Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Cómo implementar la administración de riesgos de terceros según la Ley de Resiliencia Operativa Digital (DORA)

Cómo implementar la administración de riesgos de terceros según la Ley de Resiliencia Operativa Digital (DORA)

by Danielle Barbour updated abril 3, 2026 Riesgo de Terceros
Reading Time: 9 minutes

Las instituciones financieras de toda Europa se enfrentan a un entorno regulatorio donde la resiliencia operativa depende de proveedores externos. La Ley de Resiliencia Operativa Digital (DORA) establece requisitos obligatorios para la gestión de riesgos de terceros, especialmente para proveedores críticos de servicios TIC. Cuando los proveedores gestionan el procesamiento de pagos, la infraestructura en la nube o los datos de clientes, sus vulnerabilidades se convierten en responsabilidades de tu organización.

Implementar la administración de riesgos de terceros bajo DORA exige que las entidades financieras establezcan marcos de gobernanza, realicen la debida diligencia, supervisen el desempeño de los proveedores y mantengan estrategias de salida. Este artículo explica cómo construir un programa de gestión de riesgos de terceros que cumpla con los requisitos específicos de DORA e integre las funciones existentes de gestión de riesgos empresariales.

Resumen Ejecutivo

DORA exige que las entidades financieras mantengan una supervisión integral de los proveedores de servicios externos que respaldan funciones críticas del negocio. Esto incluye designar proveedores críticos de servicios TIC, realizar evaluaciones previas a la contratación, incorporar términos contractuales específicos, implementar monitoreo continuo y mantener planes de salida. Para los responsables de seguridad empresarial, el reto va más allá de los cuestionarios para proveedores. DORA requiere evaluaciones de riesgos documentadas, monitoreo activo del desempeño, generación de registros auditables para inspección regulatoria y pruebas de resiliencia que incluyan dependencias de terceros.

Puntos Clave

  1. Mandato de gestión de riesgos de terceros según DORA. La Ley de Resiliencia Operativa Digital (DORA) impone requisitos estrictos a las entidades financieras para gestionar los riesgos TIC de terceros, asegurando la supervisión de proveedores críticos para proteger la resiliencia operativa.
  2. Identificación de proveedores críticos. Las entidades financieras deben clasificar y registrar a los proveedores críticos de servicios TIC, notificando a las autoridades sobre dependencias que puedan interrumpir actividades reguladas o causar fallos operativos significativos.
  3. Supervisión integral de proveedores. DORA exige una gobernanza robusta, debida diligencia, términos contractuales, monitoreo continuo y estrategias de salida para minimizar riesgos durante todo el ciclo de vida del proveedor y garantizar el cumplimiento.
  4. Seguridad de datos en interacciones con proveedores. Proteger los datos sensibles compartidos con proveedores externos es fundamental, lo que requiere cifrado, controles de acceso y arquitecturas de confianza cero para evitar filtraciones y cumplir con la normativa.

Comprendiendo el marco de gestión de riesgos de terceros de DORA

DORA establece un marco regulatorio que trata la resiliencia de terceros como inseparable de la resiliencia organizacional. Las entidades financieras deben identificar qué proveedores de servicios TIC respaldan funciones críticas o importantes y aplicar controles de gestión de riesgos proporcionales según el papel de cada proveedor en la continuidad del negocio.

La regulación distingue entre proveedores habituales y aquellos cuya falla afectaría de manera significativa las operaciones del negocio. Cuando un proveedor de nube aloja tu sistema de procesamiento de transacciones o un proveedor de software gestiona la autenticación de clientes, esa dependencia genera riesgo operativo. DORA exige que las entidades financieras evalúen si la falla de un proveedor interrumpiría servicios, violaría obligaciones de cumplimiento normativo o pondría en peligro la estabilidad financiera.

Este marco aplica a todo el ciclo de vida del proveedor. La evaluación previa a la contratación determina si el proveedor cumple con los estándares de seguridad, resiliencia y cumplimiento. Los acuerdos contractuales deben incluir términos específicos sobre derechos de acceso, disposiciones de auditoría, protección de datos y procedimientos de terminación. El monitoreo posterior a la contratación garantiza el cumplimiento continuo y permite detectar degradación del desempeño o riesgos emergentes.

Definición de proveedores críticos de servicios TIC de terceros

DORA introduce el concepto de proveedores críticos de servicios TIC de terceros, sujetos a supervisión regulatoria directa. Las entidades financieras deben mantener un registro que identifique a estos proveedores críticos y notificar a las autoridades supervisoras sobre nuevas designaciones.

