Requisitos DORA: cómo el software de gestión de requisitos ayuda a las instituciones financieras

Trabajamos con muchos equipos del sector de los servicios financieros, y una cosa está clara: la presión para mantener la estabilidad ante problemas técnicos o incidentes cibernéticos es ahora mayor que nunca.

Los responsables de las instituciones financieras nos dicen que no solo les preocupa el tiempo de inactividad del sistema. Les preocupa la evidencia. La evidencia de que sus procesos, controles y registros puedan resistir el escrutinio de las auditorías.

Aquí es donde DORA marca la diferencia. Establece un conjunto de normas comunes sobre cómo deben las entidades financieras prepararse para los incidentes de TIC, responder ante ellos y recuperarse de ellos.

En este blog se explica qué es DORA, su importancia para cualquier entidad financiera, qué se espera de ella desde el punto de vista de la gestión de requisitos y cómo el software de gestión de requisitos puede ayudar en este sentido.

Resumen de la Ley de Resiliencia Operativa Digital (DORA)

La Ley de Resiliencia Operativa Digital (DORA) es un reglamento de la UE cuyo objetivo es proteger las redes y los sistemas de información utilizados por las entidades financieras.

La DORA entró en vigor en enero de 2023 y se aplicó plenamente a partir de 2025. Por lo tanto, todas las empresas que operan en el sector financiero en Europa, incluidos bancos, aseguradoras, empresas de pagos, empresas de tecnología financiera y proveedores externos de servicios de TIC (tecnologías de la información y la comunicación) para entidades financieras, deben cumplir los requisitos de la DORA. 

Además, DORA no es una simple nota orientativa, sino un conjunto de normas jurídicamente vinculantes que regula la forma en que las entidades financieras de la UE deben gestionar los riesgos relacionados con las tecnologías de la información y la comunicación (TIC) y la notificación de incidentes, realizar pruebas técnicas y supervisar a los proveedores externos de servicios de TIC, con el fin de aumentar la estabilidad y la resiliencia de los sistemas financieros.  

La normativa DORA obliga a los equipos financieros a basarse en flujos de trabajo estructurados, registros precisos y pruebas que puedan respaldarse en caso de auditoría. Por lo tanto, los equipos no pueden limitarse a recurrir a métodos informales y políticas dispersas.

Los cinco pilares de DORA

DORA se basa en cinco pilares fundamentales, y cada uno de ellos establece obligaciones claras para las entidades financieras y sus socios externos de TIC. Estos pilares se complementan entre sí y ofrecen un enfoque estructurado para la gestión de las TIC que aporta claridad y un mayor control operativo.

Gestión de riesgos de las TIC

La gestión de riesgos de las TIC es un elemento fundamental del cumplimiento de la normativa DORA, que exige a las entidades financieras identificar, evaluar y mitigar de forma precisa los riesgos relacionados con las TIC. Anima a las entidades financieras a establecer un marco para supervisar de forma continua los sistemas de TIC y elaborar estrategias de mitigación de riesgos. Su objetivo principal es mantener la estabilidad del sistema, detectar pequeños problemas en sus primeras fases y prevenir desastres o interrupciones del servicio.

Notificación de incidentes

La «Notificación de incidentes» es el segundo pilar de DORA, que se centra en la estandarización del proceso de notificación de incidentes en las entidades financieras europeas. Obliga a las entidades financieras a elaborar informes transparentes que expliquen claramente la causa y los pasos repetibles de cualquier incidente relacionado con las tecnologías de la información y la comunicación. Esto es fundamental para generar confianza y explicar claramente el incidente a las partes interesadas y a las autoridades reguladoras.

Pruebas de resiliencia operativa digital

DORA anima a las entidades financieras a que comprueben sus sistemas mediante pruebas periódicas, pruebas de penetración basadas en amenazas (TLPT), pruebas de estrés, etc. Estas pruebas ayudan a confirmar que sus sistemas de recuperación, planes de contingencia y controles técnicos funcionan en condiciones reales.

Supervisión de los proveedores externos de TIC

En Europa, muchas entidades financieras dependen de proveedores externos de servicios de ICP, y este cuarto pilar de la DORA hace hincapié en la gestión de los riesgos asociados a dichos proveedores externos. La DORA exige a las empresas que supervisen a estos socios con el mismo rigor que aplican a sus sistemas internos. Esto incluye la revisión de contratos, la comprobación del rendimiento, la calificación de riesgos y la definición de estrategias de salida adecuadas. El objetivo principal es evitar interrupciones en el servicio provocadas por problemas con los proveedores.

Intercambio de información

El quinto pilar anima a las entidades financieras a compartir información relacionada con amenazas e incidentes cibernéticos entre organizaciones de confianza. Estos intercambios deben ajustarse a las normas acordadas y realizarse a través de canales seguros. El objetivo de este intercambio de información es dar a conocer los incidentes y mejorar la resiliencia colectiva.

