15 jun 2026

Tu sistema legado acaba de fallar la auditoría DORA. ¿Y ahora qué?

DORA está exponiendo limitaciones estructurales en los sistemas legados que van más allá de los procesos y las políticas.
gft-contact-carlos-kazuo.png
Carlos Kazuo Missao
Global Head of Innovation Solutions
blogAbstractMinutes
blogAbstractTimeReading
A glowing cube bursting through a cracked surface symbolizes the disruptive power of AI-driven modernization. The fractured outer layer represents rigid legacy systems, while the radiant energy and circuitry emerging from within reflect innovation, agility, and new digital capabilities. This image captures the moment organizations break free from constraints to unlock scalable, future-ready transformation.
AI Modernization
Blog
2026
contact
share
DORA está exponiendo limitaciones estructurales en los sistemas legados que van más allá de los procesos y las políticas. Muchas arquitecturas no pueden soportar el reporte en tiempo real, la observabilidad o el mapeo de dependencias. Este artículo explica por qué el cumplimiento regulatorio se está convirtiendo en un desafío arquitectónico. También describe cómo es una respuesta creíble de modernización.

DORA (Reglamento de Resiliencia Operativa Digital) introduce requisitos estrictos para la resiliencia operativa, la notificación de incidentes, la gestión del riesgo TIC y la transparencia de los sistemas en todo el sector financiero europeo. Marcos regulatorios similares están surgiendo a nivel global, reflejando un enfoque cada vez mayor en el riesgo tecnológico y la resiliencia operativa. Las arquitecturas legadas a menudo carecen de las capacidades necesarias para cumplir eficazmente con estos requisitos, lo que hace que la modernización sea esencial tanto para el cumplimiento normativo como para la resiliencia a largo plazo.

Puntos clave

  • DORA y NIS2 exponen brechas arquitectónicas que las políticas por sí solas no pueden resolver
  • Los sistemas legados basados en procesamiento por lotes tienen dificultades para cumplir con los requisitos de detección y reporte en tiempo real
  • Las dependencias no documentadas debilitan las obligaciones de inventario de activos TIC
  • La concentración de riesgo en mainframe ahora es una preocupación de los supervisores
  • Un programa de modernización documentado es la postura regulatoria más sólida

¿Por qué DORA crea un problema arquitectónico para los sistemas legados?

DORA (Reglamento de Resiliencia Operativa Digital) requiere capacidades que las arquitecturas legadas nunca fueron diseñadas para entregar.

DORA ya no es un ejercicio de cumplimiento futuro. Está en vigor, se aplica activamente y se centra en la resiliencia operativa, la observabilidad y el control. Muchos entornos legados pueden cumplir con los requisitos de documentación, pero tienen dificultades para cumplir con los arquitectónicos.

El procesamiento por lotes, las dependencias no documentadas y las plataformas de un solo proveedor crean brechas que no pueden cerrarse únicamente mediante mejoras de procesos.

DORA no es solo un desafío de cumplimiento. Es un catalizador de modernización.

¿Por qué el inventario de activos TIC es tan difícil en entornos legados?

En la mayoría de los entornos legados, las dependencias críticas están incrustadas en el código, no en la documentación.

DORA exige un inventario continuamente preciso y auditable de los activos TIC y sus interdependencias. En muchos entornos mainframe, estas relaciones solo existen en cadenas de procesos batch, programadores de tareas y conocimiento informal mantenido por ingenieros con larga antigüedad.

El mapeo automatizado de dependencias se está convirtiendo cada vez más en la única forma creíble de cumplir este requisito y, al mismo tiempo, en la base de cualquier hoja de ruta de modernización realista.

¿Por qué los sistemas legados no pueden cumplir con los requisitos de reporte de incidentes en tiempo real?

Las arquitecturas legadas detectan incidentes demasiado tarde, a menudo solo después de que se completan los ciclos batch.

DORA exige la detección y notificación de incidentes TIC significativos en cuestión de horas. Los sistemas basados en procesamiento por lotes retrasan la visibilidad hasta que finalizan los procesos programados, lo que dificulta o impide una respuesta oportuna.

La observabilidad moderna, el monitoreo en tiempo real, el tracing y las alertas no pueden incorporarse de forma efectiva a arquitecturas que nunca fueron diseñadas para ello. Esto no es una brecha de gobernanza. Es una limitación de diseño.

Esto también explica por qué muchas iniciativas de IA fracasan en entornos legados sin datos en tiempo real ni sistemas de observabilidad, reforzando la necesidad de modernización con IA.

genericImageAlt

¿Cómo cambia DORA el perfil de riesgo de las dependencias en mainframe?

Convierte dependencias largamente aceptadas en riesgos de concentración explícitos.

DORA exige que las instituciones identifiquen y gestionen el riesgo de concentración en proveedores TIC de terceros. Los sistemas core que dependen de:

  • Un único proveedor de hardware
  • Una única capa de middleware
  • Un grupo de talento cada vez más reducido

ahora entran directamente dentro del alcance de supervisión regulatoria.

Aunque DORA no obliga a una salida inmediata de los mainframes, sí requiere que las instituciones demuestren una gestión activa del riesgo y su reducción a lo largo del tiempo.

Por lo tanto, los esfuerzos de modernización pasan de ser una iniciativa de costos a convertirse en una necesidad regulatoria.

¿Cómo es una respuesta regulatoria creíble?

Los supervisores no buscan perfección. Buscan control y ejecución.

La posición más sólida es un programa de modernización documentado y aprobado por el directorio que mapee explícitamente la remediación arquitectónica con los requisitos regulatorios. Las instituciones que pueden demostrar progreso estructurado están mucho mejor posicionadas que aquellas que dependen de intenciones o planes futuros.

En la práctica, esto significa ir más allá de soluciones aisladas hacia una modernización de extremo a extremo, desde el mapeo de dependencias y el rediseño de la arquitectura hasta la observabilidad en tiempo real y bases de datos listas para IA. Estas capacidades también son esenciales para el éxito de las iniciativas de modernización con IA, permitiendo a las organizaciones escalar la IA sobre fundamentos tecnológicos resilientes, observables y conformes.

Marcos regulatorios similares están emergiendo a nivel global. Regulaciones como las de resiliencia operativa del Reino Unido, CPS 230 de Australia, las Directrices de Gestión de Riesgo Tecnológico de MAS en Singapur y NIS2 refuerzan la necesidad de mayor resiliencia, visibilidad del riesgo tecnológico y gestión efectiva de sistemas y dependencias críticas. Aunque los detalles regulatorios difieren, la dirección es clara: las organizaciones deben fortalecer las bases arquitectónicas que soportan las operaciones críticas del negocio.

Fortalece tu estrategia de modernización con IA para la preparación regulatoria.

gft-contact-carlos-kazuo.png

Carlos Kazuo Missao

Global Head of Innovation Solutions
message
dataProtectionDeclaration