II Jornada DORA. Evolución, balance y perspectivas de un marco en transformación

Reglamento DORA: Del cumplimiento a la resiliencia estratégica

Numerosos profesionales de la ciberseguridad, expertos y empresas se reunieron, el 21 de enero en Madrid, en la II Jornada DORA, que se celebró bajo el lema «Evolución, balance y perspectivas de un marco en transformación». El encuentro, organizado por ‘Red Seguridad’ y la Fundación Borredá, contó con el patrocinio platino de Amazon Web Services, el patrocinio de Akamai Technologies, ESET España, Formalize, Leet Security, ManageEngine, NTT Data, Ondata International, S2Grupo y Trend Micro y el copatrocinio de Alhambra IT, Commvault, GMV y Rubrik.

II Jornada DORA
II Jornada DORA
II Jornada DORA
Ana Borredá (Fundación Borredá) y Yolanda Duro (Red Seguridad).
II Jornada DORA
Silvia Senabre (Banco de España), Juan Delfín (Incibe), Hazel Díez (Santander), Vanesa Gil (BBVA), Francisco Javier Baena (Seguros y Fondos de Pensiones), Daniel Largacha (Mapfre) y Andrés Ruiz (Ministerio para la Transformación Digital y de la Función Pública).
II Jornada DORA
Lilí López (Akamai).
II Jornada DORA
María Gutiérrez (NTT Data).
II Jornada DORA
Manuel Iranzo (S2 Grupo).
II Jornada DORA
Javier González (Grupo CaixaBank), Emiliano Astudillo (Allianz), Roberto Baratta (Abanca), Pablo Martínez (AWS), Adolfo Hernández (Sabadell Digital) y Yolanda Duro (Red Seguridad).
II Jornada DORA
Pablo Martínez (AWS).
II Jornada DORA
Ana Villaverde (Unicaja), Liliane Díez (AXA Seguros), Félix Rodríguez (Triodos Bank), Gustavo Lozano (ING Bank) y Daniel Largacha (Mapfre).
II Jornada DORA
Carlos Tortosa (ESET España).
II Jornada DORA
Juan Luis Fazzini (ViewNext) y Alfonso Pastor (Leet Security).
II Jornada DORA
Raúl Guillén (Trend Micro).
II Jornada DORA
Silvia Senabre (Banco de España), Damián Ruiz (Singular Bank) y Mabel González (Agencia de Ciberseguridad de la Comunidad de Madrid).
II Jornada DORA
Julio César Bastidas (Ondata International).
II Jornada DORA
Antonio Hernández-Briz (Formalize).
Berta Molina García / Fotos: Red Seguridad

La entrada en vigor del Reglamento DORA marcó un hito en la forma en la que las entidades financieras y aseguradoras debían abordar la resiliencia operativa digital. Bajo este paraguas, la sede de Cecabank en Madrid acogió, el 21 de enero, la II Jornada DORA. Un encuentro, bajo el lema «Evolución, balance y perspectivas de un marco en transformación», que sirvió para evaluar el impacto real de su implementación y extraer las primeras lecciones aprendidas.

Ana Borredá, presidenta de la Fundación Borredá; y Yolanda Duro, directora de Red Seguridad, inauguraron una jornada marcada por un año de la implementación de la normativa. «DORA es el reflejo de qué está pasando en el mundo; es un cambio de era marcado por la interdependencia», destacó Borredá.

A continuación, tuvo lugar la primera mesa redonda de la jornada. Este debate estuvo moderado por Andrés Ruiz, subdirector general de Seguridad Digital del Ministerio para la Transformación Digital y de la Función Pública; y contó con la participación de Silvia Senabre, jefa del Grupo de Riesgo Tecnológico del Banco de España; Juan Delfín Peláez, responsable del Sector Financiero del Instituto Nacional de Ciberseguridad; Hazel Díez, CISO Global de Santander; Vanesa Gil, Head of Information Security & Risk Management Governance de BBVA; Francisco Javier Baena, director de la División de Supervisión Tecnológica y de Innovación Digital de la Dirección General de Seguros y Fondos de Pensiones; y Daniel Largacha, SOC director de Mapfre.

Todos los ponentes coincidieron en que el Reglamento DORA no solo ha reforzado la resiliencia y la ciberseguridad del sector financiero, sino que ha ampliado el debate a otros actores y sectores que, hasta ahora, habían quedado al margen. En este sentido, se destacó especialmente el papel de la resiliencia como eje vertebrador de la normativa y su capacidad para mejorar la preparación del sistema financiero frente a incidentes tecnológicos y cibernéticos.

