Perspectivas del FSI | No. 53 | 16 de noviembre de 2023
por Ting Yang Koh y Jermy Prenio
PDF texto completo (700kb) | 26 páginas
El uso de la nube por parte de las empresas financieras, incluso para sus servicios críticos, ha aumentado a lo largo de los años y se espera que continúe haciéndolo. Una vez que un nivel significativo de servicios críticos se ha trasladado a la nube, una interrupción operativa importante en un proveedor de servicios en la nube (CSP) podría interrumpir la prestación de estos servicios y, por lo tanto, tener implicaciones sistémicas. Esto se ve exacerbado por el predominio de unos pocos CSP a nivel mundial. Sin embargo, el enfoque regulatorio predominante, según el cual se espera que las empresas financieras individuales gestionen sus riesgos frente a terceros, no adopta una visión sistémica. Este documento identifica algunas consideraciones para posibles marcos de supervisión para CSP críticos que tengan en cuenta su posible importancia sistémica, así como la naturaleza intersectorial y transfronteriza de sus operaciones.
Clasificación JEL: G20, G28, O38
Palabras clave: proveedor de servicios en la nube, CSP crítico
Sobre el FSI
El Instituto de Estabilidad Financiera (FSI) fue creado conjuntamente en 1998 por el Banco de Pagos Internacionales y el Comité de Supervisión Bancaria de Basilea. Su mandato es ayudar a los supervisores de todo el mundo a mejorar y fortalecer sus sistemas financieros.
Gestión del riesgo en la nube: algunas consideraciones para la supervisión de los proveedores críticos de servicios en la nube en el sector financiero
Resumen ejecutivo
El uso de la nube por parte de las empresas financieras ha ido aumentando a lo largo de los años y se espera que continúe haciéndolo. El paso a la nube se ha acelerado, especialmente durante los últimos años, a medida que las empresas avanzan en sus iniciativas de transformación y modernización digital a largo plazo después de la pandemia. En el caso de las empresas financieras, parece haber un aumento significativo en las cargas de trabajo críticas que han trasladado a la nube, aunque estas se mantienen en un nivel relativamente bajo.
El uso de la nube por parte de las empresas financieras presenta beneficios y riesgos. Los servicios en la nube permiten un acceso más fácil a la infraestructura y los servicios que, de otro modo, serían costosos o tardarían mucho tiempo en construirse y tendrían un gran costo de mantenimiento, lo que reduce el costo de los servicios financieros. Los grandes proveedores de servicios en la nube (CSP) pueden ofrecer un entorno de TI que es relativamente tan robusto como los que las empresas financieras individuales podrían crear en sus instalaciones. Sin embargo, la adopción de la nube introduce nuevos riesgos que tienen el potencial de afectar a las operaciones comerciales de las empresas financieras. Estos riesgos incluyen amenazas a la seguridad y privacidad de los datos, la disponibilidad del sistema, la continuidad de las operaciones, la interoperabilidad, la auditabilidad y el cumplimiento de los requisitos legales.
El predominio de un pequeño número de CSP exacerba estos riesgos. Tres actores dominan el mercado global de la nube y también son utilizados con frecuencia por empresas financieras en diferentes jurisdicciones. También puede haber CSP de importancia regional o nacional utilizados por empresas financieras. Como tal, la continuidad del negocio de muchas empresas financieras puede verse afectada por ataques cibernéticos e interrupciones en cualquiera de estos CSP. Esta ha sido una preocupación importante en los últimos años, como lo demuestran las recientes interrupciones de CSP en todo el mundo. El riesgo es más pronunciado y preocupante para los reguladores si las funciones críticas de las empresas financieras residen dentro del mismo CSP.
Se necesitan intervenciones regulatorias para abordar los riesgos derivados de la adopción de la nube. Normalmente, las responsabilidades de control se asignan entre el CSP y la entidad que adquiere sus servicios. Las empresas financieras que utilizan la nube tienen la responsabilidad de garantizar la disponibilidad, la resiliencia y la seguridad de los servicios que brindan a sus clientes en la nube, mientras que los CSP deben tomar medidas para hacer que el entorno general sea resistente y seguro. Sin embargo, es posible que las empresas financieras no tengan plena visibilidad de las medidas de gestión y control de riesgos adoptadas por los CSP. Además, si bien las empresas financieras tienen medidas a su disposición para garantizar la disponibilidad y la resiliencia de sus cargas de trabajo en la nube, como la adopción de un enfoque multizona y multinube, estas medidas pueden conducir a un aumento de los costos, la complejidad y la demanda de recursos para diseñar y operar en diferentes entornos de nube. Como tal, las empresas financieras por sí solas no tienen la capacidad de mitigar completamente los riesgos derivados de la adopción de la nube.
