Compartir a través de

Microsoft Entra consideraciones del cliente en DORA

  • Artículo

Nota:

Esta información no es un asesoramiento legal, financiero o profesional y no debe considerarse como una declaración completa de, ni las acciones necesarias para cumplir con, los requisitos de la ley. Se proporciona únicamente con fines informativos.

La Ley de Resistencia Operativa Digital (DORA) es un marco normativo establecido por la Unión Europea, destinado a fortalecer la resistencia operativa del sector de los servicios financieros en medio del panorama en rápida evolución de los riesgos de las tecnologías de la información y la comunicación (TIC). Las entidades reguladas pueden considerar la posibilidad de incorporar características y funcionalidades de Microsoft Entra en sus marcos, directivas y planes para adaptarse a determinados requisitos en DORA.

Aunque Microsoft Entra ID ofrece controles que pueden ayudar a cumplir ciertos requisitos de DORA y proporciona funcionalidades modernas de administración de identidades y acceso (IAM), confiar únicamente en una plataforma iam no es suficiente para proteger los datos de entidades financieras. Es importante revisar este artículo y todos los requisitos de DORA para establecer un programa de resistencia operativa digital completo. Para conocer los recursos oficiales de la DORA, visite el sitio web oficial de la Autoridad Europea de Seguros y Pensiones profesionales.

Microsoft Entra y DORA

Microsoft Entra, que consta de Microsoft Entra ID (anteriormente Azure Active Directory) y otras funcionalidades de Microsoft Entra es un servicio de identidad empresarial que puede ayudar a proteger aplicaciones, sistemas y recursos en apoyo de los esfuerzos de cumplimiento de DORA. Microsoft Entra ID respalda las ofertas empresariales de Microsoft, como Microsoft 365, Azure y Dynamics 365, mejora la seguridad general y la protección de la identidad y puede desempeñar un papel crucial en la alineación con los requisitos más amplios de administración de riesgos de TIC en DORA.

Las entidades reguladas pueden considerar la posibilidad de incorporar funcionalidades de Microsoft Entra en sus marcos, directivas y planes para adaptarse a determinados requisitos en DORA:

  • Marco de gestión de riesgos de TIC
  • Directiva de continuidad empresarial de TIC
  • Planes de respuesta y recuperación de TIC

Cada uno de los elementos mencionados anteriormente puede abarcar diversas estrategias, políticas, procedimientos, protocolos de TIC y herramientas que las entidades financieras deben implementar. La lista anterior no debe considerarse exhaustiva.

Además, un marco interno de gobernanza y control que garantice una gestión eficaz y prudente del riesgo de las TIC es fundamental para mitigar los riesgos que DORA trata de abordar. Cuando se admita dicho marco mediante el uso de controles de Microsoft Entra, debe haber una evaluación periódica de los controles y otras mitigaciones de riesgos para las cargas de trabajo admitidas, con especial atención a las que son integrales en la prestación de servicios financieros.

Microsoft Entra guía para clientes en el ámbito de DORA

La arquitectura distribuida geográficamente de Microsoft Entra combina amplias funcionalidades de supervisión, redireccionamiento automatizado, conmutación por error y recuperación para ofrecer alta disponibilidad y rendimiento continuos. Microsoft también adopta un enfoque completo para la administración de incidentes de seguridad, la administración de proveedores y la administración de vulnerabilidades.

Microsoft Entra ID funcionalidad puede ayudar a las entidades financieras a cumplir sus obligaciones de cumplimiento de DORA. En la tabla siguiente se describen las características, funcionalidades y ofertas de servicio de Microsoft, junto con instrucciones relacionadas y una lista no exhaustiva de ejemplos de artículos de DORA que se deben tener en cuenta como parte de un completo programa de resistencia operativa digital.

Los artículos a los que se hace referencia en la tabla siguiente proporcionan instrucciones a las entidades financieras sobre cómo se pueden configurar y poner en funcionamiento Microsoft Entra ID de forma que se promuevan los procedimientos recomendados de Administración de identidades y acceso (IAM) eficaces como parte de sus obligaciones de cumplimiento de DORA.