Un proveedor se considera crítico cuando su falla impediría que la entidad financiera realice actividades reguladas, cause fallos operativos significativos o genere pérdidas financieras inaceptables. Los proveedores de infraestructura en la nube que alojan sistemas bancarios centrales suelen cumplir con este criterio. Los procesadores de pagos, proveedores de software bancario central y proveedores de servicios de seguridad gestionada suelen calificar por su importancia operativa.

Las organizaciones deben documentar los criterios utilizados para determinar la criticidad. Esta evaluación considera el papel del proveedor en la continuidad del negocio, la disponibilidad de proveedores alternativos, la complejidad de la migración y el posible impacto en clientes y contrapartes. El registro de proveedores críticos debe mantenerse, actualizarse cuando cambien las dependencias y estar disponible para las autoridades competentes cuando lo soliciten.

Establecimiento de estructuras de gobernanza para la supervisión de proveedores

Una gestión efectiva de riesgos de terceros bajo DORA requiere estructuras de gobernanza que abarquen las funciones de compras, seguridad, legal y resiliencia. La alta dirección debe aprobar políticas sobre selección de proveedores, estándares contractuales y responsabilidades de supervisión continua.

El marco de gobernanza debe asignar claramente la responsabilidad de la evaluación de riesgos de proveedores. Los equipos de seguridad evalúan los controles técnicos y las prácticas de gestión de vulnerabilidades. Los equipos legales revisan la exigibilidad contractual y el cumplimiento normativo. Las áreas de negocio confirman los requisitos operativos y los objetivos de tiempo de recuperación. La gestión de riesgos consolida estos aportes en calificaciones de riesgo a nivel empresarial que guían la toma de decisiones.

Esta estructura debe contemplar el riesgo de concentración. DORA exige que las entidades financieras evalúen y documenten el riesgo de concentración tanto a nivel de proveedor individual como a nivel sectorial, reconociendo que la dependencia excesiva de un solo proveedor de nube o infraestructura en todo el sector financiero puede generar un riesgo sistémico más allá de cualquier institución individual. Cuando varias funciones críticas dependen de un solo proveedor, los escenarios de falla se agravan. Las entidades financieras deben identificar, monitorear y, cuando sea posible, reducir las dependencias de concentración mediante diversificación arquitectónica o mitigaciones contractuales.

Realización de la debida diligencia y evaluación de riesgos previa a la contratación

Antes de contratar a un proveedor de servicios TIC, las entidades financieras deben realizar una debida diligencia documentada que evalúe capacidades técnicas, controles de seguridad, continuidad del servicio y cumplimiento regulatorio. Esta evaluación determina si el proveedor cumple con los estándares mínimos e informa las negociaciones contractuales.

La debida diligencia comienza por entender qué datos accederá, procesará o almacenará el proveedor. Los proveedores que gestionan datos de tarjetas de pago, información personal identificable o credenciales de autenticación requieren controles más estrictos que aquellos que prestan servicios no sensibles. La evaluación debe verificar que la arquitectura de seguridad del proveedor esté alineada con la sensibilidad y criticidad de los datos involucrados.

La evaluación técnica debe examinar el programa de gestión de vulnerabilidades del proveedor, la frecuencia de gestión de parches, los estándares de cifrado, los controles de acceso y las capacidades de respuesta a incidentes. Solicitar informes de auditoría de terceros, resúmenes de pruebas de penetración o certificaciones como ISO 27001 o SOC2 aporta validación independiente más allá de los cuestionarios.

La evaluación de resiliencia analiza la continuidad del negocio y la capacidad de recuperación ante desastres del proveedor. Las entidades financieras deben confirmar que los proveedores mantienen sistemas de respaldo, prueban los procedimientos de recuperación y pueden cumplir con los objetivos de tiempo de recuperación acordados.

Los proveedores de servicios TIC suelen subcontratar funciones específicas a proveedores especializados. DORA exige que las entidades financieras mantengan visibilidad sobre las relaciones de subcontratación relevantes. Los contratos deben especificar que los proveedores notifiquen a la entidad financiera antes de involucrar subcontratistas que accederán a datos sensibles o respaldarán funciones críticas. La entidad financiera conserva el derecho de aprobar o rechazar acuerdos de subcontratación según la evaluación de riesgos. Comprender toda la cadena de dependencias permite a las organizaciones modelar escenarios de falla y planificar mitigaciones.

Estructuración de acuerdos contractuales para cumplir con DORA

DORA especifica términos contractuales que deben incluirse en los acuerdos con proveedores de servicios TIC de terceros. Estas disposiciones garantizan que las entidades financieras mantengan visibilidad, control y derechos de terminación necesarios para la continuidad del negocio y el cumplimiento normativo.

