Validación EBA/DORA para Entidad Financiera

Contexto Regulatorio: EBA y DORA

El Nuevo Marco de Resiliencia Digital

El sector financiero europeo se enfrenta a una transformación regulatoria significativa en materia de riesgos tecnológicos. DORA (Digital Operational Resilience Act) establece un marco armonizado que va más allá de las directrices EBA anteriores.

De EBA Guidelines a DORA

Evolución Regulatoria:

Aspecto	EBA Guidelines	DORA
Naturaleza	Directrices (comply or explain)	Reglamento (obligatorio)
Alcance	Entidades de crédito	Todo el sector financiero
Terceros TIC	Recomendaciones	Supervisión directa
Sanciones	Indirectas	Directas y significativas
Testing	Guías generales	TLPT obligatorio

Requisitos Clave DORA

5 Pilares Fundamentales:

1. Gestión de Riesgos TIC (Capítulo II)
2. Gestión de Incidentes TIC (Capítulo III)
3. Testing de Resiliencia (Capítulo IV)
4. Gestión de Terceros TIC (Capítulo V)
5. Intercambio de Información (Capítulo VI)

Metodología de Evaluación

Assessment Inicial

Enfoque de Evaluación:

• Mapeo de requisitos EBA/DORA
• Análisis de documentación existente
• Entrevistas con áreas clave
• Revisión de controles técnicos
• Benchmark sectorial

Hallazgos por Pilar:

Pilar                    | Madurez Inicial | Gap Crítico
─────────────────────────┼─────────────────┼──────────────────────
Gestión Riesgos TIC      | 52%             | Taxonomía de riesgos
Gestión Incidentes       | 48%             | Clasificación y reporting
Testing Resiliencia      | 23%             | Sin programa formal
Gestión Terceros TIC     | 34%             | Inventario incompleto
Intercambio Info         | 12%             | Sin procedimientos
─────────────────────────┼─────────────────┼──────────────────────
TOTAL                    | 45%             |

Priorización de Gaps

Matriz de Priorización:

• Impacto regulatorio (peso 40%)
• Esfuerzo de implementación (peso 25%)
• Dependencias (peso 20%)
• Quick wins disponibles (peso 15%)

Implementación por Pilar

Pilar 1: Gestión de Riesgos TIC

Framework Implementado:

┌─────────────────────────────────────────────────────────┐
│            Marco de Gestión de Riesgos TIC              │
├─────────────────────────────────────────────────────────┤
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐     │
│  │Identificar  │→ │  Evaluar    │→ │  Tratar     │     │
│  │   Activos   │  │   Riesgos   │  │   Riesgos   │     │
│  └─────────────┘  └─────────────┘  └─────────────┘     │
│         ↑                                    ↓          │
│  ┌─────────────────────────────────────────────────┐   │
│  │              Monitorizar y Revisar               │   │
│  └─────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────┘

Entregables:

• Política de gestión de riesgos TIC
• Taxonomía de riesgos alineada con EBA
• Metodología de evaluación de riesgos
• Apetito de riesgo TIC definido
• Registro de riesgos actualizado
• Reporting al órgano de administración

Métricas Implementadas:

• KRIs (Key Risk Indicators) por categoría
• Dashboards de riesgo en tiempo real
• Tendencias de evolución de riesgos
• Eficacia de controles

Pilar 2: Gestión de Incidentes TIC

Proceso Estructurado:

1. Detección y Registro

   • Canales de notificación definidos
   • Clasificación inicial automatizada
   • SLAs por severidad

2. Clasificación DORA

   • Criterios de “incidente grave”
   • Umbrales de impacto definidos
   • Proceso de escalación

3. Notificación Regulatoria

   • Templates de notificación inicial (4h)
   • Informes intermedios
   • Informe final (1 mes)

4. Análisis Post-Incidente

   • Root cause analysis
   • Lecciones aprendidas
   • Mejora continua

Clasificación de Incidentes Graves:

Criterio	Umbral
Clientes afectados	> 10% del total
Impacto económico	> €100K
Duración	> 2 horas (servicios críticos)
Datos comprometidos	Cualquier brecha
Criticidad del servicio	Servicios esenciales

Pilar 3: Testing de Resiliencia

Programa de Testing Implementado:

Nivel 1: Testing Básico (Continuo)

• Vulnerability assessments mensuales
• Escaneos de configuración
• Testing de backups
• Verificación de controles

