{"id":2026,"date":"2026-02-14T20:12:39","date_gmt":"2026-02-14T19:12:39","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/dora-articulo-28-pruebas-de-estrategia-de-salida-dr-y-bcp\/"},"modified":"2026-03-26T09:33:14","modified_gmt":"2026-03-26T08:33:14","slug":"dora-article-28-exit-strategy-testing-dr-bcp","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/dora-article-28-exit-strategy-testing-dr-bcp\/","title":{"rendered":"DORA Art\u00edculo 28 \u2014 Pruebas de Estrategia de Salida (DR y BCP)"},"content":{"rendered":"\n

Resiliencia Operativa, Dependencia de Terceros y Desvinculaci\u00f3n Controlada<\/em><\/p>\n\n\n\n

Introducci\u00f3n<\/strong><\/h2>\n\n\n\n

El Art\u00edculo 28 de DORA exige a las entidades financieras que gestionen los riesgos derivados de los proveedores de servicios ICT terceros, incluidas las plataformas en la nube, los proveedores SaaS de CI\/CD, los registros de artefactos y otros servicios digitales cr\u00edticos.<\/p>\n\n\n\n

Un requisito central, y a menudo subestimado, es la capacidad de salir de un acuerdo con un tercero sin interrumpir las operaciones cr\u00edticas<\/strong>.<\/p>\n\n\n\n

La estrategia de salida no es solo una cl\u00e1usula contractual.<\/p>\n\n\n\n

Es una capacidad operativa probada<\/strong> integrada en la arquitectura, la gobernanza y la planificaci\u00f3n de la recuperaci\u00f3n ante desastres.<\/p>\n\n\n\n

Este art\u00edculo explica:<\/p>\n\n\n\n

    \n
  • Qu\u00e9 espera el Art\u00edculo 28 de DORA respecto a las estrategias de salida<\/li>\n\n\n\n
  • C\u00f3mo la capacidad de salida se conecta con DR (Disaster Recovery) y BCP (Business Continuity Planning)<\/li>\n\n\n\n
  • C\u00f3mo probar la preparaci\u00f3n para la salida en entornos CI\/CD y dependientes de la nube<\/li>\n\n\n\n
  • Qu\u00e9 evaluar\u00e1n los auditores y reguladores<\/li>\n<\/ul>\n\n\n\n
    \n\n\n\n

    1. Por qu\u00e9 la estrategia de salida es un requisito central de DORA<\/strong><\/h2>\n\n\n\n

    Bajo DORA, las entidades financieras deben:<\/p>\n\n\n\n

      \n
    • Evitar el riesgo de concentraci\u00f3n excesiva<\/li>\n\n\n\n
    • Garantizar la continuidad de las funciones cr\u00edticas<\/li>\n\n\n\n
    • Mantener la capacidad de rescindir contratos ICT de forma segura<\/li>\n\n\n\n
    • Evitar que la dependencia del proveedor comprometa la resiliencia<\/li>\n<\/ul>\n\n\n\n

      Una estrategia de salida garantiza que:<\/p>\n\n\n\n

        \n
      • Un fallo del proveedor no paralice la entrega<\/li>\n\n\n\n
      • La rescisi\u00f3n de un contrato no interrumpa las operaciones<\/li>\n\n\n\n
      • Un incidente cibern\u00e9tico en un proveedor no se propague como una disrupci\u00f3n sist\u00e9mica<\/li>\n<\/ul>\n\n\n\n

        La preparaci\u00f3n para la salida es por tanto un control de resiliencia<\/strong>, no solo una cl\u00e1usula de adquisici\u00f3n.<\/p>\n\n\n\n

        \n\n\n\n

        2. Estrategia de salida vs Disaster Recovery vs Business Continuity<\/strong><\/h2>\n\n\n\n

        Estos conceptos est\u00e1n relacionados pero son distintos:<\/p>\n\n\n\n

        Estrategia de salida<\/strong><\/h3>\n\n\n\n

        Desvinculaci\u00f3n controlada de un proveedor tercero y transici\u00f3n a una soluci\u00f3n alternativa.<\/p>\n\n\n\n

        Disaster Recovery (DR)<\/strong><\/h3>\n\n\n\n

        Restauraci\u00f3n de sistemas y servicios tras una interrupci\u00f3n.<\/p>\n\n\n\n

        Business Continuity Planning (BCP)<\/strong><\/h3>\n\n\n\n

        Mantenimiento de las funciones empresariales cr\u00edticas durante y despu\u00e9s de las interrupciones.<\/p>\n\n\n\n

        Bajo el Art\u00edculo 28 de DORA, la estrategia de salida se intersecta con DR y BCP cuando:<\/p>\n\n\n\n