Introducción
El día que un proveedor crítico cae, la pregunta no es «qué SLA teníamos», sino «quién responde, en qué tiempo y qué hacemos mientras tanto».
Con DORA, la resiliencia operativa deja de ser un asunto solo de IT y pasa a ser una obligación de gestión, especialmente cuando dependes de terceros TIC.
Aquí tienes qué revisar antes de firmar o renovar: dependencias reales, evidencias útiles y una salida razonable si las cosas se tuercen.
Qué es DORA (y qué implica con terceros TIC)
DORA (Digital Operational Resilience Act) es un marco europeo que refuerza cómo las organizaciones gestionan el riesgo tecnológico y la continuidad del servicio.
Dicho de otro modo, no basta con «tener un proveedor». Hay que poder demostrar resiliencia: prevención, detección, respuesta, recuperación y aprendizaje.
No se trata solo de ciberseguridad. Incluye gestión de incidentes, pruebas, gobernanza y, muy en particular, cómo controlas el riesgo que introduces al externalizar.
Por qué es relevante
Es relevante porque el riesgo se ha desplazado: cada vez más operaciones dependen de SaaS, cloud, integraciones y subcontratistas. Un fallo en cadena puede parar procesos críticos aunque tu infraestructura esté bien.
Además, revisar terceros de forma seria evita el bloqueo típico: descubrir demasiado tarde que no hay plan de salida, que los datos no se recuperan como esperabas o que la comunicación en incidentes es lenta.
Desarrollo principal
Empieza por identificar dependencias reales. ¿Qué procesos se paran si el proveedor falla? ¿Qué integraciones caen? ¿Qué datos quedan inaccesibles?
Clasifica la criticidad con criterios de impacto: servicio, ingresos, cumplimiento y reputación. En la práctica, esto define cuánta evidencia y qué nivel de control tiene sentido pedir.
Revisa cómo gestionan incidentes: canales, tiempos de aviso, escalado y postmortem. Lo interesante aquí es la transparencia cuando algo va mal, no la promesa cuando todo va bien.
Pide evidencias: pruebas de continuidad, resultados de auditorías, controles de acceso, gestión de cambios y protección de datos. Si es crítico, debe ser demostrable.
Mira también su cadena de suministro: subprocesadores, dependencias cloud y dónde están los puntos únicos de fallo. Un tercero puede ser sólido, pero depender de otro que no lo es.
Y prepara la salida: condiciones para recuperar datos, plazos, soporte de transición y escenarios de contingencia. No se trata de desconfiar, sino de evitar quedar atrapado.
Desglose práctico
Si el proveedor gestiona identidad o correo, pregunta por su procedimiento de degradación y por cómo te avisan ante accesos anómalos o interrupciones. Eso afecta directamente a tu capacidad de operar.
En plataformas cloud, revisa límites y responsabilidades: qué cubre el proveedor y qué es tuyo (configuración, logs, cuentas privilegiadas). Dicho de otro modo, la seguridad compartida no es seguridad delegada.
Para aplicaciones de negocio, aterriza pruebas de recuperación: cómo restauran, cuánto tarda y qué validación funcional recomiendan. Una recuperación «técnica» puede no ser una recuperación «de negocio».
Y cuando evalúes contratos, usa esta guía como base para la conversación técnica. Luego, si aplica, remata con una revisión legal para ajustar cláusulas y obligaciones.
Limitaciones o consideraciones
No todos los proveedores entregan la misma evidencia, y muchos trabajan con condiciones estándar. La clave es negociar lo importante y aceptar lo accesorio.
También existe el riesgo de convertir la gestión de terceros en cuestionarios eternos. En la práctica, compensa centrarse en servicios críticos y actualizar la revisión cuando cambian.
Por último, DORA no es un atajo: si tu inventario de activos y tus procesos internos son débiles, pedirle «magia» al proveedor no te salvará.
Conclusión con visión de futuro
Gestionar terceros bajo DORA es, sobre todo, gestionar dependencia. Saber qué pasará cuando falle, y tener una forma razonable de recuperarte.
A futuro veremos más estandarización de evidencias y más transparencia en resiliencia. Mientras llega, el mejor enfoque es proporcional: revisar lo crítico, pedir pruebas y preparar salida.