En algunas jurisdicciones, los CSP están sujetos a regulaciones horizontales o intersectoriales. Estos pueden incluir requisitos para registrarse o solicitar una licencia, así como cumplir con otros requisitos impuestos por las autoridades de tecnología de la información y las comunicaciones (TIC). También incluyen regulaciones de seguridad cibernética emitidas por las autoridades de seguridad cibernética que cubren una amplia gama de industrias. Otras jurisdicciones también cuentan con leyes o reglamentos que imponen requisitos a su infraestructura crítica, incluido el almacenamiento y el procesamiento de datos.
En el sector financiero, el enfoque predominante es la supervisión indirecta de los CSP, lo que puede no ser suficiente desde una perspectiva sistémica. Este enfoque se basa principalmente en que las empresas financieras gestionen los riesgos derivados de la adquisición de servicios de terceros y evalúen las posibles implicaciones de dichos servicios para su propia resiliencia operativa. Este enfoque no aborda realmente las limitaciones de las empresas financieras a la hora de evaluar y abordar los riesgos de CSP mencionados anteriormente. Además, si bien este enfoque puede abordar potencialmente los riesgos a los que se enfrentan las empresas individuales, puede no ser suficiente para abordar el posible impacto en el sistema financiero de una interrupción operativa de un CSP. Por lo tanto, algunas jurisdicciones tienen o están planeando tener un enfoque de supervisión más directo de los CSP que se consideran críticos para el funcionamiento del sistema financiero. También hay interés en muchas jurisdicciones en explorar esta posibilidad.
En este documento se identifican algunas consideraciones que deben tener en cuenta las autoridades financieras a la hora de introducir marcos de supervisión directa para los CSP críticos. En primer lugar, es posible que las autoridades financieras quieran aprovechar las regulaciones intersectoriales existentes emitidas por las autoridades de TIC y seguridad cibernética. En los casos en que ya existan reglamentos o leyes nacionales en materia de infraestructuras críticas, la intervención de supervisión directa de las autoridades financieras debe ser coherente con este enfoque. En segundo lugar, es importante mantener una estrecha coordinación con las autoridades no financieras pertinentes, ya que aportan los conocimientos especializados pertinentes. Una estrecha coordinación en el diseño y la aplicación de los requisitos pertinentes para los CSP por parte de diversas autoridades podría ayudar a garantizar la armonización de los requisitos y expectativas reglamentarios, así como a reducir las ineficiencias a la hora de relacionarse con los CSP. Y lo que es más importante, esta estrecha coordinación debería dar lugar a un flujo eficiente y eficaz de información, así como a medidas de respuesta y recuperación en caso de que un CSP crítico experimente una interrupción operativa sistémica.
Las estrategias de las autoridades financieras pueden diferir en función de sus mandatos legales. Si tienen mandatos legales para regular directamente los CSP, pueden considerar la posibilidad de introducir requisitos adicionales para los CSP críticos además de los reglamentos horizontales, teniendo en cuenta las preocupaciones específicas del sector financiero. Estos requisitos pueden incluir normas más estrictas de gestión de riesgos o resiliencia, o pruebas de resiliencia más frecuentes e intensivas y ejercicios de respuesta y recuperación ante incidentes. A fin de evitar el riesgo moral (es decir, que las empresas financieras transfieran su responsabilidad y rendición de cuentas de la gestión del riesgo de terceros a las autoridades financieras), la introducción de estos requisitos directos no debe eliminar las obligaciones de las empresas financieras en el marco del enfoque de supervisión indirecta. Si las autoridades financieras no tienen mandatos legales para supervisar los CSP y no hay autoridades horizontales pertinentes en sus jurisdicciones, las autoridades financieras deben reforzar el actual enfoque de supervisión indirecta. Podrían, por ejemplo, reforzar los requisitos para las empresas financieras que utilizan CSP críticos, con la expectativa de que estos requisitos se reflejen en los acuerdos de las empresas con los CSP.
Son necesarios mecanismos transfronterizos para la supervisión de un CSP crítico. Este es especialmente el caso cuando un CSP se considera crítico en varias jurisdicciones y no hay restricciones en el uso de centros de datos fuera de estas jurisdicciones por parte del CSP. En tales condiciones, la perturbación operativa del CSP puede tener repercusiones transfronterizas. Contar con mecanismos de supervisión transfronterizos también garantizará que los CSP críticos estén sujetos a reglamentos y normas coherentes en todas las jurisdicciones y evitará la duplicación innecesaria del trabajo regulatorio. Pero el primer paso es identificar los CSP que pueden ser críticos en múltiples jurisdicciones. En este sentido, los organismos mundiales de normalización podrían desempeñar un papel.
Los acuerdos de supervisión transfronteriza pueden ser informales o formales. Los acuerdos informales son grupos voluntarios que comparten información o mejores prácticas. También pueden utilizarse como plataforma para realizar pruebas o ejercicios de resiliencia conjunta ad hoc. Los acuerdos formales podrían adoptar la forma de un organismo colectivo de supervisión transfronteriza para un CSP específico. La organización de este organismo podría inspirarse en el régimen establecido para las instalaciones de importancia transfronteriza o en los colegios de supervisores. Los acuerdos formales pueden facilitar las mismas actividades que los acuerdos informales, pero los primeros podrían establecer medidas vinculantes que sean preventivas y correctivas. En cualquier caso, al igual que a nivel nacional, uno de los objetivos de estos acuerdos debe ser garantizar la capacidad de responder de manera eficiente y eficaz en caso de incidente transfronterizo y sistémico en el que participen uno o varios CSP.
