En los últimos meses, en distintas reuniones con clientes hay un patrón que se repite más de lo que uno esperaríamos: cuando mencionamos DORA, la respuesta suele ser silencio, o una pregunta directa que dice mucho más de lo que parece —“¿eso nos aplica?”—. Y es precisamente por eso que decidimos escribir este artículo.
Porque, más allá de si aplica hoy, mañana o en unos años, DORA ya está marcando el estándar hacia el que se está moviendo la gestión del riesgo tecnológico a nivel global; y entender su relación con ISO 27001 no es un ejercicio académico ni una conversación técnica aislada, sino una discusión estratégica que conviene tener antes de que sea impuesta por el regulador… o por un incidente
Hoy, la operación financiera descansa sobre una arquitectura que, aunque sofisticada, también es frágil en su propia complejidad: proveedores cloud, plataformas externas, integraciones múltiples, datos que fluyen constantemente entre sistemas que no siempre están bajo control directo.
El problema no es la tecnología, el real problema es el nivel de dependencia… y la velocidad con la que un fallo puede escalar.
Y es ahí donde aparece una tensión que vemos con frecuencia: organizaciones con marcos sólidos, incluso bien auditados, pero con una visibilidad limitada sobre lo que realmente ocurriría si esa red —invisible en el día a día— deja de responder.
ISO 27001: el orden que transformó la seguridad
En ese contexto, ISO 27001 marcó un antes y un después, al permitir que las organizaciones pasaran de controles dispersos a un sistema estructurado, gestionado, auditable y en mejora continua, facilitando no solo la implementación de controles, sino la capacidad de entender, estructurar y gestionar el riesgo de la información con criterio.
Hoy, más de 70,000 organizaciones en más de 150 países lo utilizan (ISO Survey 2022), consolidándose como el estándar de referencia en seguridad de la información.
ISO 27001 está diseñado para proteger, no necesariamente para sostener la operación cuando la protección no alcanza.
DORA (Digital Operational Resilience Act)
Surge como consecuencia directa de un sistema financiero cada vez más digital… y, por lo tanto, cada vez más expuesto.
Impulsado por la European Commission, este reglamento aplica hoy a más de 22,000 entidades financieras y proveedores tecnológicos, y plantea un cambio de lógica que no es menor:
- No basta con gestionar riesgos → hay que probar resiliencia
- No basta con tener controles → hay que responder en tiempo real
- No basta con conocer proveedores → hay que gestionar dependencias críticas
DORA mide lo que ocurre cuando el sistema es exigido de verdad.
Entonces…
ISO 27001 cubre aproximadamente el 90% de las bases que DORA exige, pero ese 10% restante concentra justamente lo más complejo, lo menos documentable y lo más crítico en escenarios reales.
ISO 27001 vs DORA- lo que realmente cambia
| Dimensión | ISO/IEC 27001:2022 | DORA |
| Naturaleza jurídica | Estándar voluntario, certificable | Reglamento obligatorio con fuerza de ley |
| Ámbito de aplicación | Cualquier sector, cualquier tamaño | Sector financiero europeo y proveedores TIC |
| Enfoque central | Protección de la información (confidencialidad, integridad, disponibilidad) | Continuidad operativa ante disrupción digital |
| Pruebas de resiliencia | Sin requisito específico de red-teaming | TLPT (Threat-Led Penetration Testing) obligatorio cada 3 años para entidades significativas |
| Gestión de terceros | Controles recomendados | Registro obligatorio, cláusulas exigentes y supervisión directa |
| Reporte de incidentes | Sin plazos regulatorios definidos | Notificación en 24h y reporte en 72h |
| Responsabilidad | Interna, organizacional | Directorio responsable ante regulador |
| Prueba de cumplimiento | Auditoría de certificación | Supervisión continua y enforcement activo |
ISO 27001 busca evitar el incidente.
DORA parte de una premisa más realista: el incidente va a ocurrir… y hay que estar preparados para sostener el negocio cuando ocurra.
Latinoamérica: más cerca de lo que parece
El costo promedio de una brecha en Latinoamérica ya supera los USD 3.6 millones, mientras los ciberataques no solo crecen en volumen, sino también en sofisticación y en capacidad de generar impacto real en el negocio. Y, además, hay un elemento que suele quedar fuera de la conversación: una parte importante de las operaciones críticas en la región ya depende de proveedores tecnológicos globales que están directamente dentro del alcance de DORA.
Aunque la regulación no sea local, la dependencia sí lo es.
Por eso, más que preguntarse si DORA aplica, empieza a tomar fuerza otra pregunta ¿qué tan expuestos estamos hoy sin darnos cuenta?
¿Qué pasa si pierdes un proveedor crítico por 72 horas?
¿Qué ocurre con los pagos?
¿Con los canales digitales?
¿Con la atención al cliente?
¿Con la toma de decisiones cuando la información no fluye?
En ese momento es donde se evidencia si la gestión de riesgos está realmente integrada en la organización… o si solo existe como estructura formal.
Porque la resiliencia se construye, se prueba… y, sobre todo, se demuestra cuando el entorno deja de ser predecible.
ISO 27001 sigue siendo fundamental y DORA eleva el estándar.
STAMM: El Arte de Domar el Riesgo
El verdadero riesgo es creer que aún hay tiempo.🛡️