Para sectores como el asegurador, DORA ha supuesto un impulso relevante al trasladar el foco de la ciberseguridad más allá de la banca, respetando el principio de proporcionalidad y teniendo en cuenta la diversidad de perfiles de riesgo. No obstante, también se señalaron retos pendientes, como la necesidad de simplificar determinados procesos, avanzar en la convergencia entre autoridades y seguir profundizando en la gestión de riesgos derivados de la dependencia de terceros y de los grandes proveedores tecnológicos, especialmente en las organizaciones de menor tamaño, donde un solo eslabón débil puede comprometer a toda la cadena.

II Jornada DORA
Silvia Senabre (Banco de España), Juan Delfín Peláez (Incibe), Hazel Díez (Santander), Vanesa Gil (BBVA), Francisco Javier Baena (Seguros y Fondos de Pensiones), Daniel Largacha (Mapfre) y Andrés Ruiz (Ministerio para la Transformación Digital y de la Función Pública).

Hitos y desafíos del Reglamento DORA

Lilí López, Senior Security Sales Specialist de Akamai, intervino en la jornada con la ponencia «Visibilidad, clave para la resiliencia operativa», en la que abordó los tres aspectos más relevantes tras la entrada en vigor de DORA: los hitos alcanzados, el cambio de paradigma y los desafíos actuales a los que se enfrenta. La experta trasladó al auditorio que, en los cinco pilares sobre los que se asienta este reglamento —gestión de riesgos, reporte de incidentes, resiliencia operativa, gestión de terceros e intercambio de información—, «hay denominadores comunes». Incidió, además, en que la segmentación es una herramienta clave para garantizar la continuidad del negocio.

Con el objetivo de buscar una mayor protección, López también presentó un sistema enfocado en la segmentación centrada en la visualización, el mapeo y la aplicación de políticas.

A continuación, María Gutiérrez, experta en ciberseguridad de NTT Data, participó para hablar sobre» Lo que DORA ha hecho visible, dependencias, decisiones y puntos ciegos».  «2025 ha sido un año de transición que ha servido para conocer mejor nuestra organización y todo el ecosistema de proveedores», comentó.

La experta quiso poner de relevancia los elementos que han sido más disruptivos en este periodo. Por un lado, las dependencias: «Hemos intensificado nuestra externalización y hemos generado concentración de proveedores, con el riesgo que ello conlleva», aseguró en este sentido. Además, resaltó cómo la toma de decisiones ha supuesto un cambio cultural muy importante: «Antes se tomaban decisiones a nivel operativo, pero estas no escalaban», señaló. La experta mencionó un tercer elemento, los puntos ciegos. Explicó que estos son especialmente relevantes, entre otros, por la trazabilidad de los contratos.

Por su parte, Manuel Iranzo, Head of Professional Services de S2Grupo, intervino con la ponencia «Fijando el rumbo de DORA: cómo orientarse (y no perderse) en el riesgo de terceros». En ella, planteó la necesidad de gestionar riesgos de terceros. Expuso que, en el sector financiero, «siete de cada diez incidentes con impacto operativo involucran a proveedores TIC». Esto va unido a que «más de la mitad de los incidentes en Europa se originan en la cadena de suministros».

Por ello, Iranzo considera que son fundamentales la responsabilidad, la supervisión, la gestión de riesgos y la implicación de los órganos de dirección. Desde S2Grupo sugieren al respecto una solución que no se centra en la compra de un servicio, sino en la gestión del riesgo. «Proponemos desplegar una solución para la gestión a través de cinco etapas: perfilado, planificación, implementación, monitorización y salida», expuso.

Experiencias, dificultades y éxitos

La segunda mesa redonda de la jornada llevó por título «Desde la primera línea: experiencias, dificultades y éxitos en la aplicación de DORA». Moderada por Yolanda Duro, en esta charla participaron Goyo Caraballo Montaño, Information SecuritySecurity GRC del Grupo CaixaBank; Emiliano Astudillo, Head of Protection and Resilence Iberia de Allianz; Roberto Baratta, Director of Loss Prevention, Business Continuity and Security de Abanca; Adolfo Hernández, CISO de Sabadell Digital; y Pablo Martínez, FSI Compliance EMEA de Amazon Web Services.

Martínez analizó la implementación de DORA como proveedor tecnológico. Desde su perspectiva, destacó que, a nivel europeo, el reglamento pone el foco en el aprendizaje continuo. Explicó cómo los servicios tecnológicos operan en diversas geográficas. Por tanto, las entidades deben revisar diferentes arquitecturas para adaptarlas para ser más resilientes y cumplir así con el mandato de la normativa.

La gestión del riesgo de terceros y de proveedores tecnológicos fue el reto más mencionado durante el evento

En materia de seguridad, el representante de la empresa tecnológica puso de manifiesto cómo muchos de los ataques ya no son determinantes. «El uso intensivo de la inteligencia artificial permite respuestas a incidentes más rápidas para los clientes», aseguró. Desde su compañía, defienden una estrategia que se apoya en la «confianza y resiliencia» en entornos certificados y servicios acreditados.