Nota:

Por motivos de brevedad, nos hemos referido al marco rts sobre gestión de riesgos de las TIC y al marco simplificado de gestión de riesgos de las TIC (ref. JC 2023 86) como "RTS sobre los marcos de gestión de riesgos de las TIC".

Característica, funcionalidad o oferta de servicio de Microsoft Guía para la consideración del cliente Artículos de ejemplo de DORA para la consideración del cliente
Varias funcionalidades de Microsoft Entra ID permiten a las organizaciones crear resistencia en la administración de identidades y acceso. Las entidades financieras pueden mejorar la resistencia en sistemas protegidos por Microsoft Entra ID, siguiendo las recomendaciones incluidas y a las que se hace referencia en el artículo siguiente:
 Ley DORA:

  • Artículo 7: Sistemas, protocolos y herramientas de TIC
Microsoft Entra sistema de autenticación de copia de seguridad Las entidades financieras pueden considerar el Microsoft Entra sistema de autenticación de copia de seguridad, lo que aumenta la resistencia de la autenticación si se produce una interrupción. Las entidades financieras pueden realizar pasos para ayudar a garantizar que los usuarios puedan autenticarse mediante el sistema de autenticación de copia de seguridad en caso de una interrupción, como:
 Ley DORA:
  • Artículo 7: Sistemas, protocolos y herramientas de TIC
  • Artículo 9: Protección y prevención de riesgos de las TIC, a la vez que se garantiza la resistencia y seguridad de las operaciones de las entidades financieras.
Microsoft Entra evaluación de acceso continuo Las entidades financieras pueden considerar el uso de la evaluación continua de acceso (CAE), lo que permite a Microsoft Entra ID emitir tokens de larga duración, al tiempo que permiten a las aplicaciones revocar el acceso y forzar la reautorización solo cuando sea necesario. El resultado neto de este patrón son menos llamadas para adquirir tokens, lo que significa que el flujo de un extremo a otro es más resistente.

Para usar CAE, tanto el servicio como el cliente deben ser compatibles con CAE. Por lo tanto, las entidades financieras pueden tener en cuenta estos pasos de implementación para actualizar el código con el fin de usar las API habilitadas para CAE, asegurarse de que se usan versiones compatibles de aplicaciones nativas de Microsoft Office y optimizar los mensajes de reautenticación.		 Ley DORA:
  • Artículo 7: Sistemas, protocolos y herramientas de TIC
  • Artículo 9: Protección y prevención de riesgos de las TIC, a la vez que se garantiza la resistencia y seguridad de las operaciones de las entidades financieras.
Opciones de arquitectura de autenticación híbrida de Microsoft Las entidades financieras que requieren una arquitectura de autenticación híbrida pueden considerar la resistencia de los mecanismos para la autenticación híbrida, incluidas las dependencias locales y los posibles puntos de error.
  • Microsoft considera que la sincronización de hash de contraseñas (PHS) es la opción de arquitectura híbrida más resistente, ya que solo tiene dependencias locales para la sincronización, no para la autenticación. Esto significa que los usuarios pueden seguir autentándose con Microsoft Entra ID en caso de una interrupción de PHS.
  • La autenticación de paso a través (PTA) tiene una huella local en forma de Microsoft Entra agentes de PTA. Estos agentes deben estar disponibles para que los usuarios se autentiquen con Microsoft Entra ID.
  • La federación requiere el uso de un servicio de federación como Servicios de federación de Active Directory (AD FS) (ADFS). La federación tiene la mayor dependencia en la infraestructura local y, por lo tanto, más puntos de error de autenticación.
  • Las organizaciones que usan PTA o federación también pueden considerar la posibilidad de habilitar PHS para informes de credenciales filtradas y la capacidad de cambiar al uso de la autenticación en la nube en caso de una interrupción local (por ejemplo, debido a un ataque de ransomware).
 Ley DORA:
  • Artículo 7: Sistemas, protocolos y herramientas de TIC
  • Artículo 9: Protección y prevención de riesgos de las TIC, a la vez que se garantiza la resistencia y seguridad de las operaciones de las entidades financieras.
Varias funcionalidades de Microsoft Entra ID permiten a las organizaciones reforzar su posición de seguridad del inquilino. Las entidades financieras pueden implementar acciones recomendadas críticas:

  • Fortalecimiento de las credenciales
  • Reducir la superficie expuesta a ataques
  • Automatización de la respuesta a amenazas
  • Uso de inteligencia en la nube
  • Habilitación del autoservicio de usuario final
 Ley DORA:

  • Artículo 9: Protección y prevención de riesgos de las TIC, a la vez que se garantiza la resistencia y seguridad de las operaciones de las entidades financieras
El inicio de sesión único (SSO) para aplicaciones empresariales en Microsoft Entra ID ayuda a garantizar las ventajas de las directivas de credenciales, la detección de amenazas, la auditoría, el registro y otras características que se agregan a esas aplicaciones. Las entidades financieras pueden configurar las aplicaciones para que usen Microsoft Entra ID como proveedor de identidades con el fin de beneficiarse de las directivas de credenciales, la detección de amenazas, la auditoría, el registro y otras características que pueden ayudar a proteger y supervisar adecuadamente las aplicaciones.

Siga las recomendaciones de administración de aplicaciones para asegurarse de que las aplicaciones están protegidas, controladas, supervisadas y limpiadas.		 Ley DORA:

  • Artículo 9: Protección y prevención de riesgos de las TIC, a la vez que se garantiza la resistencia y seguridad de las operaciones de las entidades financieras.
  • Artículo 18: Clasificación de incidentes relacionados con las TIC y ciberamenazas.


RTS sobre los marcos de gestión de riesgos de TIC:
  • Artículo 20: Administración de identidades
La autenticación multifactor en Microsoft Entra ID requiere dos o más métodos de autenticación para aumentar la seguridad. Las entidades financieras pueden implementar la autenticación multifactor (MFA) en Microsoft Entra ID para ayudar a reducir sustancialmente el riesgo de acceso no autorizado y garantizar la seguridad de los sistemas de TIC:

 Ley DORA:
  • Artículo 9: Protección y prevención de riesgos de las TIC, a la vez que se garantiza la resistencia y seguridad de las operaciones de las entidades financieras
  • Artículo 15: Armonización adicional de las herramientas, métodos, procesos y políticas de gestión de riesgos de las TIC

RTS sobre los marcos de gestión de riesgos de TIC:
  • Artículo 11: Seguridad de los datos y del sistema
  • Artículo 21: Access Control
  • Artículo 33: Access Control (marco simplificado)
El acceso condicional en Microsoft Entra ID es el motor de directivas Confianza cero de Microsoft que tiene en cuenta las señales de varios orígenes al aplicar las decisiones de directiva. Las entidades financieras pueden implementar los siguientes controles dentro del acceso condicional para todos los usuarios:

También se recomienda que las entidades financieras revisen y consideren las directivas recomendadas en nuestra guía de implementación de acceso condicional.

La implementación de los controles anteriores para cuentas con privilegios se puede considerar un requisito crítico, ya que estas cuentas pueden tener un impacto grave en la seguridad y el funcionamiento de Microsoft Entra ID.		 Ley DORA:
  • Artículo 9: Protección y prevención de riesgos de las TIC, a la vez que se garantiza la resistencia y seguridad de las operaciones de las entidades financieras
  • Artículo 15: Armonización adicional de las herramientas, métodos, procesos y políticas de gestión de riesgos de las TIC

RTS sobre los marcos de gestión de riesgos de TIC:
  • Artículo 11: Seguridad de los datos y del sistema
  • Artículo 21: Access Control
  • Artículo 22: Directiva de administración de incidentes relacionada con las TIC
  • Artículo 23: Detección y criterios de actividades anómalas para la detección y respuesta de incidentes relacionados con las TIC
  • Artículo 33: Access Control (marco simplificado)
Privileged Identity Management (PIM) es un servicio de Microsoft Entra ID que le permite administrar, controlar y supervisar el acceso a recursos importantes de su organización. Se pueden implementar controles de seguridad sólidos para roles con privilegios a fin de ayudar a evitar la disponibilidad accidental o malintencionada de Microsoft Entra ID, la configuración incorrecta o la pérdida de datos:
 Ley DORA:
  • Artículo 9: Protección y prevención de riesgos de las TIC, a la vez que se garantiza la resistencia y seguridad de las operaciones de las entidades financieras.

