4 pasos para la venta de PowerApps en servicios financieros
El impacto de la pandemia COVID-19 ha cambiado la forma en que las instituciones financieras, los clientes y los empleados harán negocios e interactuarán entre sí. La necesidad de adaptarse para permitir el trabajo a distancia, emplear servicios conectados digitalmente a los clientes, e incluso construir nuevos modelos de negocios, requiere velocidad, agilidad y aplicación de medidas adaptativas al cambio constante. Lo que no ha cambiado es la necesidad de resiliencia operativa y la continuidad empresarial. De hecho, los reguladores de los servicios financieros esperan que las instituciones garanticen que las operaciones comerciales sigan siendo resistentes en este entorno, de modo que la liquidez y los servicios bancarios y de seguros relacionados sigan siendo sólidos para las operaciones críticas. Teniendo esto en cuenta, las instituciones financieras están acudiendo más a los servicios en la nube para cumplir con estos requisitos y mantener la resiliencia operativa de sus operaciones básicas, incluidas las funciones críticas e importantes de la institución.
No es sorprendente que, a pesar del impacto recesivo de la COVID-19 en muchos sectores, los servicios financieros no solo se hayan mantenido resistentes y funcionando, sino que la nube se está convirtiendo en una parte cada vez más importante de la ecuación para proporcionar los componentes fundamentales que permiten la agilidad y la resiliencia necesarias para mantener prósperas las operaciones bancarias y de seguros. Esto ha dado lugar a un aumento en la adopción de la nube, particularmente para servicios como Microsoft Teams que han permitido a las instituciones migrar rápidamente a la fuerza de trabajo remota y al servicio remoto de atención al cliente. A medida que la adopción de la nube aumenta y se vuelve más frecuente para las operaciones clave, esto ha llevado a discusiones y preguntas constantes sobre el riesgo de concentración. Es decir, ¿el uso de servicios en la nube, particularmente con un solo proveedor, plantea problemas de riesgo de concentración sistémica y, de ser así, qué significa esto para las instituciones que eligen un proveedor en la nube para cargas de trabajo importantes y materiales?
Los reguladores de servicios financieros de todas las jurisdicciones han identificado el riesgo de concentración como un factor a tener en cuenta al evaluar el riesgo de la subcontratación. Dicho riesgo tiene dos componentes: i) microriesgo, en el que la dependencia de un único proveedor para las operaciones básicas puede presentar un riesgo indebido de operaciones si existe un único punto de quiebra, y ii) macroriesgo, en el que la dependencia de las empresas financieras dentro del ecosistema depende tanto de un proveedor que un único punto de quiebra puede causar un riesgo sistémico amplio para las operaciones del sector de servicios financieros. En particular, este riesgo no es exclusivo de los servicios en la nube y, como comentó el Bank of England en su Documento de Consulta sobre Externalización y Gestión de Riesgos de Terceros, “un pequeño número de tercerizadores han dominado tradicionalmente la provisión de ciertas funciones, productos o servicios a empresas, como los cajeros automáticos y mainframes de TI”. En otras palabras, la cuestión del riesgo de concentración no es totalmente nueva, sino que ha sido una característica del sector de los servicios financieros durante décadas.
Si bien la nube sigue siendo relativamente incipiente en comparación con los proveedores arraigados de sistemas heredados, como el mainframe, su creciente adopción significa que las instituciones financieras deben tener en cuenta y mitigar los problemas de microriesgo de concentración en el uso de los proveedores de nube. De hecho, el Banco de Inglaterra declaró que “esperará que las empresas evalúen los requisitos de resiliencia del servicio y los datos subcontratados y determinen cuál de las opciones de resiliencia en la nube disponibles es la más apropiada. Estas pueden incluir múltiples zonas de disponibilidad, regiones o proveedores de servicios ”1.
Si bien reconoce que el riesgo de concentración es un área para monitorear, la PRA del Reino Unido identifica igualmente que “si se configuran correctamente, los servicios en la nube pueden mejorar significativamente la resiliencia operativa de las empresas financieras individuales”2. Las instituciones financieras no deben perder de vista esto al evaluar dichos riesgos y estrategias al adoptar servicios en la nube y otras formas de externalización.
A pesar de la naturaleza fragmentada de los sistemas heredados dentro de las instituciones financieras, existen medidas para mitigar estos riesgos de punto único de falla, y Microsoft tiene capacidades incorporadas para ayudar a los clientes a contrarrestar dichos riesgos, por lo que sus operaciones no solo permanecen resistentes sino que funcionan de manera segura y sólida. Además, a nivel institucional, las propias operaciones de Microsoft están sujetas a una supervisión rigurosa de la gestión de riesgos, lo que supone la responsabilidad de todos los servicios que, en última instancia, están bajo la supervisión de la Junta Directiva de Microsoft. Juntos, esta amplia gama de recursos y medidas ayudan a mitigar tanto las preocupaciones de microriesgo con una sola institución, como a disipar problemas más amplios a nivel macro, particularmente dada la naturaleza distribuida de la subcontratación dentro del sector y la fuerte competencia entre los proveedores tradicionales y los actores más recientes, incluidos los proveedores de nube a hiperescala.