Sección 1 – Introducción
1. La creciente dependencia de las empresas financieras de la tecnología y de los proveedores de tecnología, como los proveedores de servicios en la nube (CSP), pone de manifiesto la necesidad de que las autoridades financieras gestionen mejor los problemas de resiliencia operativa a nivel del sistema financiero. En los últimos años, las nuevas tecnologías están siendo cada vez más utilizadas por las empresas financieras. Algunas de estas tecnologías son proporcionadas como un servicio subcontratado por empresas de tecnología. El servicio en la nube es un ejemplo. En general, el uso de la nube por parte de una empresa financiera típica puede mejorar su seguridad de TI más allá de lo que la empresa por sí sola puede lograr. Sin embargo, dado que la prestación de servicios en la nube se concentra en gran medida en unas pocas empresas tecnológicas globales, las consecuencias para el ecosistema financiero de una interrupción operativa de un CSP podrían ser bastante graves, especialmente si las funciones críticas de las empresas financieras están en la nube. El impacto potencial también podría ser transfronterizo e intersectorial, dado el amplio alcance comercial de los pocos CSP líderes. Por lo tanto, las autoridades financieras pueden ver la necesidad de evaluar y gestionar el impacto probable de estas posibles interrupciones en la resiliencia operativa más allá del nivel de la empresa financiera individual.
2. El enfoque regulatorio predominante para el uso de CSP por parte de las empresas financieras puede no ser suficiente desde una perspectiva sistémica. El enfoque regulatorio más común se centra en la forma en que las empresas financieras gestionan sus propios riesgos derivados de la adquisición de servicios de terceros, incluido el de los CSP. Las regulaciones generalmente requieren que las empresas financieras evalúen las posibles implicaciones de dichos servicios para su propia resiliencia operativa. Esto incluye la realización de la debida diligencia en la selección de los proveedores de servicios, así como asegurarse de que los acuerdos contractuales otorguen a las empresas financieras el derecho a inspeccionar o auditar a sus proveedores de servicios (a veces incluyendo a sus subcontratistas significativos). Este enfoque aborda las preocupaciones microprudenciales, pero puede no ser suficiente desde una perspectiva macroprudencial, teniendo en cuenta las posibles implicaciones de una interrupción operativa de un CSP descritas anteriormente. Además, el poder de mercado que tienen los principales CSP plantea la cuestión de si las empresas financieras tienen la competencia, los poderes y los medios adecuados para realizar evaluaciones exhaustivas de los riesgos, tal como se prevé en la normativa vigente. Esto llevó a Prenio y Restoy (2022) a argumentar que puede haber razones para someter a los CSP, en particular a los críticos para el sistema financiero, a un marco de supervisión.
3. El Consejo de Estabilidad Financiera (CEF) ha reconocido explícitamente la importancia de identificar, supervisar y gestionar los posibles riesgos sistémicos derivados de las dependencias de terceros. El Consejo de Estabilidad Financiera (FSB, 2023) reconoce que las empresas financieras individuales pueden ser incapaces de gestionar adecuadamente estos riesgos sistémicos. Alude a que las autoridades financieras de algunas jurisdicciones tienen o están adquiriendo facultades reguladoras sobre los proveedores de servicios esenciales, pero también señala que las autoridades financieras de otras jurisdicciones no tienen las facultades legales para hacerlo. Como tal, propone algunas herramientas para ayudar a las autoridades financieras a identificar las dependencias sistémicas de terceros y detectar y gestionar posibles riesgos sistémicos. Este documento se basa en el FSB (2023) al (i) centrarse en los CSP críticos y (ii) identificar consideraciones en la supervisión de dichos CSP críticos por parte de las autoridades financieras.
4. En este documento se analizan los posibles marcos de supervisión para los CSP críticos, teniendo en cuenta la naturaleza transfronteriza e intersectorial de sus operaciones. En la sección 2 se proporcionan antecedentes sobre el uso de servicios en la nube en el sector financiero. En la sección 3 se esboza el enfoque normativo vigente. En la sección 4 se analizan las regulaciones o prácticas de supervisión existentes o propuestas directamente aplicables a los CSP. En la sección 5 se exploran las consideraciones a la hora de mejorar o introducir regulaciones o prácticas de supervisión para gestionar mejor el impacto de gran alcance de una posible interrupción operativa de un CSP crítico. Concluye la sección 6.
