Seis pasos para mejorar la resiliencia operativa en los servicios financieros con Microsoft Cloud
A medida que la tecnología impulsa una transformación sin precedentes en los servicios financieros, la resiliencia operativa se ha convertido en un área de atención cada vez mayor para las instituciones financieras, los reguladores y los proveedores de tecnología por igual. Las instituciones están utilizando proveedores de servicios externos para manejar una amplia gama de servicios, incluidas operaciones críticas. Esto ofrece enormes beneficios en innovación, flexibilidad y eficiencia, por nombrar solo algunos. Sin embargo, a menos que el uso de dichos servicios pueda gestionarse adecuadamente, los riesgos potenciales para las instituciones (así como los riesgos sistémicos para el ecosistema) pueden convertirse en áreas de preocupación.
Es por eso que tan solo en los últimos meses, la industria está viendo una ola de nuevas propuestas y regulaciones en el sector de servicios financieros, que en conjunto apuntan a mejorar la resiliencia operativa y mitigar el riesgo para que las instituciones puedan modernizarse con confianza. En junio de 2023, el Consejo de Estabilidad Financiera (FSB), una organización internacional que monitorea y hace recomendaciones sobre el sistema financiero global, emitió un documento de consulta titulado Mejora de la gestión y supervisión de riesgos de terceros que proporciona un conjunto de herramientas para reducir la fragmentación, mitigar los costos de cumplimiento y facilitar la coordinación entre las partes interesadas. Otros avances incluyen nueva legislación relativa a la designación y supervisión de proveedores externos críticos en Europa;1 una propuesta para la supervisión regulatoria de proveedores externos críticos en el Reino Unido;2 y nueva guía para proveedores externos en los Estados Unidos3 y Canadá.4
Microsoft se dedica a trabajar en toda la industria, incluidas instituciones, socios tecnológicos y reguladores, para garantizar la adopción responsable de servicios en la nube, inteligencia artificial y otras tecnologías emergentes. También ofrecemos un amplio conjunto de recursos de soporte para los clientes, incluido el Programa de cumplimiento para Microsoft Cloud, un servicio premium de “guante blanco” creado específicamente para apoyar a los profesionales de riesgo y cumplimiento.
Mejorar la resiliencia operativa en todo el ecosistema de servicios financieros
Los recientes avances regulatorios afectan a todos los continentes y jurisdicciones y tienen amplias implicaciones sobre la forma en que las empresas financieras compran, implementan y gestionan una amplia gama de servicios y tecnologías. En conjunto, estas propuestas se centran en estos cinco pilares:
- Implementar fuertes controles y prácticas de gestión de riesgos.
- Garantizar suficiente transparencia y seguimiento de los servicios en la nube.
- Gestionar el riesgo de concentración.
- Desarrollar y probar planes de continuidad del negocio.
- Implementar estrategias y planes de salida.
El conjunto de herramientas del FSB está diseñado para “reducir la fragmentación de los enfoques regulatorios y de supervisión en todas las jurisdicciones” y “promover la interoperabilidad de los enfoques regulatorios y de supervisión”. Creemos que esto no solo es sensato sino que debería ser una consideración primordial para los reguladores en la implementación de sus regímenes regulatorios relacionados con el riesgo de terceros en el futuro.
Un modelo de seis pasos para la resiliencia de los servicios financieros
A medida que los servicios en la nube se vuelven más prominentes, la importancia de mantener y mejorar la resiliencia operativa es primordial para garantizar la seguridad y solidez del ecosistema financiero.
A continuación se muestra el proceso de seis pasos que recomendamos seguir a las empresas para abordar los requisitos regulatorios en la gestión del riesgo de terceros y la resiliencia operativa.
1. Actualizar la gobernanza de riesgos en la nube
Las empresas deben centrarse en “servicios críticos” y adoptar “un enfoque holístico basado en el riesgo para la gestión de riesgos de terceros”.5 El proceso consultivo de la Ley de Resiliencia Operacional Digital (DORA) de la Unión Europea también sigue este enfoque en su borrador. Norma Técnica Regulatoria sobre gestión de riesgos TIC.
Para ayudar a las empresas en este sentido, Microsoft proporciona una variedad de funciones de servicio para brindar supervisión y monitoreo continuos de los servicios en la nube utilizados, incluidos Microsoft Azure Service Health, que proporciona una vista global del estado de todos los servicios de Azure en todas las regiones; Microsoft Defender for Cloud, que ofrece una puntuación segura que evalúa la postura y las configuraciones de seguridad de una empresa; y Microsoft Purview Compliance Manager, que evalúa y gestiona el cumplimiento en entornos de múltiples nubes.