RTS sobre los marcos de gestión de riesgos de TIC:
  • Artículo 11: Seguridad de los datos y del sistema
  • Artículo 21: Access Control
  • Artículo 33: Access Control (marco simplificado)
Microsoft Entra ID proporciona controles de acceso basado en rol (RBAC), incluidos los roles integrados y los roles personalizados. Las entidades financieras pueden seguir el principio de privilegios mínimos para limitar el acceso a lo necesario para las funciones y actividades legítimas y aprobadas, lo que ayuda a minimizar el posible impacto de una vulneración de seguridad.

Como parte de una estrategia con privilegios mínimos, se recomienda que las entidades financieras sigan los procedimientos recomendados para Microsoft Entra roles.		 Ley DORA:
  • Artículo 9: Protección y prevención de riesgos de las TIC, a la vez que se garantiza la resistencia y seguridad de las operaciones de las entidades financieras.

RTS sobre los marcos de gestión de riesgos de TIC:
  • Artículo 11: Seguridad de los datos y del sistema
  • Artículo 21: Access Control
  • Artículo 33: Access Control (marco simplificado)
Las acciones protegidas en Microsoft Entra ID son permisos a los que se han asignado directivas de acceso condicional. Cuando un usuario intenta realizar una acción protegida, primero debe satisfacer las directivas de acceso condicional asignadas a los permisos necesarios. Para ayudar a aumentar el número de acciones administrativas que están dentro del ámbito de las acciones protegidas y reducir el riesgo de bloqueo de inquilinos, siga los procedimientos recomendados para las acciones protegidas en Microsoft Entra ID.

Para ayudar a protegerse frente a eliminaciones rígidas accidentales o malintencionadas de algunos objetos de directorio eliminados temporalmente de la papelera de reciclaje y la pérdida de datos permanente, puede agregar una acción protegida para el permiso siguiente: Microsoft.directory/deletedItems/delete

Esta eliminación se aplica a usuarios, grupos de Microsoft 365 y aplicaciones.		 Ley DORA:
  • Artículo 9: Protección y prevención de riesgos de las TIC, a la vez que se garantiza la resistencia y seguridad de las operaciones de las entidades financieras.

RTS sobre los marcos de gestión de riesgos de TIC:
  • Artículo 11: Seguridad de los datos y del sistema
  • Artículo 21: Access Control
  • Artículo 33: Access Control (marco simplificado)
Microsoft Entra ID admite numerosas opciones de integración del registro de actividad para el almacenamiento o el análisis, a fin de ayudar a cumplir los objetivos de solución de problemas, almacenamiento a largo plazo o supervisión. Las entidades financieras pueden seleccionar e implementar un enfoque de integración del registro de actividad que permita el análisis y la supervisión continuos, y un período de retención de datos suficiente:
 Ley DORA:
  • Artículo 9: Protección y prevención de riesgos de las TIC, a la vez que se garantiza la resistencia y seguridad de las operaciones de las entidades financieras.
  • Artículo 18: Clasificación de incidentes relacionados con las TIC y ciberamenazas
  • Artículo 19: Notificación de incidentes importantes relacionados con las TIC y notificación voluntaria de amenazas cibernéticas significativas

RTS sobre los marcos de gestión de riesgos de TIC:
  • Artículo 12: Registro
  • Artículo 21: Access Control
  • Artículo 22: Directiva de administración de incidentes relacionada con las TIC
  • Artículo 23: Detección y criterios de actividades anómalas para la detección y respuesta de incidentes relacionados con las TIC
  • Artículo 33: Access Control (marco simplificado)
Puntuación de seguridad de identidad de Microsoft indica la alineación de una organización con ciertas recomendaciones de seguridad de Microsoft. Las entidades financieras pueden revisar periódicamente la Puntuación de seguridad de identidad de Microsoft para medir y realizar un seguimiento de la posición de seguridad de la identidad y planear mejoras de seguridad de identidad.