Sección 2 – Antecedentes sobre los servicios en la nube y su uso en el sector financiero
5. El FSB define la computación en la nube como una innovación que permite el uso de una red en línea de procesadores de alojamiento para aumentar la escala y la flexibilidad de la capacidad informática. Existen diferentes tipos de modelos de servicios de computación en la nube (Infraestructura como Servicio, Plataforma como Servicio, Software como Servicio y Proceso de Negocio como Servicio), así como diferentes tipos de modelo de implementación (nube pública, nube privada y nube híbrida). Vale la pena señalar que tres CSP (Amazon Web Services, Microsoft Azure y Google Cloud) dominan el mercado global de la nube. representando casi dos tercios del mercado (Gráfico 1).
6. Por lo general, los CSP se organizan en regiones y zonas de disponibilidad. Su objetivo es mejorar la resiliencia y reducir la latencia. Estas áreas discretas también determinan los límites de la recuperación ante desastres y la residencia de datos. Además de las regiones y zonas, los CSP también tienen una red de «puntos de presencia», dispositivos de comunicación ubicados estratégicamente cerca de los usuarios finales para conectarse a los centros de datos para reducir aún más la latencia y mejorar el rendimiento de las aplicaciones. En el recuadro 1 se ilustra cómo se organizan generalmente los CSP y se definen los diferentes componentes, mientras que en el anexo se muestran las jurisdicciones con regiones de CSP. Vale la pena señalar que solo 36 jurisdicciones albergan regiones de los tres principales CSP globales, es decir, sus centros de datos se encuentran en estas jurisdicciones. Esto significa que los clientes de jurisdicciones que no figuran en la lista dependen de los centros de datos CSP ubicados fuera de sus jurisdicciones. Los clientes que adoptan una estrategia multirregional (consulte a continuación para obtener más información al respecto) también pueden depender de los centros de datos ubicados en el extranjero.
7. Las instituciones que utilizan la nube pública tienen un papel que desempeñar en la seguridad de sus cargas de trabajo en la nube. Es una práctica común asignar responsabilidades de control entre el proveedor de servicios en la nube y sus clientes. Esto se conoce como el modelo de «responsabilidad compartida». Los clientes son responsables de mantener un entorno de control seguro dentro de la nube. Esto implica la administración, la seguridad y la resiliencia de las cargas de trabajo, las aplicaciones, los sistemas operativos, las redes virtuales y los datos en la nube, que se pueden administrar de manera diferente a los riesgos tradicionales de la infraestructura de TI local debido a las características únicas de los servicios de nube pública. Por ejemplo, en el modelo de infraestructura como servicio (IaaS), es responsabilidad del cliente garantizar la seguridad del sistema operativo, las aplicaciones y los datos alojados en la infraestructura. Esto incluye la configuración de reglas de firewall, la aplicación de parches de seguridad y la administración de controles de acceso de usuarios. Por otro lado, es responsabilidad del CSP proteger la infraestructura subyacente, incluidos los servidores, el almacenamiento, las redes y los centros de datos. Los clientes dependerán de los proveedores de servicios en la nube para la seguridad de la nube, como garantizar la aplicación oportuna de parches de servicios y dispositivos por parte del proveedor. Mientras tanto, los clientes son directamente responsables de la seguridad en la nube, lo que incluye configurar sus entornos en la nube de manera segura. No obstante, es posible que los clientes no tengan una visibilidad completa de las medidas de gestión y control de riesgos adoptadas por los CSP.
8. La adopción de la nube pública está aumentando en todas las industrias. Según Gartner (2022), el gasto en TI empresarial en computación en la nube pública superará el gasto en TI tradicional en 2025. El cambio a la nube se ha acelerado, especialmente durante los últimos años, debido a la pandemia de Covid-19. Se espera que la creciente necesidad de capacidades de integración, procesos de trabajo ágiles y arquitectura componible acelere aún más el cambio a la nube a medida que las empresas avancen en sus iniciativas de transformación y modernización digital a largo plazo después de la pandemia.
9. Las empresas financieras, en particular, han hecho un uso cada vez mayor de la computación en la nube en los últimos años. Una encuesta realizada en 2021 por Google Cloud, junto con Harris Poll,6 reveló que el 83 % de las 1.300 empresas financieras encuestadas en todo el mundo ya utilizan algún tipo de nube pública, incluidos los enfoques híbridos y multinube. Se espera que la huella digital de las empresas financieras en la nube siga creciendo; Entre aquellos que no tienen una implementación existente en la nube, el 88% está considerando adoptar una estrategia en la nube en los próximos 12 meses. En los últimos años, por ejemplo, ha habido un aumento significativo en el número de empresas financieras que trasladan sus cargas de trabajo designadas como «críticas para el negocio» a la nube. Las empresas financieras también han trasladado los «datos regulados» a la nube, aunque a un ritmo más lento (gráfico 2).
10. El uso de servicios en la nube proporciona beneficios a las empresas financieras. Los servicios en la nube permiten un acceso más fácil a una infraestructura que, de otro modo, sería costosa o llevaría mucho tiempo construirla y un gran costo mantenerla, lo que reduce el costo de los servicios financieros. Las economías de escala permiten a los CSP lograr un alto grado de redundancia, diversidad geográfica y seguridad e ingeniería avanzadas a un costo mucho menor. Los grandes CSP, en particular, pueden ofrecer un entorno de TI que es más o al menos tan robusto como los que las empresas financieras individuales podrían crear en sus instalaciones.