Los contratos deben otorgar a las entidades financieras y a sus autoridades competentes acceso completo a las instalaciones, sistemas y registros del proveedor para fines de auditoría e inspección. Este derecho de acceso se extiende a los subcontratistas. Los derechos de terminación son otro elemento obligatorio. Los contratos deben permitir que las entidades financieras rescindan acuerdos sin penalización cuando el desempeño del proveedor se degrade, fallen los controles de seguridad o cambien los requisitos regulatorios.

Los acuerdos de nivel de servicio deben definir métricas de desempeño, metodologías de medición y obligaciones de remediación cuando se superen los umbrales. Métricas específicas como porcentajes de disponibilidad del sistema, tiempos máximos de respuesta ante incidentes de seguridad y objetivos de tiempo de recuperación proporcionan estándares medibles que previenen dificultades en la aplicación.

Los contratos con proveedores de servicios TIC deben especificar responsabilidades de protección de datos, incluyendo requisitos de cifrado, restricciones de localización de datos y procedimientos de eliminación al finalizar el contrato. Las disposiciones sobre localización de datos abordan el riesgo jurisdiccional. Las entidades financieras deben especificar dónde se pueden procesar y almacenar los datos, especialmente cuando las transferencias transfronterizas introducen complejidad regulatoria.

Las obligaciones de notificación de incidentes requieren que los proveedores informen a las entidades financieras de inmediato al detectar filtraciones de seguridad, fallos en los sistemas o interrupciones del servicio. Los plazos de notificación deben medirse en horas, no en días. Las disposiciones contractuales deben especificar qué información deben incluir los proveedores en las notificaciones de incidentes para permitir una evaluación rápida del impacto y la activación de la respuesta.

DORA exige que las entidades financieras mantengan estrategias de salida documentadas para proveedores críticos de servicios TIC de terceros. Las estrategias de salida comienzan con requisitos de portabilidad de datos. Los contratos deben especificar formatos de datos, mecanismos de exportación y plazos para la devolución de datos al finalizar el contrato. Las obligaciones de asistencia en la transición deben requerir que el proveedor saliente apoye las actividades de migración, proporcione documentación y mantenga la continuidad del servicio durante el periodo de transición.

Las entidades financieras deben mantener relaciones con proveedores alternativos o desarrollar capacidades internas que reduzcan la dependencia. Probar las estrategias de salida valida las suposiciones sobre la complejidad y los plazos de la transición. Las organizaciones deben simular periódicamente transiciones de proveedores para identificar brechas en la documentación o dependencias de características propietarias.

Implementación de monitoreo continuo y supervisión del desempeño

Los acuerdos contractuales establecen expectativas básicas, pero el monitoreo continuo garantiza el cumplimiento permanente. Las entidades financieras deben implementar procesos que detecten degradación del desempeño, fallos en los controles de seguridad o riesgos emergentes antes de que interrumpan las operaciones.

El monitoreo comienza con métricas definidas alineadas con los acuerdos de nivel de servicio contractuales. La disponibilidad del sistema, los tiempos de procesamiento de transacciones, la frecuencia de aplicación de parches de seguridad y los tiempos de respuesta ante incidentes proporcionan indicadores cuantificables del desempeño del proveedor. La recopilación automatizada de estas métricas reduce el esfuerzo manual y mejora la precisión y oportunidad.

El monitoreo de seguridad se centra en la eficacia de los controles. Las entidades financieras deben revisar evaluaciones de seguridad de los proveedores, resultados de pruebas de penetración e informes de auditoría de forma periódica. El monitoreo de resiliencia evalúa si los proveedores mantienen la continuidad del negocio y la recuperación ante desastres mediante pruebas regulares de sistemas de respaldo y validación de los objetivos de tiempo de recuperación.

Los datos de riesgos de terceros deben integrarse en los sistemas de gestión de riesgos empresariales que proporcionan visibilidad consolidada de la cartera de proveedores. Los informes de riesgos deben identificar proveedores de alto riesgo según su postura de seguridad, capacidades de resiliencia y criticidad para el negocio. El análisis de tendencias identifica proveedores cuyo desempeño o postura de seguridad se está deteriorando, permitiendo una intervención proactiva antes de que los problemas escalen. La integración con marcos de resiliencia más amplios asegura que las dependencias de proveedores se incluyan en el análisis de escenarios y pruebas de estrés.

Preparación para la presentación de informes regulatorios y la interacción con supervisores

DORA exige que las entidades financieras mantengan registros de proveedores de servicios TIC de terceros y reporten dependencias críticas a las autoridades competentes. El registro debe identificar a cada proveedor, describir los servicios prestados, clasificar la criticidad, documentar evaluaciones de riesgos y confirmar el cumplimiento contractual con los requisitos de DORA.