Por último, Martínez destacó como fundamentales «la responsabilidad corporativa y la del cliente», así como la necesidad de elaborar guías alineadas con expectativas regulatorias del Reglamento DORA.

En esta mesa también se puso el foco en los cambios operativos que DORA ha introducido en las organizaciones, así como las principales dificultades y barreras encontradas durante su despliegue. Se manifestó cómo el reglamento está impulsando la revisión de arquitecturas, el diseño de entornos más resilientes y una respuesta a incidentes cada vez más rápida y automatizada, apoyada en tecnologías como la inteligencia artificial. Al mismo tiempo, se incidió en la importancia de la confianza, las certificaciones y la claridad en la distribución de responsabilidades entre proveedor y cliente, así como en el valor de la colaboración entre autoridades, entidades financieras y proveedores tecnológicos para alinearse con las expectativas regulatorias. No obstante, también se identificaron retos persistentes, entre ellos la elevada dependencia de terceros, la complejidad del mapeo tecnológico y la necesidad de avanzar hacia modelos de supervisión más claros y eficaces.

II Jornada DORA
Javier González (Grupo CaixaBank), Emiliano Astudillo (Allianz), Roberto Baratta (Abanca), Pablo Martínez (AWS), Adolfo Hernández (Sabadell Digital) y Yolanda Duro (Red Seguridad).

Cambio de enfoque

Tras una pausa para el café, cortesía de AWS, la jornada se reanudó con la mesa redonda «Ciberseguridad y negocio: de la obligación al valor estratégico». En torno a esta cuestión debatieron Ana Villaverde, directora de Continuidad y Resiliencia de Unicaja; Liliane Díez, directora de Seguridad, Calidad y Servicios Corporativos de AXA Seguros; Félix Rodríguez, Team Lead Information Security de Triodos Bank; y Gustavo Lozano, CISO Spain & Portugal y CISO Retail de ING Bank.

La charla, moderada por Daniel Largacha, SOC director de Mapfre, abordó cómo DORA ha actuado como palanca de transformación en la gobernanza y en la toma de decisiones de las entidades. En ella, se destacó que el reglamento ha reforzado el mensaje interno y ha facilitado la priorización gracias a su peso normativo, obligando a adaptar cuadros de mando y a sistematizar información clave, como los informes reales de gestión de riesgos, con el objetivo de mantener una organización sólida y alineada con los órganos de gobierno.

Desde una perspectiva más estratégica, se puso de relieve que la entrada en vigor de dicha legislación ha supuesto un cambio de enfoque al situar la resiliencia digital en la agenda de la alta dirección. Todos coincidieron en que la resiliencia ha dejado de ser un asunto exclusivamente tecnológico para convertirse en un elemento estratégico empresarial, capaz de aportar valor al negocio al identificar actividades críticas y reforzar la fiabilidad de la organización. No obstante, también se identificaron aspectos como el solapamiento en el reporte de incidentes y se apuntó a la necesidad de homogeneizar criterios de exigencia, independientemente del país, apoyándose en pruebas de rendimiento y en el uso de inteligencia artificial.

II Jornada DORA
Ana Villaverde (Unicaja), Liliane Díez (AXA Seguros), Félix Rodríguez (Triodos Bank), Gustavo Lozano (ING Bank) y Daniel Largacha (Mapfre).

Aplicación del Reglamento DORA

A continuación, Carlos Tortosa, director de Grandes Cuentas de ESET España, participó para hablar sobre el Reglamento DORA y su aplicación. En su ponencia explicó cómo este reglamento protege de amenazas tecnológicas y cuáles son los desafíos a los que se enfrentan estas organizaciones. Tortosa destacó «la complejidad técnica, el cumplimiento continuo, las amenazas en evolución y la dependencia de terceros». Y para abordar estos retos, el representante de la empresa de ciberseguridad mencionó el desarrollo de ESET Proyect, una plataforma de ciberseguridad XDR que combina prevención, detección y búsqueda proactiva de amenazas de última generación basada en IA. Cuenta con la capacidad de detención continua de amenazas y supervisión las 24 horas del día, los siete días de la semana. Además, este profesional resaltó cómo su compañía es entidad colaboradora de ENISA y de fabricación cien por cien europea.

La jornada continuó con las intervenciones de Alfonso Pastor, director Comercial de Leet Security; y Juan Luis Fazzini Gorostieta, director de la Unidad de Desarrollo de Nuevo Negocio de ViewNext. Ambos trasladaron al auditorio cómo funciona DORA Compliance. Mediante el denominado DORA Passport, este servicio de Leet Security permite dar apoyo a entidades financieras con el cumplimiento de la mencionada normativa. «Creemos en un modelo que permita mejorar», indicó Pastor.