11. Sin embargo, aparte de los riesgos tradicionales de la externalización, la computación en la nube puede plantear riesgos operativos y de reputación adicionales para las empresas financieras. La adopción de la tecnología de computación en la nube por parte de las empresas financieras introduce riesgos operativos y de reputación que tienen el potencial de afectar sus operaciones comerciales. Estos riesgos incluyen amenazas a la seguridad y privacidad de los datos, la disponibilidad del sistema, la continuidad de las operaciones, la interoperabilidad, la auditabilidad y el cumplimiento de los requisitos legales. El impacto de estos riesgos puede variar en función de factores como el modelo de servicio utilizado; el tipo de activos informáticos que se almacenan, procesan y transmiten; y el uso único de la tecnología en la nube dentro de las operaciones comerciales de la empresa.
12. El predominio de un pequeño número de CSP mundiales podría dar lugar a un riesgo sistémico. Como se mencionó, tres jugadores dominan el mercado global de la nube en todas las industrias. Estos actores globales dominantes también son utilizados con frecuencia por empresas financieras en diferentes jurisdicciones. Además, las empresas financieras pueden utilizar CSP de importancia regional o nacional. Como tal, la continuidad del negocio de muchas empresas financieras puede verse afectada por ciberataques e interrupciones en cualquiera de estos CSP. Esta ha sido una preocupación importante en los últimos años. Por ejemplo, las dos interrupciones globales que experimentaron los servicios en la nube de Microsoft, Azure, Teams y Outlook en un corto lapso entre enero y febrero de 2023, ejemplificaron la interrupción generalizada y el impacto que tales interrupciones pueden tener en los clientes, incluidas las empresas financieras. El riesgo es más pronunciado y preocupante para los reguladores si muchos sistemas críticos residen dentro del mismo CSP.
13. Además de asegurar el entorno de control dentro de la nube, es importante que las empresas financieras pongan en marcha estrategias para garantizar la disponibilidad y la resiliencia de sus cargas de trabajo en la nube pública. En el caso de las cargas de trabajo en la nube que requieren alta disponibilidad, las empresas deben asegurarse de que estén habilitadas las funciones adecuadas de redundancia en la nube o de tolerancia a errores que ofrecen los CSP. Para mitigar cualquier problema específico de la ubicación que pueda interrumpir la prestación de servicios de nube pública, las empresas pueden considerar la implementación de sus cargas de trabajo en la nube en varias zonas o regiones (consulte la discusión anterior). Las empresas también pueden considerar la implementación de medidas de diversidad de proveedores, como una estrategia multinube, que implica el uso de múltiples proveedores de servicios en la nube para satisfacer las necesidades de una organización.
14. La adopción de un enfoque multizona y multinube tiene inconvenientes. Entre ellas se encuentran el aumento de los costes, la latencia y la posible ausencia de servicios comparables en diferentes regiones del mismo CSP. Además, la implementación de una estrategia multinube puede presentar más desafíos y nuevos riesgos debido a las diferencias inherentes entre las ofertas de servicios y al aumento de la complejidad y las demandas de recursos para diseñar y operar en diferentes entornos de nube. Como resultado, será un reto para las empresas financieras diseñar aplicaciones y datos para su portabilidad a otro CSP para muchos servicios complejos o abordar la continuidad operativa a corto plazo. Estos desafíos podrían explicar por qué el número de empresas financieras que utilizan múltiples CSP ha disminuido en los últimos años (gráfico 3, panel izquierdo). Más preocupante es el aumento en el número de empresas financieras sin un plan de respaldo documentado en caso de que se interrumpan sus servicios en la nube suscritos. De los que tienen un plan documentado, muchos no están probados (Gráfico 3, panel derecho).
Sección 3 – El enfoque predominante existente: supervisión indirecta de los CSP utilizados en el sector financiero
15. El principio regulador que se aplica al uso de servicios de terceros en el sector financiero suele dar lugar a un enfoque indirecto por parte de las autoridades financieras en relación con la supervisión de los CSP. Este principio se refiere a la responsabilidad última del consejo de administración y la alta dirección de una empresa financiera por cualquier actividad, función, producto o servicio que subcontraten a un tercero. Por lo tanto, las autoridades financieras confían principalmente en las empresas financieras para gestionar los riesgos derivados de los servicios de terceros. Esto se refleja en los requisitos regulatorios y las expectativas de supervisión con respecto a cómo las empresas deben supervisar las relaciones con terceros. La regulación y la supervisión se centran en la evaluación de la idoneidad de los marcos contractuales y de externalización de las empresas financieras. Además, la mayoría de las jurisdicciones también exigen a las empresas financieras que notifiquen o soliciten la autorización de las autoridades financieras antes de contratar servicios materiales de terceros, incluidos los servicios en la nube.
