DORA2026-03-105 min de lectura

DORA Articulo 28 Explicado: Principios Generales para la Gestión de Riesgos de Terceros de TIC

También disponible en:EnglishDeutschFrançaisNederlandsItaliano

Índice

  1. 01Introducción
  2. 02Requisitos Clave
  3. 03Guía de Implementación
  4. 04Fallengos Comunes
  5. 05Cómo Matproof Ayuda
  6. 06Artículos Relacionados

Introducción

En el mundo digital en constante evolución, las entidades financieras dependen cada vez más de proveedores de servicios de Tecnologías de Información y Comunicación (TIC) para brindar una amplia gama de servicios. A medida que la dependencia de estos terceros crece, también lo hace el riesgo de interrupción operativa, violaciones de datos y otras amenazas de ciberseguridad. El Acta de Resiliencia Operativa Digital (DORA), una piedra angular del marco regulatorio de la Unión Europea, aborda esto introduciendo requisitos sólidos para la gestión de riesgos de proveedores de servicios de TIC. Este artículo se adentra en el Artículo 28 de DORA, que describe los principios generales para la gestión de riesgos de terceros de TIC, un aspecto esencial de la resiliencia operativa digital para las entidades financieras.

Requisitos Clave

El Artículo 28 de DORA obliga a las entidades financieras a establecer y mantener prácticas efectivas de gestión de riesgos con respecto a sus proveedores de servicios de TIC de terceros. Estos son los requisitos clave:

  • Evaluación de Riesgos de Terceros: Realizar una evaluación de riesgos asociados con los servicios de terceros, incluyendo el riesgo de amenazas cibernéticas.
  • Diligencia: Realizar diligencia en los proveedores de terceros para asegurarse de que tengan una resiliencia operativa adecuada.
  • Monitoreo y Revisión: Monitorear continuamente y revisar periódicamente los perfiles de riesgo de terceros.
  • Acuerdos Contractuales: Incluir requisitos de resiliencia operativa en los acuerdos contractuales con proveedores de TIC de terceros.
  • Reporte de Incidentes: Establecer mecanismos para reportar y comunicar incidentes o posibles incidentes de manera oportuna.
  • Proporcionalidad: Aplicar medidas de gestión de riesgos que sean proporcionadas a los riesgos que plantea cada servicio de terceros.

Guía de Implementación

Para cumplir con los requisitos del Artículo 28 de DORA, las entidades financieras deben llevar a cabo los siguientes pasos prácticos:

  1. Identificación de Riesgos: Mapa todos los vínculos de terceros y identifica posibles riesgos asociados con cada uno, incluyendo riesgos operativos, de reputación y de ciberseguridad.

  2. Proceso de Diligencia: Desarrollar un marco de diligencia integral para evaluar las capacidades de resiliencia operativa de los proveedores de terceros.

  3. Marco de Evaluación de Riesgos: Establecer un marco de evaluación de riesgos que incluya criterios de evaluación de riesgos de terceros y métodos de clasificación de riesgos.

  4. Monitoreo Regular: Implementar procesos de monitoreo continuo para identificar cambios en los perfiles de riesgo de terceros y actualizar evaluaciones de riesgos en consecuencia.

  5. Disposiciones Contractuales: Revisar y actualizar contratos con proveedores de terceros para incluir requisitos de resiliencia operativa, como el reporte de incidentes y estándares de seguridad de datos.

  6. Plan de Gestión de Incidentes: Desarrollar un plan de gestión de incidentes que incluya procedimientos para manejar incidentes que involucren servicios de terceros.

  7. Capacitación y Concienciación: Proporcionar capacitación al personal sobre la importancia de la gestión de riesgos de terceros y los procesos en vigor para gestionar estos riesgos.

  8. Conservación de Documentos: Mantener registros y documentación relacionados con evaluaciones de riesgos de terceros, diligencia y gestión de incidentes.

Fallengos Comunes

Al implementar los requisitos del Artículo 28 de DORA, las entidades financieras deben evitar los siguientes fallengos comunes:

  • Descuidar la Proporcionalidad: No aplicar medidas de gestión de riesgos proporcionadas a los riesgos que plantea cada servicio de terceros puede llevar a inversiones excesivas o insuficientes en la mitigación de riesgos.

  • Falta de Monitoreo Continuo: No monitorear continuamente los perfiles de riesgo de terceros puede resultar en evaluaciones de riesgos obsoletas y respuestas demoras a cambios en el riesgo.

  • Acuerdos Contractuales Inadecuados: Acuerdos contractuales insuficientes con proveedores de terceros pueden dejar expuestas a las entidades financieras a riesgos operativos y responsabilidades legales.

  • Mecanismos de Reporte de Incidentes Pobres: Mecanismos de reporte de incidentes ineficientes pueden dificultar la detección y respuesta oportunas a incidentes operativos que involucren servicios de terceros.

Cómo Matproof Ayuda

La plataforma de gestión de cumplimiento de Matproof simplifica el seguimiento y la recolección de evidencia para los requisitos del Artículo 28, asegurando que las entidades financieras mantengan evaluaciones de riesgos y procesos de diligencia actualizados sin la necesidad de intervención manual. Automatizando estas tareas, Matproof ayuda a las organizaciones a mantener el cumplimiento mientras se centran en sus actividades comerciales centrales.

Artículos Relacionados

Para obtener más información sobre el marco integral de DORA para la resiliencia operativa digital, considere explorar los siguientes artículos relacionados:

Entender e implementar los requisitos del Artículo 28 de DORA es crucial para que las entidades financieras aseguren su resiliencia operativa en la era digital. Siguiendo las pautas y evitando los fallengos comunes, las organizaciones pueden gestionar efectivamente los riesgos planteados por sus proveedores de servicios de TIC de terceros.

Artículo 28 de DORAPrincipios Generales para la Gestión de Riesgos de Terceros de TICresiliencia operativa digitalgestión de riesgos de TICregulación financiera

¿Listo para simplificar el cumplimiento?

Esté listo para la auditoría en semanas, no meses. Vea Matproof en acción.

Solicitar una demo