Por Sara Codarlupo, Marketing Manager de Gigantics
El Reglamento DORA (UE 2022/2554) refuerza la resiliencia operativa digital del sector financiero en la UE, exigiendo controles demostrables para prevenir, gestionar y recuperarse de disrupciones TIC. En la práctica, converge con la seguridad de datos: reducir exposición, mantener control cuando intervienen terceros TIC y sostener evidencias consistentes en todo el ecosistema, no solo en producción.
Qué cambia con DORA para equipos de tecnología y datos
DORA incrementa el nivel de exigencia en tres dimensiones que afectan a cómo se gestionan datasets fuera de producción:
- Gobierno y control del riesgo TIC: políticas, procesos y controles técnicos definidos, operativos y revisables.
- Evidencia verificable: trazabilidad y resultados reproducibles que permitan demostrar ejecución de controles.
- Riesgo de terceros TIC: el control debe mantenerse cuando el dato se consume en proveedores y servicios externos.
En ejecución, esto se materializa en tres frentes:
- Seguridad: define políticas, segregación, acceso mínimo, monitorización y logging.
- Plataforma de datos/DevSecOps: implementa pipelines de publicación, transformaciones y validaciones.
- Gestión de terceros: gobierna inventario de proveedores, accesos, caducidad y evidencias asociadas.
Alcance en España: banca, pagos y aseguradoras
Al ser un reglamento europeo, DORA aplica en España de forma directa. El reglamento incluye explícitamente entidades del ámbito asegurador (aseguradoras y reaseguradoras, entre otras tipologías), además de un conjunto amplio de entidades financieras.
En incidentes TIC, las autoridades nacionales publican guías operativas para determinados sujetos obligados; por ejemplo, el Banco de España ha difundido documentación de proceso para notificación de incidentes graves bajo DORA en su ámbito.
Control del dato en entornos no productivos: requisito operativo y verificable
Los estándares técnicos complementarios de DORA sobre gestión del riesgo TIC concretan controles aplicables a entornos no productivos. En particular, establecen que los entornos no productivos deben almacenar únicamente datos de producción anonimizados, seudonimizados o aleatorizados, protegiendo la integridad y confidencialidad de esos datos.
También contemplan que el uso de datos de producción sin transformar pueda permitirse como excepción acotada en ocasiones específicas y por periodos limitados, con gobernanza asociada.
Operativamente, el control no se mide solo por endurecimiento del entorno; se mide por el ciclo de vida del dataset: qué entra, cómo se transforma, quién lo usa, cuánto tiempo existe y qué evidencia queda.
Cómo implementar datos seguros en cualquier entorno sin frenar el delivery
La forma de escalar cumplimiento y agilidad es convertirlo en un servicio interno: entregar datasets útiles por finalidad, con salvaguardas incorporadas, automatizadas y auditables.
Clasificación y reglas de tratamiento
Empieza por una clasificación de datos accionable y automatizable:
- Datos personales y categorías especiales (según contexto de negocio).
- Datos financieros y operativos (por ejemplo: cuentas, pólizas, siniestros, pagos, pricing, fraude).
- Identificadores y claves de relación (necesarios para consistencia).
- Secretos operativos: credenciales, tokens, claves API, certificados (no deben propagarse).
A cada clase, asigna una regla por defecto de transformación:
- Enmascaramiento para preservar formatos y utilidad operativa.
- Seudonimización cuando necesitas consistencia y trazabilidad controlada.
- Anonimización o aleatorización cuando el riesgo y el caso de uso lo exigen.
El criterio técnico es mantener utilidad minimizando reidentificación: consistencia por campo, preservación de formato y, cuando aplique, preservación de relaciones.
Publicación controlada de datasets por entorno y finalidad
Estandariza un flujo de publicación que produzca datasets listos para usar según destino:
- Selección de origen y alcance (tablas/campos, ventanas temporales, subconjuntos).
- Transformación aplicada con reglas versionadas.
- Validaciones automáticas: integridad referencial, constraints, distribuciones y checks de fuga.
- Publicación al entorno o destino (incluye proveedores si aplica).
- Caducidad y rotación: expiración automática del dataset y revocación de accesos.
Este enfoque reduce proliferación de copias y hace que la evidencia de control sea un subproducto del proceso.
Excepciones con aprobación, caducidad y trazabilidad
Cuando se requiera una excepción, conviértela en un procedimiento controlado:
- Solicitud con motivo, alcance, plazo y entorno.
- Aprobación por propietario del dato y Seguridad.
- Controles reforzados: segregación, acceso mínimo, logging exhaustivo.
- Expiración automática y evidencia de retirada o borrado.
Esto permite cumplir el requisito de excepción acotada y gobernada, en línea con los estándares técnicos.
Terceros TIC: control cuando el dato sale de tu perímetro
DORA refuerza la gestión del riesgo de terceros TIC y la necesidad de mantener un registro de acuerdos y dependencias TIC. Para equipos de datos, el punto crítico es asegurar que el control se mantiene cuando datasets se consumen en plataformas externas (cloud, servicios gestionados, consultoras o tooling).
En términos operativos, el control con terceros se sostiene con tres elementos:
- Inventario y clasificación de destinos: qué proveedores acceden a datos, con qué finalidad y bajo qué contexto (entorno, proyecto, servicio).
- Condiciones de salida: qué categorías de datos pueden compartirse, qué transformaciones son obligatorias y qué excepciones están permitidas.
- Trazabilidad hacia el proveedor: capacidad de reconstruir qué dataset se entregó a qué tercero y bajo qué vigencia, para revocar y demostrar control ante auditoría.
Con esto, el registro contractual se complementa con evidencia técnica de uso real.
Evidencia auditable: qué artefactos debe poder enseñar una entidad
Diseña evidencia por defecto. Un paquete mínimo por ejecución (publicación/entrega) debería incluir:
- Identificador del dataset y su versión (origen, alcance, timestamp).
- Reglas aplicadas (políticas y versión de transformaciones).
- Resultados de validaciones (integridad referencial, constraints, checks de fuga).
- Destino y vigencia (entorno, permisos, caducidad).
- Aprobaciones y justificación cuando aplique.
- Evidencia de expiración, retirada y borrado verificable.
Este esquema reduce fricción: auditoría interna y revisiones de cumplimiento se apoyan en artefactos consistentes, trazables y reproducibles.
Cómo encaja Gigantics en un programa de resiliencia operativa digital
Gigantics centraliza la entrega gobernada de datasets a entornos internos y de terceros, aplicando políticas de transformación y trazabilidad para reducir exposición de datos sensibles sin perder utilidad operativa.
- Políticas consistentes y versionadas de enmascaramiento, seudonimización, anonimización o aleatorización por dominio de datos.
- Mantenimiento de la integridad referencial: preservación de formatos, consistencia entre campos y relaciones.
- Evidencias por ejecución: registro de qué dataset se entregó, a qué entorno o tercero, qué reglas se aplicaron y cuál es su vigencia/caducidad, facilitando auditoría y control cuando el dato sale del perímetro.