16. Por lo general, los reglamentos exigen que los marcos de externalización de las empresas financieras definan la gobernanza y la gestión de riesgos en torno a las actividades o funciones que se delegan en terceros. Por lo general, se requiere que los marcos de externalización aprobados por el consejo de administración de las empresas financieras definan los roles y responsabilidades aplicables dentro de la empresa financiera, las actividades y funciones que pueden subcontratarse a terceros, las condiciones para la externalización y los riesgos específicos que deben analizarse y gestionarse. Los riesgos que las empresas financieras deben analizar y gestionar cuando tratan con terceros incluyen el riesgo estratégico, el riesgo de cumplimiento, el riesgo de seguridad (incluida la ciberseguridad), el riesgo de contraparte, el riesgo de continuidad del negocio, el riesgo de dependencia de un proveedor, el riesgo contractual, el riesgo de concentración y, en su caso, el riesgo país.
17. En cuanto a los marcos contractuales, los reglamentos suelen exigir que se definan los derechos, obligaciones, funciones y responsabilidades genéricos de las instituciones y del proveedor tercero de servicios. Es común que las regulaciones exijan explícitamente que los términos contractuales incluyan acuerdos de confidencialidad y requisitos de seguridad para salvaguardar la información de las empresas y los clientes. En las jurisdicciones con requisitos marco contractuales que se ocupan específicamente de los servicios en la nube, normalmente se espera que la información transferida a la nube esté sujeta a una cláusula de seguridad y confidencialidad en el contrato. Algunas jurisdicciones también tienen requisitos específicos con respecto a la ubicación de los datos, la segregación de datos y las limitaciones de uso de los datos. Muchas regulaciones también requieren que los contratos garanticen los derechos de las empresas financieras a inspeccionar y auditar a sus proveedores de servicios externos. Algunas jurisdicciones otorgan estos derechos directamente a las autoridades financieras. Este es el caso, por ejemplo, de Australia, donde la Norma Prudencial CPS 230 de la Autoridad Australiana de Regulación Prudencial (APRA) establece que los acuerdos de proveedores de servicios materiales deben incluir el derecho de la APRA a acceder a la documentación, los datos y cualquier otra información relacionada con la prestación del servicio; otorgar a APRA el derecho a realizar visitas in situ al proveedor de servicios (puede ser un tercero, una parte relacionada o una entidad vinculada); y garantizar que el proveedor de servicios se comprometa a no obstaculizar el cumplimiento de su función por parte de APRA. También hay expectativas de supervisión sobre las empresas financieras que reciben informes periódicos de proveedores de servicios externos sobre las mediciones de los acuerdos de nivel de servicio y el desempeño de los controles.
18. Muchas autoridades financieras también esperan que las empresas financieras cuenten con un proceso de garantía de la resiliencia operativa de terceros, pero existen dificultades de aplicación. A nivel internacional, el BCBS (2021) exige a los bancos que verifiquen que terceros tienen al menos un nivel equivalente de resiliencia operativa para salvaguardar las operaciones críticas del banco tanto en circunstancias normales como en caso de interrupción. Sin embargo, es posible que las empresas financieras, especialmente las más pequeñas, no tengan la capacidad de llevar a cabo este proceso de aseguramiento. Por lo tanto, algunas regulaciones fomentan una solución industrial si existen sinergias entre el trabajo de aseguramiento de las empresas con terceros, como a través de certificaciones. Del mismo modo, reconociendo los desafíos de auditar a grandes proveedores de tecnología de terceros, algunas autoridades ahora aceptan auditorías conjuntas (es decir, auditorías realizadas en colaboración con otras empresas financieras que también son clientes del tercero) o auditorías independientes realizadas al tercero por su función de auditoría interna o por un auditor externo. Además, algunas autoridades reconocen que en algunos casos puede no ser apropiado llevar a cabo pruebas sofisticadas en grandes proveedores externos. Si este es el caso, las empresas deben buscar formas alternativas de obtener garantías de su resiliencia operativa, como las pruebas de escritorio.
Sección 4 – Regulaciones / orientaciones / prácticas de supervisión / supervisiones directamente aplicables a los CSP
19. Ya existen enfoques para la supervisión directa de los CSP. Muchos de estos enfoques se aplican a diferentes sectores, mientras que los enfoques recientes son específicos del sector financiero. Es importante tener en cuenta que este documento se centra en las leyes y regulaciones relacionadas con la resiliencia. Es posible que haya otras leyes y reglamentos pertinentes a los CSP, como la protección de datos, que también sean cruciales para supervisar sus operaciones, pero no se incluyen específicamente en las discusiones a continuación a menos que formen parte de un marco general.
20. Algunas jurisdicciones tienen marcos regulatorios que son específicamente aplicables a los CSP. En Arabia Saudita y Malasia, por ejemplo, los proveedores de servicios de computación en la nube están obligados a registrarse o solicitar una licencia para prestar servicios de computación en la nube.
