles de subcontratacion
Funciones CyberOrigen
- Vaya a GRC → Proveedores
- Clasifique proveedores TIC
- Rastree cuestionarios de seguridad
- Monitoree terminos de contrato
- Documente estrategias de salida
Compartir Informacion
Requisitos Articulo 45
Las entidades deben participar en:
- Compartir inteligencia de amenazas
- Divulgacion de vulnerabilidades
- Intercambio de informacion de incidentes
Integracion CyberOrigen
- Inteligencia de amenazas MISP
- Correlacion de vulnerabilidades
- Benchmarking de industria
Mapeo de Controles
DORA se mapea a otros marcos:
| Articulo DORA | ISO 27001 | NIST CSF |
|---|---|---|
| Art. 7 Identificacion | A.8.8 | ID.AM |
| Art. 8 Proteccion | A.8.24 | PR.DS |
| Art. 9 Deteccion | A.8.16 | DE.CM |
| Art. 10 Respuesta | A.5.24 | RS.MI |
| Art. 28 Terceros | A.5.21 | ID.SC |
Recopilacion de Evidencias
Evidencias Automatizadas
- Informes de escaneo de vulnerabilidades
- Evaluaciones de configuracion
- Logs de deteccion de incidentes
- Auditorias de control de acceso
Evidencias Manuales
- Politica de gestion de riesgos TIC
- Procedimientos de respuesta a incidentes
- Contratos con terceros
- Informes de pruebas
- Reportes a direccion
Requisitos de Reporte
A Autoridad Competente
- Notificacion de incidente mayor (inicial)
- Informe de incidente (intermedio)
- Informe final (dentro de 1 mes)
A Organo de Direccion
- Informes regulares de riesgos TIC
- Resumenes de incidentes
- Resultados de pruebas
- Evaluaciones de terceros
Cronograma
| Fecha | Hito |
|---|---|
| Ene 2023 | DORA entro en vigor |
| Ene 2025 | DORA se vuelve aplicable |
| En curso | Estandares tecnicos regulatorios |
Brechas Comunes
| Requisito | Brecha | Solucion |
|---|---|---|
| Art. 5 | Sin marco TIC | Marco documentado |
| Art. 9 | Deteccion limitada | Implementacion de monitoreo |
| Art. 14 | Sin programa de pruebas | Calendario de pruebas |
| Art. 28 | Supervision de proveedores debil | Programa de riesgo de proveedores |