Nivel 2: Testing Avanzado (Anual)

• Penetration testing de infraestructura
• Application security testing
• Red team exercises
• Disaster recovery testing

Nivel 3: TLPT (Threat-Led Penetration Testing)

• Ejercicios tipo TIBER-EU
• Escenarios basados en threat intelligence
• Cobertura end-to-end
• Supervisión regulatoria

Resultados de Testing:

• 47 vulnerabilidades identificadas y remediadas
• RTO/RPO validados para sistemas críticos
• 3 escenarios de crisis simulados
• Mejora del 45% en tiempos de recuperación

Pilar 4: Gestión de Terceros TIC

Inventario de Proveedores TIC:

clasificacion_proveedores:
  criticos:
    criterios:
      - soporta_funciones_criticas: true
      - dificil_sustitucion: true
      - impacto_operativo_alto: true
    controles:
      - due_diligence_reforzada
      - auditorias_anuales
      - planes_salida_detallados
      - monitorizacion_continua

  importantes:
    criterios:
      - soporta_funciones_importantes: true
    controles:
      - due_diligence_estandar
      - revisiones_periodicas
      - planes_contingencia

  estandar:
    controles:
      - evaluacion_basica
      - clausulas_contractuales_minimas

Gestión del Riesgo de Concentración:

• Mapeo de dependencias
• Análisis de concentración geográfica
• Evaluación de sustituibilidad
• Planes de contingencia multi-proveedor

Contratos Actualizados:

• 34 contratos con cláusulas DORA
• Derechos de auditoría incluidos
• Exit plans documentados
• SLAs de seguridad formalizados

Pilar 5: Intercambio de Información

Framework de Threat Intelligence:

• Participación en ISACs sectoriales
• Canales de intercambio definidos
• Protocolos de anonimización
• Procedimientos de actuación

Gobierno y Reporting

Estructura de Gobierno

Comité de Riesgos TIC:

• Reuniones mensuales
• Escalación a Consejo trimestral
• KRIs y KPIs definidos
• Decisiones documentadas

Roles DORA:

• Función de control de riesgos TIC
• Responsable de seguridad de la información
• Función de auditoría interna TIC
• Reporting a órgano de administración

Reporting Implementado

Dashboards Ejecutivos:

• Postura de riesgo TIC
• Estado de incidentes
• Resultados de testing
• Riesgo de terceros
• Compliance score

Resultados del Proyecto

Evolución de Madurez

Pilar	Inicial	Final	Objetivo DORA
Gestión Riesgos TIC	52%	94%	90%
Gestión Incidentes	48%	92%	90%
Testing Resiliencia	23%	85%	80%
Gestión Terceros	34%	88%	85%
Intercambio Info	12%	78%	75%
Global	45%	87%	85%

Beneficios Tangibles

Reducción de Riesgo:

• Riesgo residual TIC: -45%
• Tiempo de detección: -67%
• Tiempo de respuesta: -58%
• Terceros de alto riesgo: -67%

Eficiencia Operacional:

• Procesos automatizados: +340%
• Reporting manual eliminado: 90%
• Duplicidades eliminadas: 23 procesos

Preparación para Supervisión

Evidencias Preparadas:

• Documentación completa por pilar
• Registros de decisiones
• Evidencia de testing
• Contratos actualizados
• Planes de continuidad

Simulacro de Inspección:

• Ejercicio de supervisión simulado
• 0 hallazgos críticos
• 3 recomendaciones menores
• Feedback positivo de supervisores

Roadmap Post-Proyecto

Actividades Recurrentes

Mensuales:

• Revisión de KRIs
• Testing de vulnerabilidades
• Actualización de inventario terceros
• Reporting al Comité

Trimestrales:

• Revisión de riesgos TIC
• Simulacros de incidentes
• Revisión de proveedores críticos
• Reporting al Consejo

Anuales:

• Penetration testing
• Revisión de políticas
• Ejercicio de crisis
• Auditoría interna

Mejora Continua

2025 Priorities:

• Implementación TLPT completo
• Automatización de reporting regulatorio
• Expansión de threat intelligence
• Ejercicios de resiliencia avanzados

Este proyecto posicionó a la entidad no solo para cumplir con DORA, sino para convertir la resiliencia operativa digital en una ventaja competitiva, demostrando a clientes y reguladores su compromiso con la seguridad y la continuidad del servicio.