Imagen de la noticia Cumplimiento del reglamento DORA con Ayesa y Microsoft

Cumplir el reglamento DORA con Ayesa y Microsoft

Cómo afrontar los nuevos retos de resiliencia digital en el sector financiero con el apoyo de Ayesa y Microsoft

Desde el 17 de enero de 2025 está en vigor en toda la Unión Europea el Reglamento DORA (Digital Operational Resilience Act), una normativa que marca un antes y un después en la gestión de la ciberseguridad, la resiliencia operativa y los riesgos tecnológicos en el sector financiero. A pesar de su entrada en vigor, muchas entidades aún se encuentran en proceso de adaptación. Por eso, este artículo ofrece una visión práctica para entender qué exige DORA y cómo pueden ayudar las soluciones de Microsoft a dar cumplimiento a esta normativa de forma eficiente y segura.

¿Qué es DORA y por qué es importante?

DORA es un reglamento europeo que busca asegurar que todas las entidades del sector financiero —bancos, aseguradoras, sociedades de inversión, plataformas de criptoactivos o infraestructuras de mercado— sean capaces de resistir, responder y recuperarse ante incidentes tecnológicos o ciberataques sin que su operativa se vea gravemente afectada.

También incluye a los proveedores tecnológicos críticos, lo que refuerza la exigencia de establecer marcos sólidos de gobernanza, continuidad de negocio y gestión de riesgos TIC, tanto internos como de terceros.

Principales retos que plantea DORA

Aunque la regulación está ya en vigor, cumplirla no es sencillo. Entre los obstáculos más comunes que enfrentan las entidades financieras destacan:
  • Infraestructura TIC obsoleta, difícil de adaptar a los nuevos requisitos.
  • Falta de visibilidad sobre los riesgos de terceros en entornos multicloud.
  • Altos costes de implementación, sobre todo para entidades medianas y pequeñas.
  • Fragmentación tecnológica entre departamentos o regiones.
  • Falta de enfoque sistemático en el cumplimiento normativo y en la resiliencia digital.

Una hoja de ruta en seis pasos hacia la resiliencia operativa

Microsoft propone un enfoque estructurado en seis pasos que ayuda a cumplir con DORA y fortalecer la resiliencia digital de forma progresiva:
1. Reforzar la gobernanza del riesgo en la nube
Establecer un marco de gestión del riesgo TIC sólido, con controles específicos para los servicios en la nube, revisando tolerancias al riesgo y estableciendo acuerdos claros con proveedores (SLAs, notificación de incidentes, políticas de acceso…).
2. Mapear las dependencias tecnológicas y de negocio
Identificar procesos críticos, plataformas TIC, relaciones con terceros y posibles puntos únicos de fallo, integrándolos en el marco global de gestión de riesgos.
3. Evaluar alternativas tecnológicas
Analizar diferentes estrategias (cloud pública, privada, híbrida, multicloud), valorando su resiliencia, riesgos asociados y capacidad de adaptación a la estrategia corporativa.
4. Diseñar una arquitectura resiliente
Adoptar principios de diseño robusto: redundancia, escalabilidad, protección de datos, modularidad y uso de tecnologías cloud-native que faciliten la continuidad de servicio ante incidencias.
5. Probar y mantener actualizado el plan de continuidad de negocio
Diseñar y testear planes ante distintos escenarios (caída de servicios cloud, ciberataques, errores humanos…), incluyendo las responsabilidades compartidas con proveedores.
6. Definir planes de salida (exit strategies)
Establecer procedimientos claros para la recuperación de datos, migración entre plataformas y finalización segura de los servicios con proveedores TIC, incluyendo pruebas regulares de estos planes.

¿Cómo pueden ayudar las soluciones de Microsoft?

Microsoft ofrece una amplia gama de herramientas, marcos y servicios que permiten a las entidades financieras alinearse con los requisitos de DORA. Entre los más relevantes:

  • Microsoft Purview: para gobernanza, protección de datos y cumplimiento normativo.
  • Azure Governance y Microsoft Defender for Cloud: para supervisión, seguridad multicloud e implementación de políticas.
  • Azure Well-Architected Framework y Cloud Adoption Framework: guías para diseñar cargas de trabajo resilientes y seguras.
  • Microsoft 365 Health Dashboard y Azure Service Health: visibilidad en tiempo real sobre el estado de los servicios.
  • Microsoft Secure Score: para evaluar y reforzar la postura de seguridad.
  • Compromisos contractuales específicos: como el Data Protection Addendum (DPA) o las cláusulas del Financial Services Amendment, que ya incluyen lo exigido por DORA.

Además, Microsoft participa como proveedor tecnológico crítico, por lo que ha alineado sus prácticas contractuales y operativas con DORA, facilitando el cumplimiento por parte de sus clientes.

Conclusión

Además de una obligación legal, cumplir con DORA representa una oportunidad para fortalecer la capacidad de adaptación del sector financiero ante un entorno cada vez más digital y expuesto a riesgos tecnológicos. Con un enfoque estructurado y el apoyo de un socio tecnológico como Microsoft, es posible afrontar el reto con garantías.

Desde Ayesa, ponemos a tu disposición nuestra experiencia en soluciones Microsoft para el sector financiero y un equipo especializado en cumplimiento normativo, ciberseguridad y modernización de infraestructuras TIC. Si tu organización está avanzando en su hoja de ruta hacia DORA o necesita definirla, contacta con nosotros y te ayudamos a trazar el camino.

Recursos adicionales

Para profundizar en los requisitos del Reglamento DORA y conocer con más detalle cómo las soluciones de Microsoft ayudan a su cumplimiento, te recomendamos consultar los siguientes recursos:

🔗 Contenido oficial de Microsoft Learn: ¿Qué es DORA?
Explicación clara y accesible sobre los fundamentos del Reglamento DORA y cómo aplicarlo en organizaciones del sector financiero.
https://learn.microsoft.com/es-es/compliance/dora/dora-what-is-dora
📄 Documento «Navigating DORA compliance with Microsoft»
Una guía práctica publicada por Microsoft donde se explica paso a paso cómo reforzar la resiliencia operativa y alinear la estrategia TIC con los requerimientos de DORA. 
Ley DORA (inglés)Descarga

Eduardo Santana

Microsoft Business Development Team ersantana@ayesa.com

¿Conectamos?

La tecnología bien aplicada suele facilitar las cosas. Si sospechas que también puede ser de ayuda para ti, concédenos la oportunidad de conocerte y demostrarte hasta qué punto es así.

¿Por qué Ayesa?

Somos uno de los principales implantadores de Microsoft, con casi 2000 clientes que han depositado su confianza en nosotros para la implantación de Dynamics 365, Business Central (NAV / Navision) y Dynamics 365 Finance & Operations (AX / Axapta). Además, destacamos en el despliegue de proyectos sobre AZURE y Microsoft 365. Nuestra experiencia en el campo de la inteligencia artificial y el uso de Copilot nos sitúa a la vanguardia de la innovación tecnológica.

Con una plantilla de más de 12.000 profesionales y una sólida presencia en 23 países, estamos comprometidos en ayudar a nuestros clientes a definir y aprovechar oportunidades en el nuevo contexto digital. Desde la tecnología hasta las personas, ofrecemos un enfoque integral que garantiza el éxito en cada proyecto.

¿Hablamos?

- ÚLTIMAS ENTRADAS DEL BLOG -