// 002Sector Financiero · Banca / Seguros

Zero Trust bajo
Regulación DORA

Zero TrustDORA / NIS2Entra IDDefenderPurview
1er intentoauditoría DORA superada
42% → 87%Secure Score en 9 meses
0incidentes graves durante la transformación

Situación del cliente

Entidad financiera mediana sujeta a la regulación DORA (Digital Operational Resilience Act) y NIS2 operaba con un modelo de seguridad perimetral tradicional: firewall, VPN y Active Directory on-premise sin sincronización completa con la nube. La identidad corporativa no contaba con MFA universal, los dispositivos no tenían gestión MDM y la protección del dato era inexistente más allá del cifrado en disco.

Con la fecha límite regulatoria aproximándose y sin una hoja de ruta clara, la entidad necesitaba transformar su postura de seguridad sin interrumpir las operaciones bancarias diarias de miles de usuarios.

Retos

  • Transformar la arquitectura de seguridad de modelo perimetral a Zero Trust en menos de 12 meses con plazo regulatorio inamovible
  • Cumplir artículos específicos de DORA relativos a TIC: gestión de riesgos, pruebas de resiliencia operativa y reporting de incidentes al regulador
  • Implementar MFA universal en miles de empleados con perfiles muy heterogéneos sin impactar la productividad
  • Proteger datos sensibles (PII, datos de transacciones, información de clientes) cumpliendo GDPR y DORA simultáneamente
  • Construir un marco de evidencias auditables que demostrara el cumplimiento ante el supervisor financiero

Solución implementada

  • Microsoft Entra ID con Conditional Access granular: MFA adaptativo por aplicación, riesgo y contexto. Migración de AD on-premise a identidad híbrida con Entra Connect
  • Microsoft Defender for Endpoint + Intune: gestión unificada de dispositivos (MDM/MAM) con compliance policies y acceso condicional por estado del dispositivo
  • Microsoft Purview: clasificación y etiquetado automático de la información, políticas DLP activas en email, Teams y SharePoint, y protección de datos sensibles regulados
  • Defender for Cloud Apps: visibilidad y control del shadow IT, gobernanza de aplicaciones SaaS de terceros y detección de comportamientos anómalos
  • Microsoft Sentinel: integración del ecosistema completo para reporting de incidentes en formato requerido por DORA, con playbooks de notificación automática al regulador

Ventajas para el cliente

1er intentoAuditoría regulatoria DORA/NIS2 superada sin observaciones críticas
42% → 87%Mejora del Secure Score de Microsoft en 9 meses de implantación
0 incidentesgraves de seguridad durante todo el período de transformación
Reporting activoMarco de notificación de incidentes al regulador operativo y aceptado