Resumen requisitos DORA

dora

Por cortesía de ALTER SOFTWARE:

RTS.Art.28 GOBERNANZA
RTS.Art.29 POLITICA DE SEGURIDAD DE LA INFORMACION
RTS.Art.30 CONTROL DE ACTIVOS DE INFORMACIÓN Y TIC

  • Identificación de funciones críticas
  • Identificación de activos de información
  • Identificación de sistemas TIC de soporte a los anteriores
  • Terceros que desarrollen funciones críticas

RTS.Art.31 GESTIÓN DEL RIESGO

  • Sistema de evaluación del riesgo
  • Monitorización y Estrategias de mitigación
  • Re-evaluación ante cambios, auditorias, etc
  • Proceso de respuesta ante incidencias

RTS.Art.32 SEGURIDAD FISICA Y DEL ENTORNO

  • Medidas de seguridad para activos de SI ante accesos no autorizados, ataques, accidentes, etc.
  • Procedimiento Control de acceso físico/lógico:
    • Derechos de acceso, política de mínimo privilegio
    • Monitorización acceso a los sistemas (logs)
    • Procedimiento concesión, cambio, revocación accesos. Control accesos privilegiados
    • Métodos robustos de autentificación
    • Revisión periodica de derechos de acceso

RTS.Art.34 SEGURIDAD OPERATIVA DE STMAS TIC

  • Revisión periódica de adecuación de los sistemas TIC, capacidades, estado de soporte por parte de terceros…
  • Parcheado, control automático de vulnerabilidades y corrección
  • Gestión de riesgos de sistemas heredados y/o sin soporte de fabricante
  • Sistema de Monitorización de actividades anómalas en sistemas
  • Ciberamenazas: medidaspara monitorizar y estar actualizados
  • Medidas para identificar fugas de información, ciberamenazas de seguridad y estar al día de las vulnerabilidades publicadas sobre el SW y HW

RTS.Art.35 DATOS, SISTEMAS Y REDES

  • Protección de datos en uso, tránsito y en reposo
  • Protección de medios de almacenamiento de datos y equipos que dispongan de información
  • Medidas de detección y protección ante conexiones no autorizados a redes
  • Medidas para garantizar la disponibilidad, integridad, autenticidad y confidencialidad de los datos transmitidos
  • Medidas para la destrucción segura de datos y dispositivos
  • Controles en situaciones de teletrabajo y uso de dispositivos porpios del trabajador

RTS.Art.36 PRUEBAS DE SEGURIDAD

  • Plan de pruebas
  • Corección de deficiencias detectadas en Plan de pruebas

RTS.Art.37 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS TIC

  • Procedimiento para el desarrollo, adquisición y mantenimiento en base a criterios de riesgo:
    • Requisitos funcionales, no-funcionales y de seguridad definidos
    • Proceso previo de prueba y validación. Medidas de mitigación de riesgos de despliegue

RTS.Art.38 PROYECTOS TIC Y CONTROL DE CAMBIOS

  • Procedimiento de gestión de proyectos implantación/cambios sistemas TIC

RTS.Art.39 CONTINUIDAD DE NEGOCIO

  • Plan de continuidad de negocio:
    • Documentado, aprobado por Dirección, recursos, dependencias externas…
    • Funciones críticas, RPO, RTO
    • Condiciones de activación, recoger al menos los escenarios de RTS Art. 26.2º, acciones
    • Procedimiento de backups
    • Plan de comunicación
    • Análisis y lecciones aprendidas tras el evento
  • Pruebas de continuidad
  • Pruebas anuales documentadas y reportadas a la Dirección

RTS.Cap.IV REPORTE AL SUPERVISOR DE LA REVISIÓN DEL SISTEMA DE GESTION DE RIESGOS TIC DE LA ENTIDAD

  • Secciones:
    • Introducción
      • Contexto, actividades, funciones críticas, estrategia, dependencias,…
      • Resumen ejecutivo
      • Información del área reportada
      • Cambios realizados desde anterior reporte
      • Impacto de los cambios
    • Fecha de aprobación del reporte por parte de Dirección
    • Motivos de la revisión del sistema
      • Si la revisión es a instancia de la entidad supervisora, evidencias de la petición
      • Si es derivada de una incidencia, análisis de causas
    • Fecha Inicio/Final periodo revisión
    • Responsable de la revisión
    • Resumen de conclusiones, autoevaluación de deficiencias del sistema TIC
    • Medidas correctoras
    • Conclusiones generales

Comparte

Facebook
LinkedIn
Twitter

Sobre ASEAFI

ASEAFI desde su creación en 2010 ha luchado por representar al sector de las EAFIS bajo la premisa de que la unión hace la fuerza, y trasladando esa unidad en sus relaciones de mercado y con el regulador.

Comparte

Últimos posts

Síguenos en LinkedIn

Asociación de Empresas de Asesoramiento Financiero

Gestión de inversiones Madrid

Suscríbete a nuestro boletín de noticias