Las autoridades supervisoras pueden solicitar información detallada sobre relaciones con proveedores específicos, términos contractuales, evaluaciones de riesgos o historial de incidentes. Responder a estas solicitudes requiere documentación accesible y responsables claros. Las organizaciones deben mantener repositorios centralizados donde se almacenen y puedan recuperar contratos, evaluaciones de riesgos, informes de auditoría y registros de incidentes.

Cuando los proveedores críticos de servicios TIC de terceros experimenten incidentes operativos significativos, las entidades financieras deben notificar a las autoridades supervisoras según los plazos establecidos. DORA establece un marco de supervisión para proveedores críticos de servicios TIC de terceros que otorga a las autoridades poderes de examen directo. Las entidades financieras deben cooperar con las actividades de supervisión y responder a las solicitudes de información sobre relaciones con proveedores dentro de los plazos regulatorios.

Protegiendo los datos sensibles intercambiados con proveedores externos

Las entidades financieras comparten habitualmente datos de clientes, registros de transacciones y credenciales de autenticación con proveedores de servicios TIC. Cada intercambio de datos genera exposición. La clasificación de datos determina la selección de controles. Los datos de tarjetas de pago requieren cifrado y tokenización. La información personal identificable activa obligaciones de cumplimiento en protección de datos. Las credenciales de autenticación exigen administración de acceso privilegiado y monitoreo.

El cifrado de datos en tránsito previene la interceptación durante la transmisión a los sistemas del proveedor. Transport Layer Security (TLS) 1.3 es el estándar mínimo para proteger datos en movimiento, y las entidades financieras deben verificar que los proveedores apliquen versiones actuales del protocolo y suites de cifrado robustas. El cifrado AES-256 para datos en reposo protege la información almacenada en los sistemas del proveedor ante accesos no autorizados.

Los controles de acceso limitan qué personal del proveedor puede acceder a los datos de clientes. Las entidades financieras deben exigir a los proveedores la aplicación de acceso de mínimo privilegio, autenticación de usuarios con autenticación multifactor y registro de eventos de acceso para fines de auditoría. Las arquitecturas de confianza cero asumen que la ubicación en la red no aporta garantías de seguridad. Los proveedores que acceden a sistemas o datos de la entidad financiera deben autenticarse explícitamente, recibir acceso limitado a los recursos específicos requeridos para su función y tener todas sus actividades monitoreadas de forma continua.

La verificación de identidad asegura que los usuarios que acceden a los sistemas estén autenticados con credenciales robustas y autenticación multifactor. La autorización granular limita el acceso del proveedor a aplicaciones, conjuntos de datos o funciones necesarias para la prestación del servicio. El monitoreo continuo detecta comportamientos anómalos de los proveedores. Cuando los patrones de acceso de los proveedores se desvían de las bases establecidas, la alerta automatizada permite una investigación rápida.

Logrando la continuidad del servicio mediante la gestión de riesgos de terceros

La gestión de riesgos de terceros bajo DORA va más allá de listas de verificación de cumplimiento. La resiliencia financiera requiere que las entidades anticipen fallos de proveedores, mantengan capacidades de respuesta y recuperen funciones críticas en plazos aceptables.

La planificación de escenarios modela el impacto de fallos de proveedores críticos. Las pruebas validan las suposiciones mediante ejercicios de simulación que reproducen fallos de proveedores y pruebas técnicas de failover que confirman que los sistemas de respaldo funcionan y los objetivos de tiempo de recuperación son alcanzables.

La integración con los programas de respuesta a incidentes asegura que los fallos de proveedores activen procedimientos establecidos. Los manuales de respuesta a incidentes deben incluir escenarios específicos para proveedores que definan acciones de detección, evaluación, contención y recuperación. Las capacidades de recuperación dependen de contar con alternativas. Estrategias multivendedor, arquitecturas híbridas o capacidades internas mantenidas proporcionan opciones cuando fallan los proveedores principales.

Fortaleciendo la resiliencia de terceros mediante la comunicación segura de datos

Las instituciones financieras implementan marcos sólidos de gestión de riesgos de terceros asegurando los flujos de datos entre sistemas internos y entornos de proveedores. La Red de Datos Privados de Kiteworks ofrece a las entidades financieras una plataforma dedicada para proteger el contenido confidencial compartido con proveedores de servicios TIC. En lugar de depender de sistemas de transferencia de archivos gestionados por proveedores o canales de correo electrónico que carecen de cifrado de extremo a extremo, las organizaciones establecen un entorno controlado donde el intercambio de datos se realiza bajo políticas de confianza cero y conscientes del contenido.

