15 jun 2026

Su sistema heredado no ha superado la auditoría DORA. ¿Y ahora qué?

DORA está sacando a la luz limitaciones estructurales de los sistemas heredados que van más allá de los procesos y las políticas.
gft-contact-carlos-kazuo.png
Carlos Kazuo Missao
Global Head of Innovation Solutions
blogAbstractMinutes
blogAbstractTimeReading
A glowing cube bursting through a cracked surface symbolizes the disruptive power of AI-driven modernization. The fractured outer layer represents rigid legacy systems, while the radiant energy and circuitry emerging from within reflect innovation, agility, and new digital capabilities. This image captures the moment organizations break free from constraints to unlock scalable, future-ready transformation.
AI Modernization
contact
share
DORA está sacando a la luz limitaciones estructurales de los sistemas heredados que van más allá de los procesos y las políticas. Muchas arquitecturas no admiten la elaboración de informes en tiempo real, la observabilidad o la asignación de dependencias. Este artículo explica por qué el cumplimiento normativo se está convirtiendo en un reto arquitectónico. También esboza cómo debe ser una respuesta de modernización creíble.

DORA (Digital Operational Resilience Act) introduce requisitos estrictos en materia de resistencia operativa, notificación de incidentes, gestión de riesgos de las TIC y transparencia de los sistemas en todo el sector financiero europeo. En todo el mundo están surgiendo marcos normativos similares, que reflejan una mayor atención al riesgo tecnológico y la resistencia operativa. Las arquitecturas heredadas carecen a menudo de las capacidades necesarias para cumplir eficazmente la normativa, por lo que la modernización es esencial tanto para el cumplimiento normativo como para la resistencia a largo plazo.

Puntos clave

  • DORA y NIS2 dejan al descubierto lagunas arquitectónicas que las políticas por sí solas no pueden solucionar
  • Los sistemas heredados basados en lotes tienen dificultades para cumplir los requisitos de detección y notificación en tiempo real.
  • Las dependencias no documentadas socavan las obligaciones de inventario de activos de TIC
  • El riesgo de concentración de mainframes es ahora una preocupación para los supervisores.
  • Un programa de modernización documentado es la posición reguladora más sólida

¿Por qué DORA plantea un problema arquitectónico a los sistemas heredados?

DORA (Digital Operational Resilience Act) exige capacidades para las que las arquitecturas heredadas nunca fueron diseñadas.

La DORA ya no es un futuro ejercicio de cumplimiento normativo. Está en vigor, se aplica activamente y se centra en la resistencia operativa, la observabilidad y el control. Muchos entornos heredados pueden cumplir los requisitos de documentación, pero tienen dificultades para cumplir los de arquitectura.

El procesamiento por lotes, las dependencias no documentadas y las plataformas de un único proveedor crean lagunas que no pueden colmarse únicamente con mejoras de los procesos.

El DORA no es sólo un reto de cumplimiento normativo. Es un desencadenante de la modernización.

¿Por qué es tan difícil el inventario de activos TIC en entornos heredados?

En la mayoría de los entornos heredados, las dependencias críticas están integradas en el código, no en la documentación.

El DORA requiere un inventario continuamente preciso y auditable de los activos de TIC y sus interdependencias. En muchos entornos de mainframe, estas relaciones sólo existen en cadenas de lotes, programadores de trabajos y conocimientos informales de ingenieros veteranos.

El mapeo automatizado de dependencias es cada vez más la única forma creíble de cumplir este requisito y, al mismo tiempo, se convierte en la base de cualquier hoja de ruta de modernización realista.

¿Por qué los sistemas heredados no pueden cumplir los requisitos de notificación de incidentes en tiempo real?

Las arquitecturas heredadas detectan los incidentes demasiado tarde, a menudo una vez completados los ciclos por lotes.

DORA exige la detección y notificación de incidentes graves de TIC en cuestión de horas. Los sistemas basados en lotes retrasan la visibilidad hasta que finaliza el procesamiento programado, lo que dificulta o imposibilita una respuesta oportuna.

La observabilidad moderna, la supervisión en tiempo real, el rastreo y las alertas no pueden adaptarse de forma significativa a arquitecturas que nunca fueron diseñadas para ello. No se trata de una laguna de gobernanza. Es una limitación de diseño.

También explica por qué muchas iniciativas de IA fracasan en entornos heredados sin sistemas de observación y datos en tiempo real, lo que refuerza la necesidad de modernizar la IA.

genericImageAlt

¿Cómo cambia DORA el perfil de riesgo de las dependencias de mainframe?

Convierte las dependencias aceptadas desde hace tiempo en riesgos de concentración explícitos.

El DORA exige a las entidades que identifiquen y gestionen el riesgo de concentración de TIC de terceros. Sistemas centrales dependientes de:

  • Un único proveedor de hardware
  • Pila de middleware
  • La reducción de la reserva de talentos entra ahora directamente en el ámbito de la supervisión.

Aunque el DORA no obliga a abandonar inmediatamente los mainframes, sí exige a las entidades que demuestren una gestión y reducción activas del riesgo a lo largo del tiempo.

Los esfuerzos de modernización, por lo tanto, pasan de ser una iniciativa de coste a una necesidad normativa.

¿Cómo es una respuesta reglamentaria creíble?

Los supervisores no buscan la perfección. Buscan control y ejecución.

La posición más sólida es un programa de modernización documentado y aprobado por el Comité Ejecutivo que asigne explícitamente la corrección arquitectónica a los requisitos reglamentarios. Las instituciones que pueden demostrar un progreso estructurado están mucho mejor posicionadas que las que se basan en intenciones o planes futuros.

En la práctica, esto significa ir más allá de las correcciones aisladas hacia una modernización de principio a fin, desde el mapeo de dependencias y el rediseño de la arquitectura hasta la observabilidad en tiempo real y las bases de datos preparadas para la IA. Estas capacidades también son esenciales para el éxito de las iniciativas de modernización de la IA, permitiendo a las organizaciones escalar la IA sobre bases tecnológicas resistentes, observables y conformes.

En todo el mundo están surgiendo marcos normativos similares. Marcos como las regulaciones de Resiliencia Operativa del Reino Unido, el CPS 230 de Australia, las Directrices de Gestión de Riesgos Tecnológicos MAS de Singapur y NIS2 refuerzan la necesidad de una mayor resiliencia, visibilidad de riesgos tecnológicos y gestión efectiva de sistemas críticos y dependencias. Aunque los detalles de las normativas difieren, la dirección es clara: las organizaciones deben reforzar los cimientos arquitectónicos que sustentan las operaciones críticas de negocio.

Refuerce su estrategia de modernización de la IA para cumplir la normativa.

gft-contact-carlos-kazuo.png

Carlos Kazuo Missao

Global Head of Innovation Solutions
message
dataProtectionDeclaration