Como caso de éxito, Fazzini comentó qué llevó a ViewNext a implantar esta certificación. «Queríamos verificar que los procesos cumplían unos estándares y obtener garantía de cara a los clientes», explicó. «La propia experiencia facilitó reaprovechar trabajos y ser eficientes, evitando duplicidades», comentó el representante de ViewNext.

Raúl Guillén, Cybersecurity Strategist de Trend Micro, abordó la gestión del riesgo operacional, incidiendo en los desafíos. Estos se pueden transformar en oportunidades, tales como «una comunicación ejecutiva basada en datos, un posicionamiento como asesor estratégico, la integración operacional estratégica, la visibilidad total del ecosistema digital, la adopción segura y competitiva de la IA y operaciones autónomas e inteligentes». Estas seis ventajas las gestionan mediante Trend Vision One, una plataforma que permite la gestión de la exposición al ciberriesgo, las operaciones de seguridad y una protección por capas, lo que posibilita predecir y prevenir amenazas. En este sentido, ofrece una mayor visibilidad al eliminar puntos ciegos, prioriza al evaluar y clasificar los problemas de seguridad en función del impacto y la urgencia del negocio y mitiga los riesgos.

Las últimas barreras

La jornada se cerró con la mesa «DORA: Conclusiones: Consolidar, optimizar y anticipar los nuevos desafíos: hoja de ruta hacia 2026». Un panel que contó con la participación de Silvia Senabre, jefa del Grupo de Riesgo Tecnológico del Banco de España; y Damián Ruiz, CISO de Singular Bank; y Mabel González, subdirectora general de la Agencia de Ciberseguridad de Madrid.

En esta charla se puso de relieve el amplio consenso generado en torno al Reglamento DORA y su utilidad práctica para el conjunto del sector. Desde la visión de las entidades, se destacó que esta legislación ha supuesto «un espaldarazo» para avanzar en concienciación y para identificar carencias que requerían atención prioritaria. Entre las principales barreras señaladas figuran la gestión de proveedores externos y de activos, así como la necesidad de reforzar la gestión y el reporting de incidentes y de tomarse más en serio las pruebas de resiliencia, operativizando estos procesos en el día a día.

Se alertó, además, de que siguen produciéndose incidentes tecnológicos en terceros que no se comunican adecuadamente, lo que refuerza la importancia de avanzar en mecanismos de monitorización y supervisión de terceros. En este contexto, se apuntó a la necesidad de evolucionar hacia relaciones más transparentes y alineadas que permitan conocer realmente con quién se está trabajando y fortalecer un modelo de resiliencia basado en alianzas sólidas.

II Jornada DORA
Silvia Senabre (Banco de España), Damián Ruiz (Singular Bank) y Mabel González (Agencia de Ciberseguridad de la Comunidad de Madrid).

¿Cómo cumplir el Reglamento DORA?

Tras estas intervenciones, fue el turno de Julio César Bastidas, consultor senior de Ondata International. En la ponencia titulada «¿Cómo cumplir DORA? De la regulación a la evidencia con Nuix Neo», el experto presentó una solución que cubre los cinco requerimientos de DORA para dar una cobertura «jurídicamente defendible». «Las nuevas exigencias de DORA instan a las entidades financieras a demostrar la capacidad de recuperarse ante incidentes TIC, entre otros. Por ello, lo que facilita la plataforma Nuix Neo es una reducción de los plazos y un enfoque y solución resiliente. Esta herramienta es capaz de identificar datos sensibles, analizar impactos automáticamente, minimizar la superficie de riesgo, actuar y proteger, así como reportar con trazabilidad», apuntó Bastidas. Tal y como señaló el experto, esta plataforma permite «cumplir plazos críticos reduciendo impacto operativo y regulatorio mediante una resiliencia demostrable basada en datos».

La última intervención de la jornada corrió a cargo de Antonio Hernández-Briz, Enterprise Account Director de Formalize. Bajo el título «El ROI de DORA en dos clicks: cómo gestionar DORA de forma completa y automatizada con Formalize», Hernández-Briz expuso el objetivo de las herramientas GRC, cuyo objetivo es ayudar a las organizaciones a estructurar y ordenar la gestión del riesgo y el cumplimiento, logrando que toda la empresa «hable el mismo idioma». «Estas soluciones permiten mejorar las tareas del día a día y facilitan la gestión del cumplimiento de distintas normativas», completó.

En el contexto del Reglamento DORA, «las herramientas GRC ayudan a los clientes, en primer lugar, a centralizar la información en una única plataforma, lo que permite mantenerla controlada y actualizada. Cuando falta información, se pueden lanzar cuestionarios para que sean los propios proveedores quienes la aporten», finalizó.