Microsoft también ofrece numerosos servicios, como el Taller de Microsoft Confianza cero, que pueden ayudar a las organizaciones a evaluar su posición de seguridad Microsoft Entra inquilino, como se detalla en otro lugar de esta tabla.		 Ley DORA:
  • Artículo 9: Protección y prevención de riesgos de las TIC, a la vez que se garantiza la resistencia y seguridad de las operaciones de las entidades financieras.

RTS sobre los marcos de gestión de riesgos de TIC:
  • Artículo 34: Seguridad de las operaciones de TIC
La característica de recomendaciones Microsoft Entra ayuda a garantizar la seguridad y el estado de los inquilinos mediante la supervisión y las alertas por correo electrónico. Las entidades financieras pueden consultar Microsoft Entra recomendaciones periódicamente para asegurarse de conocer las nuevas recomendaciones, ya que pueden ayudar a identificar oportunidades para implementar procedimientos recomendados y optimizar las configuraciones para las características relacionadas con Microsoft Entra ID. Ley DORA:
  • Artículo 9: Protección y prevención de riesgos de las TIC, a la vez que se garantiza la resistencia y seguridad de las operaciones de las entidades financieras.

RTS sobre los marcos de gestión de riesgos de TIC:
  • Artículo 34: Seguridad de las operaciones de TIC
Azure Workbooks for Microsoft Entra ID proporciona una representación visual de los datos del inquilino, lo que permite consultar y visualizar una serie de escenarios de administración de identidades. Las entidades financieras pueden seleccionar y revisar periódicamente las plantillas de libro en Microsoft Entra ID que pueden ayudar a supervisar la seguridad y el funcionamiento de los casos de uso pertinentes Microsoft Entra ID.

Como ejemplos de plantillas de libros públicos de Microsoft Entra actuales que pueden ayudar a:
  • El analizador de brechas de acceso condicional puede ayudar a garantizar que los recursos estén protegidos correctamente mediante el acceso condicional en Microsoft Entra ID
  • El libro de informe de operaciones confidenciales está diseñado para ayudar a identificar la actividad sospechosa de la aplicación y la entidad de servicio que podrían indicar riesgos en su entorno.
 Ley DORA:
  • Artículo 9: Protección y prevención de riesgos de las TIC, a la vez que se garantiza la resistencia y seguridad de las operaciones de las entidades financieras
  • Artículo 17: Proceso de administración de incidentes relacionados con las TIC
Microsoft Graph proporciona acceso basado en API a Microsoft Entra ID y a varios servicios de Microsoft 365. Para ayudar a reducir la superficie expuesta a ataques de una aplicación y el impacto de una vulneración de seguridad, las entidades financieras pueden seguir el principio de privilegios mínimos al compilar, asignar acceso y auditar Plataforma de identidad de Microsoft aplicación integrada. Ley DORA:
  • Artículo 9: Protección y prevención de riesgos de las TIC, a la vez que se garantiza la resistencia y seguridad de las operaciones de las entidades financieras

RTS sobre los marcos de gestión de riesgos de TIC:
  • Artículo 12: Registro del artículo 21: Access Control
  • Artículo 33: Access Control (marco simplificado)
Microsoft365DSC habilita la administración automatizada de la configuración de inquilinos. Microsoft365DSC admite determinadas configuraciones de Microsoft Entra ID. Para registrar ciertas Microsoft Entra ID opciones de configuración y realizar un seguimiento de los cambios, las entidades financieras pueden considerar herramientas de administración de configuración automatizadas, como Microsoft365DSC.

Es posible que se requiera documentación manual para cualquier configuración que no esté disponible a través de la API.		 Ley DORA:
  • Artículo 9: Protección y prevención de riesgos de las TIC, a la vez que se garantiza la resistencia y seguridad de las operaciones de las entidades financieras
Protección de Microsoft Entra ID ayuda a las organizaciones a detectar, investigar y corregir riesgos basados en identidades. Para ayudar a detectar, investigar y corregir riesgos basados en identidades (incluidas las actividades anómalas), las entidades financieras pueden considerar un servicio como Protección de Microsoft Entra ID.