• En Arabia Saudita, el marco normativo establecido por la Comisión de Comunicación, Espacio y Tecnología (CST)17 sirve para promover el uso seguro de los servicios de computación en la nube en el país y proporcionar el entorno normativo adecuado para atraer a los CSP locales e internacionales. El marco se aplica a los servicios de computación en la nube prestados a clientes que residen o tienen una dirección en Arabia Saudita. Requiere que los CSP con control directo o efectivo de los centros de datos o las infraestructuras críticas de los sistemas de computación en la nube alojados y utilizados en el país se registren en el CST. Los requisitos de registro se basan en el tipo de datos que el CSP alojará y procesará, de acuerdo con la clasificación de datos. Esto proporciona a los CSP la claridad y la flexibilidad necesarias para cumplir los requisitos de sus suscriptores objetivo. Las disposiciones del marco están diseñadas para garantizar que los CSP se adhieran a las mejores prácticas y normas técnicas. Estos abarcan aspectos como la calidad del servicio, la relación contractual y la protección tanto de los proveedores de servicios como de los usuarios. Por ejemplo, los CSP deben garantizar la implementación de reglas y políticas sólidas relacionadas con la continuidad del negocio y la gestión de riesgos, además de informar a sus suscriptores sobre el estado del acuerdo de nivel de servicio y si se está cumpliendo o no.
• Los CSP de Malasia están regulados por la Comisión de Comunicaciones y Multimedios de Malasia (MCMC) según lo dispuesto en la Ley de Comunicaciones y Multimedios (CMA) de 1998. Los servicios en la nube están comprendidos en la «licencia de clase» para los servicios de aplicaciones en virtud de la CMA de 1998. La licencia de clase solo requiere el registro, que es un proceso administrativo y, por lo tanto, una regulación ligera diseñada para promover el crecimiento y el desarrollo de la industria. La licencia se impone únicamente a los CSP que están incorporados localmente, o a los CSP que no están incorporados localmente pero que proporcionan servicios en la nube a los usuarios finales a través de un centro de datos local, en cuyo caso se requiere que el centro de datos local tenga licencia.
21. Otras jurisdicciones están elaborando activamente nuevos marcos normativos para los CSP. En Vietnam, el gobierno está trabajando en un nuevo proyecto de ley de telecomunicaciones que requeriría que los proveedores de servicios en la nube también obtengan una licencia de telecomunicaciones y establezcan una presencia legal en Vietnam. Esto se suma a las leyes existentes sobre tecnología de la información y seguridad cibernética que también son aplicables a los servicios en la nube. Actualmente, Singapur está explorando la posibilidad de modificar la Ley de Ciberseguridad existente para garantizar la ciberseguridad de la infraestructura digital fundamental, que se espera que incluya los servicios en la nube.
22. Las autoridades de algunas jurisdicciones han publicado directrices para apoyar la adopción de servicios en la nube en el gobierno y la industria. Entre las autoridades que siguen este enfoque se encuentran el Centro Australiano de Seguridad Cibernética (ACSC) y la Agencia de Transformación Digital de Australia (DTA) y la Oficina del director de Información del Gobierno (OGCIO) de la RAE de Hong Kong. En Australia, ACSC y DTA, en colaboración con la industria, han emitido una guía de seguridad en la nube que tiene como objetivo respaldar la adopción segura de la computación en la nube en el gobierno y la industria. La guía ayuda a los evaluadores a validar la postura de seguridad de los CSP, proporcionando así a las organizaciones una garantía independiente. En el caso de Hong Kong, su OGCIO ha publicado una guía práctica para la seguridad de la computación en la nube para proporcionar orientación práctica y referencia para la adopción segura de la tecnología de computación en la nube en el gobierno.
23. Las autoridades nacionales también han promulgado leyes o reglamentos sobre ciberseguridad que abarcan una amplia gama de industrias y servicios, incluidos los servicios de computación en nube. En particular, la Directiva sobre seguridad de las redes y de la información (SRI) de la UE, que entró en vigor en mayo de 2018 y se actualizó en 2022, establece medidas para lograr un elevado nivel común de fiabilidad y seguridad de las redes y sistemas de información en la Unión y abarca a los proveedores de servicios digitales (DSP), como los CSP, así como a los operadores de servicios esenciales (OES) (por ejemplo, un banco o una infraestructura del mercado financiero podrían designarse como OES). La Directiva SRI define diferentes obligaciones en toda la UE, una de las cuales se refiere a la creación de uno o varios equipos de respuesta a incidentes de seguridad informática (CSIRT) a nivel nacional para la gestión integral de incidentes en todo el país. El Reino Unido también tiene su Reglamento de Redes y Sistemas de Información de 2018, o Reglamento NIS, que tiene como objetivo garantizar la seguridad de las redes y los sistemas de información en varios sectores y cubre los servicios en la nube. La Ley de Seguridad de Infraestructuras Críticas de Australia de 2018 es otro ejemplo. Su objetivo es abordar los riesgos de seguridad nacional asociados con la infraestructura crítica de Australia (incluida la proporcionada por proveedores extranjeros) y se ha modificado en 2021 y 2022 para aplicarse a 11 sectores económicos, incluido el almacenamiento y procesamiento de datos.
