Art. 11
Fase de prueba: pruebas del equipo rojo
En vigor desde 13 feb 2025
Artículo 11
Fase de prueba: pruebas del equipo rojo
1. Tras la aprobación del informe de inteligencia sobre amenazas específicas por parte de la autoridad competente, los probadores elaborarán el plan de pruebas del equipo rojo, que contendrá la información que figura en el anexo IV. Los probadores utilizarán el documento de especificación del alcance y el informe de inteligencia sobre amenazas específicas como base para elaborar los escenarios de ataque.
2. Los probadores consultarán al equipo de control, al proveedor de inteligencia sobre amenazas y a los gestores de la prueba sobre el plan de pruebas del equipo rojo, incluido el sistema de comunicación, procedimiento y gestión del proyecto, la preparación y los casos de uso para la activación de la asistencia, así como los mecanismos de presentación de informes al equipo de control y a los gestores de la prueba.
3. Cuando el plan de pruebas del equipo rojo esté completo y garantice la realización de una prueba de penetración basada en amenazas eficaz, el equipo de control y la autoridad competente aprobarán el plan de pruebas del equipo rojo, y la autoridad competente informará de ello al responsable del equipo de control.
4. Una vez aprobado el plan de pruebas del equipo rojo de conformidad con el apartado 3, los probadores llevarán a cabo la prueba de penetración basada en amenazas durante la fase activa de pruebas del equipo rojo.
5. La duración de la fase activa de pruebas del equipo rojo activo será proporcional al alcance de la prueba de penetración basada en amenazas, a la dimensión, la actividad, la complejidad y el número de entidades financieras y de proveedores terceros o intragrupo de servicios de TIC que participen en la prueba, y en cualquier caso tendrá una duración mínima de 12 semanas. Los escenarios de ataque pueden ejecutarse de manera secuencial o simultánea. El equipo de control, el proveedor de inteligencia sobre amenazas, los probadores y los gestores de la prueba acordarán el final de la fase activa de pruebas del equipo rojo.
6. Siempre que se garantice que el plan de pruebas del equipo rojo siga siendo completo y permita la realización de una prueba de penetración basada en amenazas eficaz, el responsable del equipo de control y los gestores de la prueba aprobarán cualquier cambio en el plan de pruebas del equipo rojo tras su aprobación, incluidos los que afecten al calendario, el alcance, los sistemas objetivo o las banderas.
7. Durante toda la fase activa de pruebas del equipo rojo, los probadores informarán, al menos una vez por semana, al equipo de control y a los gestores de la prueba sobre los avances de esta, y el proveedor de inteligencia sobre amenazas seguirá estando disponible para responder a consultas y ofrecer información adicional sobre amenazas cuando así lo solicite el equipo de control.
8. El equipo de control facilitará oportunamente asistencia diseñada con base en el plan de pruebas del equipo rojo. Se podrá añadir asistencia adicional o adaptar la proporcionada previa aprobación del equipo de control y de los gestores de la prueba.
9. En el caso de que cualquier miembro del personal de la entidad financiera o de sus proveedores terceros o intragrupo de servicios de TIC, cuando proceda, detecten las actividades de la prueba, el equipo de control, en consulta con los probadores y sin perjuicio de lo dispuesto en el apartado 10, propondrá y presentará medidas que permitan continuar con la prueba de penetración basada en amenazas, garantizando al mismo tiempo su confidencialidad a los gestores de la prueba a efectos de validación.
10. En circunstancias excepcionales que entrañen el riesgo de que los datos se vean afectados, o de provocar daños a los activos y perturbaciones en funciones, servicios u operaciones esenciales o importantes de la propia entidad financiera o de sus proveedores terceros o intragrupo de servicios de TIC, o perturbaciones en sus contrapartes o en el sector financiero, el responsable del equipo de control podrá suspender la prueba o, como último recurso, cuando no sea posible continuar con ella y siempre que así lo valide previamente la autoridad competente en relación con la prueba, proseguir con ella utilizando un ejercicio limitado de trabajo en equipo morado. La duración de dicho ejercicio limitado computará a efectos de la duración mínima de 12 semanas de la fase activa de pruebas del equipo rojo a que se refiere el apartado 5.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2025:1190:oj#art-11