Art. 7
Selección de proveedores de pruebas de penetración basadas en amenazas
En vigor desde 13 feb 2025
Artículo 7
Selección de proveedores de pruebas de penetración basadas en amenazas
1. El equipo de control tomará medidas para gestionar los riesgos relacionados con la prueba de penetración basada en amenazas y, en particular, velará por que, para cada prueba de este tipo:
a)
el proveedor de inteligencia sobre amenazas y los probadores externos faciliten al equipo de control un currículum vítae detallado y copias de las certificaciones que, con arreglo a normas de mercado reconocidas, sean adecuadas para el desempeño de sus actividades;
b)
el proveedor de inteligencia sobre amenazas y el probador externo estén debida y completamente cubiertos por seguros adecuados de responsabilidad civil profesional, también frente a los riesgos de falta intencionada y negligencia;
c)
el proveedor de inteligencia sobre amenazas proporcione al menos tres referencias de encargos anteriores en el contexto de las pruebas de penetración y las pruebas de equipo rojo;
d)
los probadores externos proporcionen al menos cinco referencias de encargos anteriores relacionados con pruebas de penetración y pruebas de equipo rojo;
e)
el personal del proveedor de inteligencia sobre amenazas asignado a la prueba de penetración basada en amenazas:
i)
esté compuesto por al menos un responsable con al menos cinco años de experiencia en inteligencia sobre amenazas y al menos un miembro adicional con al menos dos años de experiencia en inteligencia sobre amenazas,
ii)
posea una amplia variedad y un nivel adecuado de conocimientos y capacidades profesionales, en particular:
1)
tácticas, técnicas y procedimientos de recopilación de información;
2)
conocimientos geopolíticos, técnicos y sectoriales;
3)
capacidades de comunicación adecuadas para presentar claramente el resultado de la intervención e informar al respecto,
iii)
haya participado en total en al menos tres misiones anteriores de inteligencia sobre amenazas en el contexto de pruebas de penetración y pruebas de equipo rojo,
iv)
no realice simultáneamente tareas de equipo azul u otros servicios que puedan presentar un conflicto de intereses con respecto a la entidad financiera, el proveedor tercero de servicios de TIC o un proveedor intragrupo de servicios de TIC que participe en las pruebas de penetración basadas en amenazas a las que estén asignados,
v)
esté separado del personal del mismo proveedor de pruebas de penetración basadas en amenazas que proporcione probadores externos para la misma prueba y no esté bajo la dirección de dicho personal;
f)
en el caso de los probadores externos, que el equipo rojo asignado a la prueba de penetración basada en amenazas:
i)
esté compuesto por al menos un responsable con al menos cinco años de experiencia en pruebas de penetración y pruebas de equipo rojo, así como por al menos dos probadores adicionales, cada uno de ellos con una experiencia de al menos dos años en pruebas de penetración y pruebas de equipo rojo,
ii)
posea una amplia variedad y un nivel adecuado de conocimientos y capacidades profesionales, en particular conocimientos sobre la actividad de la entidad financiera, reconocimiento, gestión de riesgos, explotación de oportunidades, penetración física, ingeniería social y análisis de vulnerabilidades, así como capacidades de comunicación adecuadas para presentar e informar claramente sobre el resultado de la intervención,
iii)
haya participado en total en al menos cinco encargos anteriores relacionados con pruebas de penetración y pruebas de equipo rojo,
iv)
no tenga una relación laboral con un proveedor de inteligencia sobre amenazas que realice simultáneamente tareas de equipo azul para una entidad financiera, un proveedor tercero de servicios de TIC o un proveedor intragrupo de servicios de TIC que participe en la prueba de penetración basada en amenazas, ni preste servicios a un proveedor de tales características,
v)
esté separado del personal del mismo proveedor de pruebas de penetración basadas en amenazas que preste simultáneamente servicios de inteligencia sobre amenazas en relación con la misma prueba;
g)
los probadores y el proveedor de inteligencia sobre amenazas lleven a cabo procedimientos de restauración al final de las pruebas, incluida la supresión segura de información relacionada con contraseñas, credenciales y otras claves secretas comprometidas durante la prueba de penetración basada en amenazas, la comunicación segura de las cuentas comprometidas a las entidades financieras, así como la recogida, el almacenamiento, la gestión y la eliminación seguros de otros datos recogidos durante la prueba;
h)
los probadores, además de los procedimientos de restauración al término de la prueba a que se refiere la letra g), lleven a cabo los siguientes procedimientos de restauración:
i)
desactivación del mando y el control,
ii)
interruptores de seguridad para el alcance y la fecha,
iii)
eliminación de programas maliciosos de tipo backdoor y de otra índole,
iv)
notificación de posibles infracciones,
v)
procedimientos para la restauración futura de copias de seguridad que puedan guardar relación con programas maliciosos o herramientas instalados durante la prueba,
vi)
seguimiento de las actividades del equipo azul y notificación al equipo de control de cualquier posible detección;
i)
los probadores y el proveedor de inteligencia sobre amenazas no realicen ni participen en ninguna de las actividades siguientes:
i)
destrucción no autorizada de equipos de la entidad financiera y de sus proveedores terceros de servicios de TIC, en su caso,
ii)
modificación incontrolada de la información y los activos de TIC de la entidad financiera y de sus proveedores terceros de servicios de TIC, en su caso,
iii)
comprometer intencionadamente la continuidad de las funciones esenciales o importantes de la entidad financiera,
iv)
inclusión no autorizada de sistemas no contemplados en el alcance de la prueba,
v)
divulgación no autorizada de los resultados de la prueba.
2. El equipo de control llevará un registro de la documentación facilitada por los probadores y los proveedores de inteligencia sobre amenazas para demostrar el cumplimiento de lo dispuesto en el apartado 1, letras a) a f).
En circunstancias excepcionales, las entidades financieras podrán contratar a probadores externos y proveedores de inteligencia sobre amenazas que no cumplan uno o varios de los requisitos establecidos en el apartado 1, letras a) a f), siempre que dichas entidades financieras adopten medidas adecuadas para mitigar los riesgos relacionados con el incumplimiento de esas disposiciones y registren dichas medidas.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2025:1190:oj#art-7