Estabilidad de nivel empresarial
Al elegir cualquier proveedor, la estabilidad institucional y las prácticas generales de gestión del riesgo institucional son factores importantes que deben tenerse en cuenta y evaluarse desde una perspectiva general de gestión del riesgo. Durante más de 20 años, Microsoft se ha posicionado de manera única y consistente entre las 10 principales empresas de capitalización del mercado en el mundo, independientemente de las recesiones económicas y otros cambios dinámicos de sector. Además, Microsoft tiene una calificación AAA en Standard & Poor ‘s, siendo una de las dos únicas empresas con ese estatus. Si bien la dinámica del mercado puede cambiar, Microsoft se ha adaptado a los cambios en el mercado para satisfacer la demanda de los clientes y abordar la dinámica competitiva, lo que resulta en un rendimiento y estabilidad insuperables.
Medidas de la nube en hiperescala
Como punto de partida, la arquitectura distribuida de la nube a hiperescala proporciona una resiliencia significativa. A modo de ejemplo, Microsoft proporciona 99.9 por ciento de tiempo de actividad en sus SLA como estándar, pero con la configuración para usar zonas de disponibilidad, lo que aumenta a un 99.99% y, para servicios modernos como Cosmos DB (Plataforma como servicio), sube a 99.999%. Además, las inversiones de Microsoft en la construcción de una “diversidad de servicios” dentro de nuestra infraestructura que tienen redundancias incorporadas para mitigar las fallas, al igual que los sistemas de diseño de ingeniería en aviones. Por ejemplo, en el nivel de la de plataforma, tenemos dos infraestructuras DNS configuradas activa/activa, una Windows y una Linux; tenemos múltiples proveedores de gasolina para nuestros generadores; y dos cables marinos subterráneos que conectan los EE. UU. con Europa. Junto con una dimensión de centro de datos que se expande a todas las regiones del mundo en más de 60 regiones, los clientes pueden aprovechar al máximo estas diferentes regiones para maximizar las cargas de trabajo en múltiples regiones para mitigar los riesgos de un único punto de falla.
Medidas de seguridad
A través de la automatización, la escala y la redundancia distribuida, la nube en hiperescala mitiga aún más los riesgos de varios ataques, ya sean ataques de día cero, ataques de canal lateral o ataques de ransomware, la nube ofrece soluciones para mitigar riesgos que pueden ser más pronunciados en entornos locales heredados. Por ejemplo, durante los ataques de Spectre y Meltdown, Microsoft pudo reparar su ambiente a través de la automatización y escalar mucho más rápidamente que los clientes con sus entornos heredados. Por lo tanto, nuestros servicios en la nube no se vieron afectados como resultado de ello. Para ataques de canal lateral, los hackers deben ejecutar código en las mismas máquinas físicas en las que se ejecuta un sistema bancario, pero con servicios en la nube. Esto significa que deben conocer la ubicación física de los servidores donde se almacenan los datos del cliente y deben permanecer dentro de ese entorno durante cierto tiempo. Dado que los servicios en la nube se distribuyen constantemente y no se colocan en ningún entorno durante un período de tiempo significativo, el riesgo de que dichos ataques tengan éxito es bastante bajo. Finalmente, al abordar los riesgos de ransomware, los servicios en la nube de Azure proporcionan copias de seguridad de los datos con espacio aéreo, lo que proporciona escenarios que mantienen la continuidad para que los datos se puedan conservar en un entorno separado, que es como los clientes con requisitos de seguridad nacional gestionan dicho riesgo.
Conformidad
Microsoft ha invertido mucho para permitir que los clientes cumplan con sus obligaciones de conformidad normativa en servicios financieros. No solo proporcionamos características de conformidad integradas para abordar los requisitos clave, sino que cumplimos con la gama más amplia de certificaciones y estándares en la industria, más de 90, que abarcan más de 50 regiones y países. Nuestra base de conocimientos para apoyar a los clientes incluye un amplio compromiso con los reguladores de servicios financieros, apoyar a los clientes en sus evaluaciones de riesgos y proporcionar auditorías de nuestros servicios en la nube cuando sea necesario. Además, hemos proporcionado soporte y documentación para ayudar a los clientes en la continuidad del negocio y la planificación de salida, un requisito clave para abordar y gestionar el riesgo de concentración en el uso de nuestros servicios en la nube. Juntos, en asociación con nuestros clientes y en colaboración continua con los reguladores de servicios financieros, creemos que el riesgo de concentración es como cualquier otro riesgo que se pueda gestionar con una gobernanza, supervisión y asociación adecuadas con Microsoft.
Recursos de Microsoft
Para obtener más información sobre el riesgo de concentración, haz clic aquí y lea nuestro libro blanco, Riesgo de concentración: Perspectivas de Microsoft. Para acceder a recursos adicionales y obtener más información sobre cómo Microsoft admite el sector de servicios financieros, visite nuestro sitio web aquí.
Referencias
1 The PRA Outsourcing Consultation, párrafo 2.42.
2 Consulta de subcontratación de PRA, párrafo 2.5.