Kiteworks aplica cifrado AES-256 para datos en reposo y TLS 1.3 para datos en tránsito, garantizando que la información confidencial compartida con proveedores permanezca protegida durante todo su ciclo de vida. Los controles de acceso granulares limitan qué usuarios del proveedor pueden recuperar archivos o carpetas específicos, implementando principios de mínimo privilegio que reducen la exposición. La autenticación multifactor verifica la identidad de los usuarios del proveedor antes de conceder acceso al contenido compartido.

Las políticas conscientes del contenido inspeccionan los archivos en busca de patrones de datos sensibles antes de permitir la transmisión. La prevención automatizada de pérdida de datos detecta números de tarjetas de pago, identificadores personales o información confidencial y bloquea la transmisión o aplica controles adicionales. Los registros auditables inmutables capturan cada evento de acceso, descarga y acción de uso compartido que involucre a usuarios de proveedores, proporcionando evidencia forense necesaria para la investigación de incidentes y la inspección regulatoria.

Las capacidades de mapeo de cumplimiento alinean las actividades de intercambio de datos con los requisitos de DORA y otros marcos regulatorios. Las plantillas de políticas preconfiguradas codifican las obligaciones contractuales de protección de datos en controles técnicos aplicables. La automatización de flujos de trabajo integra el intercambio de datos con proveedores en los procesos existentes de compras, seguridad y gestión de riesgos. Cuando los proveedores requieren acceso a datos sensibles, los flujos de aprobación dirigen las solicitudes a los responsables adecuados antes de conceder permisos.

Para descubrir cómo la Red de Datos Privados de Kiteworks puede fortalecer tu programa de gestión de riesgos de terceros y cumplir con los requisitos de DORA para proteger datos sensibles compartidos con proveedores de servicios TIC, agenda una demo personalizada adaptada al ecosistema de proveedores y obligaciones regulatorias de tu organización.

Conclusión

Implementar la gestión de riesgos de terceros bajo DORA exige que las entidades financieras transformen la supervisión de proveedores de un proceso administrativo en una capacidad estratégica de resiliencia. Al clasificar proveedores críticos de servicios TIC, realizar una debida diligencia rigurosa, incorporar términos contractuales exigibles e implementar monitoreo continuo, las organizaciones construyen una defensa contra interrupciones originadas por proveedores. Las instituciones que ven el cumplimiento de DORA como una base y no como un techo descubrirán que una gestión robusta de riesgos de terceros fortalece la confianza de las contrapartes, apoya la diferenciación competitiva y posiciona a la organización para responder con confianza cuando las autoridades supervisoras lo requieran.

Preguntas Frecuentes

La Ley de Resiliencia Operativa Digital (DORA) es una regulación europea que establece requisitos obligatorios para que las instituciones financieras gestionen el riesgo de terceros, especialmente en lo relativo a proveedores críticos de servicios TIC. Exige una supervisión integral, incluyendo marcos de gobernanza, debida diligencia, monitoreo continuo y estrategias de salida, para asegurar que las vulnerabilidades de los proveedores no se conviertan en responsabilidades para la organización.

Según DORA, los proveedores críticos de servicios TIC de terceros son aquellos cuya falla impediría que una entidad financiera realice actividades reguladas, cause fallos operativos significativos o genere pérdidas financieras inaceptables. Ejemplos incluyen proveedores de infraestructura en la nube para sistemas bancarios centrales y procesadores de pagos. Las entidades financieras deben mantener un registro de estos proveedores y notificar a las autoridades supervisoras sobre nuevas designaciones.

La debida diligencia previa a la contratación bajo DORA implica evaluar las capacidades técnicas del proveedor externo, los controles de seguridad, la continuidad del servicio y el cumplimiento regulatorio. Esto incluye analizar la sensibilidad de los datos, verificar la arquitectura de seguridad, revisar la gestión de vulnerabilidades y confirmar los planes de continuidad del negocio. Las entidades financieras también deben asegurar la visibilidad sobre relaciones de subcontratación que impacten funciones críticas.

El monitoreo continuo es fundamental bajo DORA para garantizar el cumplimiento permanente y detectar degradación del desempeño o riesgos emergentes antes de que interrumpan las operaciones. Implica rastrear métricas como la disponibilidad del sistema y los tiempos de respuesta ante incidentes, revisar evaluaciones de seguridad e integrar los datos de riesgos de terceros en los sistemas de gestión de riesgos empresariales para una visibilidad consolidada y una intervención proactiva.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks