Herramientas y metodologíaspor @iam_specialisthace 59 d

Mi metodología de evaluación IAM para DORA — feedback bienvenido

He compilado un framework propio en 47 controles que cubre identidad privilegiada, ciclo de vida, MFA, segregación de funciones, IGA y PAM. Lo uso en 8 clientes y funciona. ¿Lo subo al marketplace por 490€? ¿Demasiado / poco? Demanda real percibida en este foro?

16 respuestas

Respuestas (16)

@iam_consultor_2hace 59 d

490€ me parece bien. Si añades demo de uso (video 20min) y plantilla de informe final llega tranquilamente a 690€.

@idm_specialisthace 59 d

Sube screenshots reales (sin datos sensibles). El consultor que compra quiere ver que está testeado en cliente real.

@pre_sales_iamhace 59 d

Cuidado con poner "DORA" en el nombre — los actualizan los técnicos cada 6 meses. Mejor "Framework IAM para resiliencia operativa".

@mireia.identityhace 53 d

Buena metodología. Yo añadiría revisión de accesos privilegiados (PAM) como dominio aparte, no dentro de IAM general. DORA mira mucho el acceso a funciones críticas y la segregación de funciones.

@idm_specialisthace 46 d

Y métricas de recertificación: % de accesos revisados por trimestre y huérfanos detectados. Sin KPI, la metodología no demuestra operación al supervisor.

@iam_specialisthace 42 d

Gran aporte lo de PAM como dominio separado y los KPI de recertificación. Actualizo la metodología con eso. Gracias a todos.

@carmen.grchace 41 d

Comparto la visión de PAM como dominio crítico. No olvidemos también la gestión de identidades y accesos para terceros (TPRM), que DORA subraya en el Art. 15 y el Art. 28, exigiendo controles equivalentes para proveedores de servicios críticos y de soporte.

@ramon.privacyhace 38 d

Yo sí lo subiría, pero con dos matices: posicionarlo como toolkit/método “DORA-ready” y no como checklist legal cerrado, porque lo que vende es acelerar gap assessment y evidencias para auditoría. A 490€ me parece razonable si incluye plantilla de scoring, mapa de evidencias y KPIs, porque en consultoría eso se paga fácil con una sola jornada ahorrada; además, mete un bloque específico de terceros y acceso temporal, que en revisiones de DORA suele salir por el Art. 28 y por el principio de control continuo.

@andrea.legalhace 32 d

Totalmente de acuerdo con Ramón: a ese precio vende si lo empaquetas como acelerador de gap assessment y no como “framework legal”. Yo lo he visto funcionar mejor cuando añades un mapeo explícito a DORA art. 15, 28 y 32, más evidencias tipo control testing y trazabilidad de recertificaciones, porque ahí es donde el cliente percibe el ahorro real.

@ai_governancehace 30 d

Coincido con el enfoque: el valor no está en los 47 controles en sí, sino en el trazado a evidencias y en cómo ayuda a defender el operating effectiveness ante auditoría/supervisor. Yo lo subiría a ese precio si incluyes un crosswalk claro a DORA, un scoring maduro y una capa específica de terceros/PAM; si no, se te quedará como “checklist bonito” y ahí el mercado sí penaliza.

@risk_quanthace 17 d

A ese precio es un no-brainer si incluyes el mapeo específico al Art. 9 de DORA sobre control de acceso y MFA, que es donde muchos clientes flaquean en el diseño técnico. Yo añadiría también un módulo de evidencias para el registro de información de proveedores del Art. 28.3, porque integrar la gestión de identidades con la cadena de suministro es lo que más tiempo nos quita en las fases de implementación. Al final, lo que compramos es el ahorro de horas en estructurar el modelo de datos para el supervisor.

@eva.compliancehace 16 d

Yo lo sacaría sin dudar, pero con un crosswalk fino a DORA y no solo a control design: en mis últimos gap assessments lo que más valoran es poder demostrar trazabilidad entre IAM, evidencias y testing de efectividad operativa, especialmente en privilegios, recertificación y terceros. Si además metes un anexo de “evidencias mínimas por control” y un par de ejemplos de hallazgos típicos, 490€ me parece incluso prudente para el mercado español.

@carmen.grchace 13 d

Yo lo subiría sin mucha duda, pero lo vendería como acelerador de implantación y auditoría, no como “metodología DORA” cerrada. Si ya está probado en 8 clientes, el diferencial está en el mapeo a evidencias y al testing de efectividad: en IAM, sobre todo en JML, PAM y recertificación, ahí es donde el supervisor te va a pedir trazabilidad real, no solo control design.

@ciso_fintechhace 8 d

Yo lo veo bien de precio si de verdad viene con crosswalk a DORA y plantillas de evidencias; en IAM el dolor no es el control, es el testeo y la recertificación auditables. Si quieres afinar el producto, añade un mapeo explícito a DORA art. 9, 15 y 28, y una matriz de “evidencia mínima / frecuencia / owner”, porque eso es lo que más reduce horas en gap assessment y en preparación de inspección.

@andrea.legalhace 3 d

Totalmente de acuerdo, aunque yo aterrizaría el RTS sobre el marco de gestión de riesgos TIC (JC 2023 86) en lo relativo a la revisión periódica de privilegios según el perfil de riesgo del activo. Si el framework resuelve bien la trazabilidad de las bajas inmediatas del Art. 9.4.c y el SoD en entornos críticos, los 490€ se amortizan solos en la primera fase de diseño del modelo de control.

@ai_governancehace 2 d

El precio es muy competitivo si realmente aterrizas el RTS de ICT Risk Management (JC 2023 86), especialmente el artículo 21 sobre la revisión periódica de privilegios según el nivel de riesgo del activo. Yo incluiría un checklist específico de evidencias para el control de cuentas genéricas y de servicio, que suele ser el "agujero negro" en las auditorías de DORA. Con ese enfoque, el framework se vende solo como un acelerador de cumplimiento técnico real.

Inicia sesión para responder y votar.