Las entidades financieras que implementan Protección de Microsoft Entra ID pueden integrar el servicio con acceso condicional en Microsoft Entra ID para la corrección automatizada, y herramientas de administración de eventos e información de seguridad (SIEM), como Microsoft Sentinel para archivar, investigar más y correlación. Las identidades humanas y de carga de trabajo pueden estar dentro del ámbito de estas protecciones.

Se recomienda usar herramientas de defensa empresarial para coordinar la detección, la prevención, la investigación y la respuesta. Por ejemplo, Microsoft Defender XDR ayuda a los equipos de seguridad a proteger y detectar sus organizaciones mediante la información de otros productos de seguridad de Microsoft, incluidos los Protección de Microsoft Entra ID.		 Ley DORA:
  • Artículo 10: Detección
  • Artículo 15: Armonización adicional de las herramientas, métodos, procesos y políticas de gestión de riesgos de las TIC
  • Artículo 17: Proceso de administración de incidentes relacionados con las TIC

RTS sobre los marcos de gestión de riesgos de TIC:
  • Artículo 22: Directiva de administración de incidentes relacionada con las TIC
  • Artículo 23: Detección y criterios de actividades anómalas para la detección y respuesta de incidentes relacionados con las TIC
Microsoft Entra ID características de recuperación, como la eliminación temporal y las API de Microsoft Graph para muchos tipos de recursos diferentes (por ejemplo: API de Graph de acceso condicional). Las entidades financieras pueden incorporar procedimientos recomendados de recuperación en procedimientos de recuperación y pruebas de continuidad empresarial de TIC (o actividades similares), incluidas, entre otras:
  • Las API de Microsoft Graph se pueden usar para exportar periódicamente el estado actual de las configuraciones de Microsoft Entra ID admitidas. M365DSC proporciona un marco que puede ayudar a lograrlo.
  • Los registros de auditoría y los libros de Azure se pueden usar para supervisar la configuración incorrecta del inquilino.
  • Los procedimientos para recuperarse de eliminaciones en Microsoft Entra ID se pueden ensayar en un inquilino de prueba para determinados tipos de objetos junto con el proceso de comunicación correspondiente.
  • Las API de Graph de acceso condicional se pueden usar para administrar directivas como el código.
  • Los procedimientos de recuperación se pueden realizar mediante un enfoque con privilegios mínimos junto con la escalación just-in-time de privilegios de PIM para reducir el riesgo asociado a tareas como la eliminación de objetos duros.
  • En el caso de los libros de estrategias de respuesta a incidentes y los escenarios de recuperación, las entidades financieras pueden revisar y adoptar cuadernos de estrategias de respuesta a incidentes de Microsoft

La entidad financiera puede determinar la frecuencia de los pasos anteriores en función de la importancia de la información contenida en Microsoft Entra ID, teniendo en cuenta los plazos especificados por DORA.		 Ley DORA:
  • Artículo 11: Respuesta y recuperación
  • Artículo 12: Directivas y procedimientos de copia de seguridad, procedimientos y procedimientos de restauración y recuperación

RTS sobre los marcos de gestión de riesgos de TIC:
  • Artículo 25: Pruebas de los planes de continuidad empresarial de las TIC
  • Artículo 26: Planes de respuesta y recuperación de las TIC
Recursos de Microsoft que proporcionan información y recursos de entrenamiento relacionados con vulnerabilidades, ciberamenazas, incidentes relacionados con las TIC y funcionalidad del producto relacionada con la seguridad. Las entidades financieras pueden revisar, realizar un seguimiento y actuar de forma rutinaria sobre estos recursos proporcionados por Microsoft relacionados con vulnerabilidades y ciberamenazas que pueden incluir:

Las entidades financieras pueden desarrollar programas de concienciación sobre la seguridad de las TIC que incorporen Microsoft Entra ID capacitación para el personal pertinente que puede incluir:

Tenga en cuenta que algunos de los recursos anteriores cubren una gama de productos y tecnologías de seguridad de Microsoft. No se limitan a Microsoft Entra.		 Ley DORA:
  • Artículo 13: Aprendizaje y evolución
  • Artículo 25: Pruebas de sistemas y herramientas de TIC