Lo que espera DORA en lo que respecta a la documentación y los requisitos

DORA presta especial atención a la forma en que las entidades financieras definen, supervisan, documentan y gestionan los requisitos de TIC. Esto es lo que espera de cualquier entidad financiera desde el punto de vista de la gestión de requisitos:

• Requisitos estructurados: DORA espera que los requisitos estén bien definidos y estructurados. Cada requisito debe contar con criterios de aceptación claramente definidos.
• Controles vinculados: cada requisito debe estar vinculado a requisitos de nivel superior, tareas, casos de prueba o pasos técnicos que lo lleven a la fase de producción.
• Marco documentado de gestión de riesgos de las TIC: Toda institución financiera debe documentar su marco de gestión de riesgos de las TIC y debe mantener registros de las actualizaciones de versiones, de quién ha aprobado los cambios y de todo lo demás.
• Registros trazables: Los auditores deben poder seguir una trayectoria clara desde el riesgo hasta el requisito, pasando por el control y el resultado de la prueba. Esto significa que toda la cadena debe permanecer interconectada, y no almacenarse en archivos separados.
• Plantillas uniformes: Para documentos, informes de auditoría, casos de prueba, requisitos, etc., las organizaciones deben utilizar plantillas predefinidas a fin de garantizar la coherencia en la gestión de requisitos de las entidades financieras.
• Actualizaciones en tiempo real: cuando se produce algún cambio en los requisitos, es necesario actualizar los requisitos y documentos relacionados para mantener todo sincronizado.
• Mapeo de proveedores: cada proveedor externo debe tener unos requisitos vinculados a sus funciones, riesgos y alcance de los servicios. Esto demuestra que se lleva a cabo una supervisión.
• Registro de pruebas: Las entidades financieras deben proporcionar una cadena de pruebas clara para cada incidente. Asimismo, deben documentar qué planificaron, cómo lo llevaron a cabo y lo probaron, y cómo prepararon la documentación para su revisión futura.

Para cumplir los requisitos de DORA mencionados anteriormente, los equipos no solo necesitan una estrategia bien estructurada, sino también una plataforma de gestión de requisitos. Eso es lo que vamos a tratar en la siguiente sección.

Cómo un software de gestión de requisitos como Modern Requirements4DevOps ayuda a cumplir con la normativa DORA

Modern Requirements4DevOps es una herramienta de gestión de requisitos diseñada para sectores altamente regulados, como el de los seguros, las finanzas, la banca, la administración pública, etc., que funciona directamente dentro de Azure DevOps. A continuación se explica cómo ayuda a cumplir los requisitos de la ley DORA:

• Ofrece una única fuente de información: dado que Modern Requirements4DevOps funciona directamente dentro de tu espacio de trabajo de Azure, dispones de todas las funciones de gestión de requisitos en un solo lugar y no necesitas cambiar de herramienta.
• Trazabilidad entre sistemas y controles de riesgo: DORA espera que las organizaciones vinculen cada requisito con casos de prueba, tareas relevantes y demás. MR4DevOps permite crear matrices horizontales y de intersección con un solo clic y visualiza la relación entre los elementos de trabajo existentes.
• Gestión de los cambios normativos a lo largo del tiempo: DORA prevé registrar todos los cambios en los requisitos. La función de control de versiones de MR4DevOps ayuda a los equipos a consultar el historial de los requisitos o las actualizaciones de la documentación. Además, las versiones de referencia permiten a los equipos comparar versiones antiguas y nuevas. Por otra parte, la función de evaluación de impacto ayuda a hacer un seguimiento de cómo un cambio en una tarea concreta puede afectar a otras tareas existentes.
• IA para la gestión de requisitos: Copilot4DevOps funciona con Modern Requirements4DevOps, un asistente de IA para la gestión de requisitos. Ayuda a redactar requisitos y casos de prueba para que no se pase por alto ninguno. Además, permite realizar análisis de requisitos basados en IA, lo que ayuda a los equipos a garantizar que todos los requisitos de TIC cumplan con la normativa DORA.
• Procesos de aprobación para cada cambio: MR4DevOps ofrece una función de gestión de revisiones que registra la firma electrónica de las personas encargadas de aprobar los cambios, así como los plazos de los mismos. Esto se ajusta a las expectativas de DORA en cuanto a funciones claras, actualizaciones con responsabilidad y decisiones verificables.
• Plantillas uniformes para los flujos de trabajo de riesgos, pruebas e incidentes: La función SMartDocs permite a los equipos crear documentos dinámicos en los que pueden arrastrar y soltar los requisitos existentes. De este modo, cada vez que se modifica algún requisito, el documento se actualiza automáticamente. Además, ofrece plantillas prediseñadas para gestionar el cumplimiento de DORA, lo que ayuda a generar documentos uniformes.
• Automatización de la preparación para auditorías y la recopilación de pruebas: durante las pruebas o el análisis de incidencias, los archivos de pruebas pueden adjuntarse directamente al requisito o control correspondiente. En el momento de la auditoría, los organismos reguladores pueden ver las pruebas en una sola vista, en lugar de tener que buscarlas en varias carpetas.

De este modo, Modern Requirements4DevOps puede ayudar a cualquier entidad financiera a que su sistema de TIC cumpla con la normativa DORA.

Si su institución se está preparando para la DORA o desea reforzar el control operativo, ahora es el momento ideal para mejorar su proceso de gestión de requisitos iniciando una prueba gratuita de 30 días de Modern Requirements4DevOps.