Skip to content
Medir y cumplir

Evidencia de cumplimiento de Active Directory para DORA, NIS2 y ENS Alto, generada automáticamente desde rutas de ataque probadas.

ADscan vincula cada hallazgo que prueba en tu Active Directory al control normativo específico al que hace referencia. El mismo informe que muestras a un atacante puedes mostrárselo a un auditor, con la cita legal ya incluida.

Pedir una evaluaciónVer un informe de muestra
Qué es

El mapeo de cumplimiento en ADscan es la práctica de vincular un hallazgo probado en AD al artículo y control específico de DORA, NIS2, ENS Alto o ISO 27001:2022 que el hallazgo satisface o viola. ADscan genera este mapeo automáticamente: tras validar las rutas de ataque, anota cada hallazgo con el texto legal relevante y la prioridad de remediación, produciendo evidencia lista para auditoría desde el mismo proceso de validación.

El problema

Art. 9.4

El Artículo 9.4 de DORA (desarrollado en las NTR UE 2024/1774) exige a las entidades financieras identificar, clasificar y documentar todos los activos TIC e implementar medidas de protección y prevención proporcionales a su criticidad. Active Directory es la columna vertebral de identidad de toda entidad en el ámbito de aplicación, pero la mayoría de los programas de cumplimiento se basan en cuestionarios y auditorías manuales que no pueden demostrar si un control determinado es realmente eficaz. Una delegación sin parche o una cuenta de servicio Kerberoasteable es una violación técnica que una lista de comprobación nunca pondrá de manifiesto. Las entidades reguladas necesitan evidencia de controles validados, no autoevaluación.

Reglamento DORA UE 2022/2554 — requisitos de protección de la gestión de riesgos TIC, en vigor desde enero de 2025

Cómo funciona
  1. 01

    Ejecutar la validación AD

    ADscan recolecta la superficie de ataque de identidad completa y ejecuta cada ruta soportada a Domain Admin, produciendo hallazgos probados y teóricos en las familias de credenciales, certificados, delegación y vulnerabilidades.

  2. 02

    Clasificar cada hallazgo por marco normativo

    Cada hallazgo se relaciona con el control aplicable en DORA, NIS2, ENS Alto e ISO 27001:2022. El mapeo se hace a nivel de hallazgo, no a nivel de producto: el artículo específico que aplica a una ruta Kerberoasting probada es diferente al que aplica a un hallazgo DCSync.

  3. 03

    Adjuntar citas legales

    El informe cita el artículo y párrafo exactos: el Artículo 9.4 de DORA y sus NTR (UE 2024/1774), el Artículo 21 de NIS2, los controles operativos de ENS Alto, el Anexo A de ISO 27001:2022. Sin paráfrasis: la cita es la que el auditor ya conoce.

  4. 04

    Ordenar la remediación por prioridad normativa

    Los hallazgos se ordenan por una combinación de severidad explotada (probado antes que teórico) y el plazo de cumplimiento impuesto por el control aplicable, para que tu equipo remedie primero lo que importa al auditor.

  5. 05

    Producir el informe listo para auditoría

    Un informe cubre la narrativa completa de hallazgos, la tabla de cumplimiento por hallazgo y el resumen ejecutivo. El CISO puede entregárselo a un auditor; el equipo de seguridad puede entregárselo a un desarrollador. Sin postprocesamiento, sin herramienta separada.

  6. 06

    Reejecución tras remediación

    En la plataforma Enterprise, la revalidación programada confirma que los controles remediados superan la siguiente ejecución. El nuevo informe reemplaza al anterior y muestra la deriva de cumplimiento a lo largo del tiempo.

Capacidades

Mapeo del Artículo 9 de DORA por hallazgo

Cada hallazgo probado en AD se mapea al requisito específico del Artículo 9.4 de DORA que viola o satisface, con la cita de las NTR (UE 2024/1774). No es una etiqueta genérica de "esto cubre DORA": es una anotación a nivel de hallazgo que un auditor puede leer.

Cobertura del control de acceso del Artículo 21 de NIS2

El Artículo 21(2)(i) de NIS2 exige controles de autenticación y acceso privilegiado. ADscan mapea cada hallazgo probado de credenciales y delegación a esta medida, con la cita de la directiva y la remediación concreta que cierra la brecha.

Controles de identidad de ENS Alto

El nivel Alto del Esquema Nacional de Seguridad de España exige la validación continua de los controles de acceso e identidad. ADscan mapea cada hallazgo a la categoría y subcategoría de control ENS relevante, haciendo el informe directamente útil para entidades en el ámbito de certificación ENS.

Alineación con el Anexo A de ISO 27001:2022

Cada hallazgo está etiquetado con el control relevante del Anexo A de ISO 27001:2022 (p. ej. A.5.15 control de acceso, A.8.2 derechos de acceso privilegiado). El mapeo no implica certificación; proporciona la evidencia necesaria para tu auditoría ISO.

Remediación ordenada por cumplimiento

Los pasos de remediación se ordenan por la severidad explotada combinada con el plazo de cumplimiento del control aplicable. Una ruta probada a Domain Admin que viola un requisito de protección de DORA aparece antes que un hallazgo teórico sin plazo definido.

Paquete de evidencias en un solo informe

El mapeo de cumplimiento, la narrativa de rutas de ataque, el detalle técnico por paso con IDs de técnica MITRE y el resumen ejecutivo se entregan en un solo informe. No se requiere ninguna herramienta de cumplimiento separada.

Cumplimiento

Mapeado al control por el que pregunta tu supervisor.

Hallazgo probadoControl mapeado

Este módulo es la capa de cumplimiento: convierte la salida técnica de la validación AD de ADscan en evidencia regulatoria. El Artículo 9.4 de DORA exige la protección de activos TIC y cuentas privilegiadas (NTR UE 2024/1774); el Artículo 21 de NIS2 exige medidas de autenticación y control de acceso; ENS Alto exige la validación continua de la identidad; el Anexo A de ISO 27001:2022 se mapea a ambos. Cada hallazgo generado por cualquier módulo de ADscan se anota con el control aplicable en el momento de generación del informe, con la cita legal, el estado actual (violado o satisfecho) y la prioridad de remediación. La misma ejecución que prueba tu exposición también produce el documento que solicita tu auditor.

LITE vs PRO
LITE

La CLI open source imprime el mapeo de cumplimiento en stdout tras cada ejecución: cada hallazgo se anota con su control de DORA, NIS2, ENS e ISO. Esto forma parte del motor principal, sin necesidad de licencia.

PRO

Añade el PDF ejecutivo con la tabla de cumplimiento formateada, citas legales por hallazgo, resumen ejecutivo de cumplimiento y remediación ordenada por prioridad regulatoria. Gratis en beta para consultoras y MSSPs. La plataforma Enterprise añade ejecuciones programadas, seguimiento de la deriva de cumplimiento y la pista de auditoría necesaria para la notificación de incidentes del Artículo 19 de DORA.

Relacionado

Explora el resto de la plataforma.

Validación de rutas de ataque

Explota cada ruta soportada de un usuario sin privilegios a Domain Admin.

Abrir

Monitorización continua de exposición

CTEM para Active Directory: revalidación programada y deriva.

Abrir

Postura de seguridad del dominio

Gestión continua de la postura de seguridad de identidad de tu dominio.

Abrir
Prueba

Todos los informes de ADscan entregados en compromisos de prueba de valor se han utilizado directamente como evidencia de cumplimiento en revisiones internas de auditoría de DORA y ENS.

Recursos

Míralo antes de preguntar.

Informe de muestra

El informe completo de exposición AD, mapeado a cumplimiento

AbrirGuía

Rutas de ataque en Active Directory y BloodHound

AbrirGuía

DORA y Active Directory para entidades financieras

Abrir
FAQ

Preguntas, respondidas.

¿Qué exige DORA para Active Directory?

El Reglamento DORA UE 2022/2554, en vigor desde enero de 2025, exige a las entidades financieras identificar, clasificar y documentar los activos TIC (Artículo 8), implementar medidas de protección y prevención para los mismos (Artículo 9.4) y probar las herramientas y sistemas TIC (Artículo 24). Active Directory es la columna vertebral de identidad de toda entidad en el ámbito de aplicación: si un atacante puede llegar a Domain Admin, todos los activos TIC están comprometidos. Las NTR del Artículo 9.4 (UE 2024/1774) desarrollan requisitos específicos para las cuentas privilegiadas, las credenciales de servicio y los controles de acceso que se mapean directamente a las técnicas de ataque que valida ADscan.

¿Cómo mapea ADscan los hallazgos al Artículo 9 de DORA?

Tras validar cada ruta de ataque, ADscan anota el hallazgo con el subrequisito específico del Artículo 9.4 de DORA al que se refiere, utilizando el texto de las NTR (UE 2024/1774) como cita autoritativa. Por ejemplo, una ruta Kerberoasting probada se mapea al requisito del Artículo 9.4 de proteger las credenciales de las cuentas de servicio; un hallazgo DCSync se mapea al requisito de restringir y monitorizar los derechos de replicación privilegiados. El mapeo es a nivel de hallazgo, no a nivel de producto.

¿Exige NIS2 la validación de Active Directory?

La Directiva NIS2 2022/0383 Artículo 21 exige a las entidades implementar medidas técnicas apropiadas y proporcionales para la autenticación y la gestión del acceso privilegiado. Una cuenta de servicio Kerberoasteable o una cuenta con delegación no restringida es una violación directa de este requisito. ADscan valida estas condiciones y mapea cada hallazgo al Artículo 21(2)(i), con la cita de la directiva. Los plazos de transposición de NIS2 varían según el Estado miembro, pero la obligación está en vigor en toda la UE.

¿Qué controles AD exige ENS Alto?

El nivel Alto del Esquema Nacional de Seguridad de España (Real Decreto 311/2022) exige a las entidades implementar la monitorización continua de los controles de acceso, la gestión de cuentas privilegiadas y la validación de identidad. Las categorías de control específicas se mapean a las familias de hallazgos de ADscan: la exposición de credenciales (Kerberoasting, DCSync) se mapea a las medidas de control de acceso; los hallazgos de ADCS y delegación se mapean a los controles de gestión de privilegios; la validación de rutas de ataque se mapea al requisito de pruebas continuas. ADscan incluye la referencia de control ENS junto a cada hallazgo.

¿Cómo genero evidencia de cumplimiento DORA desde mi Active Directory?

Ejecuta ADscan contra tu Active Directory (la CLI es open source y solo requiere una cuenta de dominio con privilegios bajos). ADscan recolecta la superficie de ataque de identidad, valida cada ruta soportada y genera el informe mapeado a cumplimiento. El informe es la evidencia: incluye los hallazgos probados, los artículos específicos de DORA a los que se refieren, las citas legales y los pasos de remediación. Para el PDF ejecutivo y la tabla de cumplimiento estructurada, el nivel PRO está disponible gratis en beta para consultoras.

¿Puede ADscan generar la evidencia necesaria para una notificación de incidente del Artículo 19 de DORA?

El Artículo 19 de DORA establece los plazos de notificación para incidentes TIC importantes: notificación inicial en 4 horas, informe intermedio en 24 horas e informe final en 72 horas. ADscan no automatiza el flujo de trabajo de notificación de incidentes, pero la pista de auditoría y el historial de hallazgos generados por la plataforma Enterprise pueden proporcionar la evidencia técnica de la ruta de ataque inicial y los pasos de remediación adoptados, apoyando las secciones de "causa raíz e impacto" del informe del Artículo 19.

Ve tu exposición real

Descubre qué ruta a Domain Admin tienes hoy.

Pide una evaluación y ejecutaremos ADscan contra tu Active Directory, y luego entregamos el informe mapeado a cumplimiento.

Pedir una evaluaciónConseguir acceso PRO
Cumplimiento DORA para Active Directory | ADscan