RTS sobre los marcos de gestión de riesgos de TIC:
  • Artículo 3: Gestión de riesgos TIC
  • Artículo 10: Administración de vulnerabilidades y revisiones
Gobierno de Microsoft Entra ID es una solución de gobernanza de identidades que permite a las organizaciones mejorar la productividad, reforzar la seguridad y cumplir más fácilmente los requisitos normativos y de cumplimiento. Las entidades financieras pueden considerar la implementación de una solución de gobernanza de identidades para controlar los derechos de administración de acceso. Gobierno de Microsoft Entra ID incluye las siguientes funcionalidades que pueden ayudar a aplicar el principio de privilegios mínimos a los recursos protegidos por Microsoft Entra ID:
 Ley DORA:
  • Artículo 9: Protección y prevención de riesgos de las TIC, a la vez que se garantiza la resistencia y seguridad de las operaciones de las entidades financieras.
  • Artículo 15: Armonización adicional de las herramientas, métodos, procesos y políticas de gestión de riesgos de las TIC

RTS sobre los marcos de gestión de riesgos de TIC:
  • Artículo 20: Administración de identidades
  • Artículo 21: Access Control
  • Artículo 33: Access Control (marco simplificado)
Recursos de Microsoft que proporcionan instrucciones relacionadas con las operaciones de seguridad Microsoft Entra ID y la respuesta a incidentes. Las entidades financieras pueden revisar y considerar la posibilidad de operacionalizar Microsoft Entra ID las operaciones de seguridad y la guía de respuesta a incidentes, incluidos, entre otros:
 Ley DORA:
  • Artículo 17: Proceso de administración de incidentes relacionados con las TIC
Recursos que proporcionan información relacionada (y potencialmente relacionada con) Microsoft Entra ID disponibilidad Las entidades financieras pueden revisar, realizar un seguimiento y considerar de forma rutinaria la información incluida en estos artículos y sitios:

Tenga en cuenta que algunos de los recursos anteriores cubren una gama de productos y tecnologías de seguridad de Microsoft. No se limitan a Microsoft Entra.		 Ley DORA:
  • Artículo 18: Clasificación de incidentes relacionados con las TIC y ciberamenazas
  • Artículo 19: Notificación de incidentes importantes relacionados con las TIC y notificación voluntaria de amenazas cibernéticas significativas

RTS sobre los marcos de gestión de riesgos de TIC:
  • Artículo 10: Administración de vulnerabilidades y revisiones
Ofertas de servicios de Microsoft que pueden ayudar a las organizaciones a evaluar su posición de seguridad Microsoft Entra inquilino como parte de las pruebas de resistencia operativa digital El programa de pruebas de resistencia operativa digital implementado por una entidad financiera puede comprender una serie de evaluaciones, herramientas y metodologías, entre las que se incluyen, entre otras:
  • La evaluación Microsoft Entra ID a petición, que analiza y proporciona instrucciones de administración de identidades y acceso (IAM) para Microsoft Entra ID y componentes relacionados.
  • El Taller de Microsoft Confianza cero es una guía técnica completa para ayudar a los clientes y asociados a adoptar una estrategia de Confianza cero e implementar soluciones de seguridad de un extremo a otro para proteger a sus organizaciones.

Las entidades financieras pueden realizar periódicamente dichas evaluaciones, con una frecuencia acorde con los requisitos actuales de la DORA.		 Ley DORA:
  • Artículo 24: Requisitos generales para el rendimiento de las pruebas de resistencia operativa digital
  • Artículo 25: Pruebas de sistemas y herramientas de TIC
Recursos que proporcionan información relacionada con los cambios de Microsoft Entra Las entidades financieras pueden realizar un seguimiento rutinario y considerar la información incluida en los artículos y sitios siguientes. Las acciones realizadas por las entidades financieras pueden incluir, por ejemplo, pruebas de regresión y actualizaciones de procesos y pruebas digitales relacionados con la resistencia operativa.
  • El Centro de mensajes de Microsoft 365 se puede usar para realizar un seguimiento de los próximos cambios, incluidas las características nuevas y modificadas, el mantenimiento planeado y otros anuncios importantes.
  • Las novedades (versión preliminar) se pueden usar para realizar un seguimiento de los cambios Microsoft Entra ID en el Centro de administración Microsoft Entra
 Ley DORA:
  • Artículo 25: Pruebas de sistemas y herramientas de TIC