2. Identificar la concentración
Las empresas deben identificar dónde los servicios críticos están siendo prestados por un único proveedor de servicios de manera que puedan crear un nivel tan alto de dependencia que problemas como la indisponibilidad, fallas u otras deficiencias podrían amenazar la capacidad de la empresa para desempeñar sus propias funciones importantes. Esto debería hacerse antes de celebrar acuerdos contractuales y las evaluaciones deberían incluir si el servicio de un proveedor puede sustituirse y cuáles podrían ser los beneficios y costos de las soluciones alternativas.6
3. Evaluar alternativas
Puede que no siempre sea apropiado o factible recuperar un servicio crítico internamente o establecer un enfoque de múltiples proveedores. Las alternativas deben sopesarse frente a posibles inconvenientes, consecuencias no deseadas y riesgos.7 Tenga en cuenta que en escenarios que dependen de Microsoft como proveedor externo, la concentración de servicios se puede abordar mediante regiones y zonas de disponibilidad de Azure. Las empresas deben documentar qué alternativas son viables y se ajustan a la tolerancia al riesgo de su organización.
4. Diseño para la resiliencia
Al delinear alternativas, es importante reconocer que no siempre es factible o deseable incorporar una amplia gama de soluciones potenciales. Un enfoque único en la nube, al considerar todos los factores, puede terminar ofreciendo una solución general más resiliente. Además, puede evitar los inconvenientes de la complejidad inherente y adicional al implementar entornos de múltiples nubes.
5 y 6. Probar el plan de continuidad del negocio y preparar planes de salida
Algunos de los escenarios de amenazas más extremos deben considerarse en su totalidad, incluidos desafíos como la pérdida de un centro de datos o la terminación de toda una relación con un proveedor. La mejor manera de lograr esto es centrándose en la gestión de la continuidad del negocio (BCM), las pruebas y la planificación de salida.
Fomento de la interoperabilidad con una regulación tecnológicamente neutral y basada en principios
Dado que el mercado en sí está interconectado y tiene un alcance global, uno de los desafíos tanto para las empresas como para los proveedores de tecnología es cómo abordar innumerables requisitos regulatorios en todas las jurisdicciones. La aplicación de un enfoque basado en principios permitirá a los reguladores y a la industria adaptarse a tecnologías innovadoras en el futuro. De hecho, el FSB señala que “la interoperabilidad de los enfoques regulatorios y de supervisión en el sector de servicios financieros es particularmente importante para las instituciones financieras sujetas a múltiples marcos regulatorios y de supervisión nacionales o regionales”.8
En un mundo globalmente conectado, estos enfoques generales no solo pueden generar sinergias sino también mejorar la supervisión regulatoria y abordar el riesgo de manera coherente y efectiva. Respaldamos la recomendación del FSB de que “los ejercicios multisectoriales y en todo el sector financiero pueden ser una forma valiosa de explorar y mejorar la capacidad colectiva del ecosistema de servicios financieros para responder y recuperarse de las perturbaciones”.9 Esto puede acelerar la convergencia de estándares globales sólidos que mejorarán la resiliencia general y al mismo tiempo minimizarán la necesidad de superposición de regulaciones regionales.
El futuro de la supervisión regulatoria
Dada la naturaleza estandarizada de la nube, creemos que la cooperación regulatoria beneficiará tanto a las instituciones financieras, como a los reguladores y a los proveedores de la nube. Esperamos apoyar este diálogo para facilitar enfoques comunes y la alineación en el lado regulatorio, y acogemos con agrado nuevas ideas sobre cómo lograr el objetivo de gestionar el riesgo y apoyar la innovación responsable para la industria.
Para obtener más información sobre cómo Microsoft contribuye a los esfuerzos para mejorar la resiliencia, lea nuestro informe técnico, “Fortalecimiento de la resiliencia operativa en los servicios financieros” y visite nuestro Portal de confianza de servicios. Como se señaló, para obtener ayuda personalizada en la evaluación de riesgos y el cumplimiento de los requisitos de cumplimiento normativo, ofrecemos el Programa de cumplimiento para Microsoft Cloud, que incluye conexiones con expertos en la materia y recursos detallados. Y manténgase atento a este blog para obtener más actualizaciones sobre riesgos, cumplimiento y servicios en la nube en los próximos meses.
Programa de cumplimiento para Microsoft Cloud
Acelere su adopción de la nube.
1 La Ley de Resiliencia Operacional Digital (DORA).
4 Gobierno de Canadá, Directriz de gestión de riesgos de terceros, abril de 2023.
6 Ley de Resiliencia Operacional Digital (DORA), artículos 28, 29.
