DORA y los TLPT: un paso hacia una ciberseguridad financiera más robusta

¿Qué establece el informe final de los RTS sobre TLPT?

El informe final, publicado por la ESMA (Autoridad Europea de Valores y Mercados), detalla los criterios que se utilizarán para determinar qué entidades financieras deben realizar TLPT de forma obligatoria. Además, establece los requisitos para los evaluadores que realicen estas pruebas y los proveedores de inteligencia de amenazas.

Algunos de los puntos clave del informe incluyen:

• Criterios de selección: Se han definido criterios claros para identificar las entidades financieras que deberán realizar TLPT de manera regular, basados en su tamaño, complejidad y relevancia para el sistema financiero.
• Alcance de las pruebas: Los TLPT deberán cubrir una amplia gama de amenazas y vulnerabilidades, incluyendo ataques a sistemas y aplicaciones, infraestructura de red, y ataques de ingeniería social, sobretodo para aquellas funciones críticas.
• Requisitos para los evaluadores: Los evaluadores deberán cumplir con ciertos requisitos de cualificación y experiencia, y utilizar metodologías de prueba reconocidas.
• Colaboración entre entidades: Se fomenta la colaboración entre entidades financieras y proveedores de servicios de TIC en la realización de TLPT, especialmente cuando los ataques pueden afectar a múltiples organizaciones.

Implicaciones para las entidades financieras

La entrada en vigor de los RTS sobre TLPT representa un desafío significativo para las entidades financieras. Para cumplir con estos requisitos, deberán:

• Realizar una evaluación de riesgos: Identificar los activos más críticos y los riesgos asociados a cada uno de ellos.
• Implementar un programa de gestión de vulnerabilidades: Identificar y corregir las vulnerabilidades de forma proactiva.
• Fortalecer los controles de acceso: Implementar políticas de contraseñas sólidas, autenticación multifactor y controles de acceso basados en roles.
• Capacitar al personal: Concienciar a los empleados sobre los riesgos de seguridad y enseñarles a identificar y reportar posibles amenazas.
• Realizar pruebas de penetración periódicas: Evaluar la efectividad de las medidas de seguridad de forma regular.

A continuación se describe un resumen de las fases de un TLPT según DORA, siempre teniendo en cuenta que los detalles específicos de cada fase pueden variar según las necesidades y características de cada entidad financiera.

1. Preparación

• Kickoff: Reunión inicial para definir objetivos, alcance, roles y responsabilidades de todos los involucrados (equipo rojo, equipo azul, dirección, auditoría interna, etc.). Se establece el cronograma y se asigna un presupuesto.
• Procurement: Selección y contratación del equipo rojo (penetration testers) externo o interno, según corresponda. Se define el contrato, incluyendo alcance, entregables, niveles de servicio y confidencialidad.
• Risk management (gestión de riesgos) es un componente esencial para asegurar que las pruebas se lleven a cabo de manera segura y controlada, minimizando los posibles impactos negativos en la organización.
• Scoping (Funciones Críticas): Identificación de las funciones y sistemas críticos para la entidad financiera. Se priorizan los activos más valiosos y sensibles para enfocar los esfuerzos del equipo rojo.

• Threat Intelligence: Recopilación de información sobre las amenazas más relevantes para la entidad (por ejemplo, análisis de amenazas, inteligencia competitiva, informes de seguridad). Se utiliza esta información para guiar el diseño de los escenarios de ataque.
• Red Team Plan: Desarrollo del plan de ataque del equipo rojo, incluyendo objetivos, metodología, técnicas a utilizar, escenarios de ataque simulados y cronograma de ejecución.
• Red Team Test: Ejecución de las pruebas por parte del equipo rojo siguiendo el plan establecido. Se simulan ataques reales, como phishing, ingeniería social, explotación de vulnerabilidades, etc., para evaluar la capacidad de respuesta de la entidad.

• Red Team Test Report: Informe detallado del equipo rojo con los resultados de las pruebas, incluyendo las vulnerabilidades encontradas, los impactos potenciales, las evidencias recopiladas y las recomendaciones para la remediación.
• Blue Team Test Report: Informe del equipo azul (defensa de la entidad) con la descripción de las actividades de detección, respuesta y recuperación realizadas durante las pruebas. Se evalúa la efectividad de los controles de seguridad y los procesos de respuesta a incidentes.
• Replay Exercise + Purple Teaming Exercise: Simulación conjunta de un ataque con la participación del equipo rojo y el equipo azul (purple teaming). Se busca mejorar la coordinación y la comunicación entre ambos equipos, así como identificar áreas de mejora en los procesos de defensa.
• Feedback Sharing: Reunión de cierre para compartir los resultados de las pruebas, discutir las lecciones aprendidas y acordar las acciones de remediación necesarias.
• Rest Summary Report: Informe final que resume los resultados de todo el proceso de TLPT, incluyendo las principales conclusiones, las recomendaciones de mejora y el plan de remediación.
• Remediation Plan: Plan detallado de las acciones que se llevarán a cabo para corregir las vulnerabilidades encontradas y mejorar la seguridad de la entidad. Se establecen plazos, responsables y mecanismos de seguimiento.

TIBER es un marco de trabajo desarrollado por el Banco Central Europeo (BCE) para realizar pruebas de red teaming basadas en inteligencia de amenazas. Proporciona una metodología detallada para llevar a cabo estas pruebas, desde la planificación hasta la generación de informes. TIBER enfatiza la importancia de utilizar información de inteligencia de amenazas para diseñar escenarios de ataque relevantes y creíbles.

TLPT y TIBER se complementan perfectamente. TLPT define el enfoque general de las pruebas, mientras que TIBER proporciona una metodología detallada para llevarlas a cabo.

El artículo 26.8 de la DORA permite a las entidades financieras recurrir a testers internos, pero también introduce la obligación de recurrir a un tester externo cada tres pruebas. 

Dos aspectos a tener en cuenta: 1/. Las normas de las ESA especifican que si el equipo rojo está formado por una mezcla de testers internos y externos, se considera que el TLPT se ha realizado con testers internos. Y 2/. hay una excepción importante: las entidades de crédito clasificadas como significativas siempre deben recurrir a un tester externo.

Según la normativa DORA una institución de crédito se considera significativa si cumple al menos uno de los siguientes criterios:

• Tamaño de los activos: El valor total de los activos de la institución supera los 30.000 millones de euros.
• Tamaño relativo al PIB: La relación entre el valor total de sus activos y el PIB del Estado miembro en el que está establecida es superior al 20%, a menos que el valor total de sus activos sea inferior a 5.000 millones de euros.
• Designación por el BCE: El Banco Central Europeo (BCE) la designa como significativa por iniciativa propia.

Es decir, si una institución de crédito se clasifica como significativa, generalmente tiene prohibido realizar TLPT con evaluadores internos. Esta restricción tiene como objetivo garantizar la independencia y objetividad del proceso de evaluación.

Conclusión

Los RTS sobre TLPT son un paso fundamental para fortalecer la ciberseguridad del sector financiero. Al establecer un marco normativo claro y detallado, se garantiza que las entidades financieras estén mejor preparadas para hacer frente a las amenazas cibernéticas cada vez más sofisticadas.