RTS sobre los marcos de gestión de riesgos de TIC:
  • Artículo 16: Adquisición, desarrollo y mantenimiento de sistemas TIC
  • Artículo 17: Gestión de cambios de las TIC
  • Artículo 34: Seguridad de las operaciones de TIC
Recursos que proporcionan información relacionada con pruebas de penetración y Microsoft Entra ID Las entidades financieras que deseen realizar pruebas de penetración en su microsoft cloud pueden tener en cuenta las reglas de compromiso enumeradas en este artículo:

Las entidades financieras pueden considerar las reglas de contratación anteriores en el contexto de este informe de las Autoridades Europeas de Supervisión (ESA):
  • JC 2024 29: Informe final sobre DORA RTS sobre las pruebas de penetración de amenazas dirigidas (TLPT) con arreglo al artículo 26 de la DORA.
 Ley DORA:
  • Artículo 25: Pruebas de sistemas y herramientas de TIC
  • Artículo 26: Pruebas avanzadas de herramientas, sistemas y procesos de TIC basados en TLPT
  • Artículo 27: Requisitos para evaluadores para la ejecución de TLPT

RTS sobre los marcos de gestión de riesgos de TIC:
  • Artículo 25: Pruebas de los planes de continuidad empresarial de las TIC
  • Artículo 26: Planes de respuesta y recuperación de las TIC
Recursos relacionados con la habilitación, la aplicación y la administración del cifrado y los controles criptográficos al transmitir datos hacia o desde Microsoft Entra ID. Por motivos de seguridad, Microsoft Entra ID dejará de admitir pronto protocolos y cifrados de seguridad de la capa de transporte (TLS) antes de TLS 1.2 y está implementando la compatibilidad con TLS 1.3.

Las entidades financieras pueden tener en cuenta los pasos siguientes para ayudar a garantizar el uso y la administración de controles criptográficos y de cifrado adecuados:
 RTS sobre los marcos de gestión de riesgos de TIC:
  • Artículo 6: Cifrado y controles criptográficos
  • Artículo 7: Administración de claves criptográficas
  • Artículo 14: Protección de la información en tránsito

RTS sobre los marcos de gestión de riesgos de TIC:
  • Artículo 6: Cifrado y controles criptográficos
  • Artículo 7: Administración de claves criptográficas
  • Artículo 14: Protección de la información en tránsito
  • Artículo 35: Seguridad de datos, sistema y red
Recursos relacionados con las características de rendimiento y capacidad de Microsoft Entra ID Las entidades financieras pueden considerar la posibilidad de revisar y realizar un seguimiento de la siguiente documentación para comprender ciertas características de capacidad y rendimiento de Microsoft Entra ID:
 RTS sobre los marcos de gestión de riesgos de TIC:
  • Artículo 9: Administración de capacidad y rendimiento

RTS sobre los marcos de gestión de riesgos de TIC:
  • Artículo 34: Seguridad de las operaciones de TIC
Global Secure Access es la solución Microsoft Edge (SSE) del servicio de seguridad de Microsoft Financial Services puede implementar controles para proteger el acceso a la red pública de Internet y a las redes privadas mediante el acceso seguro global. RTS sobre los marcos de gestión de riesgos de TIC:
  • Artículo 13: Administración de seguridad de red
  • Artículo 14: Protección de la información en tránsito
  • Artículo 35: Seguridad de datos, sistema y red
Recursos relacionados con la adquisición, desarrollo y mantenimiento de aplicaciones Financial Services puede incluir los siguientes aspectos como parte de la adquisición o creación de nuevas aplicaciones:
  • Protocolos de autenticación que permiten controles modernos, como la autenticación multifactor y directivas de acceso condicional
  • Capacidad de implementar controles de administración de acceso, como revisiones de acceso, aprovisionamiento de identidades, aprovisionamiento de derechos
 RTS sobre los marcos de gestión de riesgos de TIC:
  • Artículo 16 Adquisición, desarrollo y mantenimiento de sistemas TIC
  • Artículos 37: Adquisición, desarrollo y mantenimiento de sistemas TIC (Marco simplificado)

Recursos