Específico para el sector financiero
24. En el sector financiero, la supervisión directa de terceros proveedores de servicios no es nueva, pero históricamente se ha realizado sobre una base contractual o ad hoc. Como ya se ha mencionado, algunas normas ya exigen que los contratos con terceros otorguen a las autoridades financieras el derecho a inspeccionar y auditar a terceros. Sin embargo, este medio contractual de recopilación de información puede no ser tan eficaz como tener autoridad legal. Algunas jurisdicciones tienen leyes que otorgan a las autoridades financieras facultades legales para regular y examinar los servicios de terceros si lo consideran apropiado. Este es el caso, por ejemplo, de los Estados Unidos, donde los organismos bancarios federales pueden ejercer esta facultad en virtud de la Ley de Sociedades de Servicios Bancarios. El ejercicio de esta facultad se basa en un análisis caso por caso de, entre otras cosas, la importancia del servicio, el número de instituciones financieras contratadas con el proveedor de servicios y el riesgo inherente que el servicio puede presentar para las instituciones financieras clientes. Además, el Título VIII de la Ley Dodd-Frank permite a los organismos de supervisión de las empresas de servicios públicos designadas para el mercado financiero examinar la prestación de un servicio prestado por otra entidad cuando dicho servicio es «parte integrante» del funcionamiento de la DFMU.
25. En el plano internacional, los Principios para las Infraestructuras de los Mercados Financieros (PFMI) del Comité de Pagos e Infraestructuras de Mercado del BPI (BPI CPMI) y de la Organización Internacional de Comisiones de Valores (IOSCO) ya han establecido expectativas aplicables a los proveedores de servicios esenciales. En el anexo F del PFMI se describen estas expectativas. Entre ellas se encuentran las expectativas relacionadas con la identificación y gestión de riesgos, la seguridad de la información, la fiabilidad y la resiliencia, la planificación tecnológica y la comunicación con los usuarios. Si bien estas expectativas están dirigidas específicamente a los proveedores de servicios críticos de las IMF, también pueden servir como modelo para los proveedores de servicios críticos de las empresas financieras. Por ejemplo, el anexo F de la PFMI constituye la base de los requisitos para los proveedores de servicios esenciales de los operadores de sistemas de pago reconocidos en el Reino Unido, que están bajo la supervisión directa del Banco de Inglaterra.
26. Los acontecimientos recientes a nivel nacional o regional han reconocido explícitamente los posibles riesgos sistémicos de terceros y han introducido o propuesto marcos globales de supervisión directa. Este es el caso de la Ley de Resiliencia Operativa Digital (DORA, por sus siglas en inglés) en la UE y el marco propuesto para terceros críticos (CTP, por sus siglas en inglés) en el sector financiero del Reino Unido, que cubre a los CSP. Ambos marcos apuntan a los riesgos sistémicos que se derivan de la creciente dependencia de las empresas financieras de determinados terceros en los servicios esenciales, que están muy concentrados y cuyos servicios son a menudo muy difíciles o imposibles de sustituir en caso de perturbación. En el caso de la UE, esto motivó la necesidad de contar con un marco que permitiera un seguimiento continuo de las actividades de los proveedores terceros de servicios esenciales de TIC. En el caso del Reino Unido, esto llevó a la constatación de que se necesitan medidas de política adicionales para mitigar los riesgos para la estabilidad financiera derivados de la concentración en terceros proveedores de servicios, como complemento de los requisitos y expectativas de las empresas financieras individuales en relación con la resiliencia operativa y la gestión del riesgo de terceros.
27. Los elementos de DORA y de la propuesta del Reino Unido son bastante similares. El DORA y la propuesta del Reino Unido aún no se han aplicado. Las autoridades competentes de la UE todavía están elaborando normas técnicas de regulación específicas, mientras que las del Reino Unido todavía están desarrollando ciertos elementos detallados de la política, así como su futuro enfoque de la supervisión de los PCO. Por consiguiente, en el cuadro 1 y en los párrafos siguientes se recogen las respectivas posiciones políticas actuales de la UE y del Reino Unido, conocidas públicamente, que es probable que evolucionen.
28. En cuanto a la designación, en esencia ambos marcos se centran en el impacto potencial basado en la criticidad/materialidad y la concentración. La criticidad/materialidad no se refiere únicamente al servicio prestado por el tercero (es decir, si la interrupción del servicio daría lugar a un fallo operativo a gran escala); También se refiere al tipo de empresa financiera a la que el tercero presta servicios (es decir, institución financiera de importancia sistémica o no) y a las funciones de la empresa que dependen del servicio de terceros (es decir, si se consideran funciones esenciales para la economía o no). La concentración se refiere al número de empresas financieras a las que el tercero presta servicios. Esto también incluye el grado de sustituibilidad del proveedor de servicios externo.
29. Ambos marcos prevén la coordinación entre las autoridades financieras competentes, y podría haber una autoridad rectora. En la UE, cualquiera de las tres Autoridades Europeas de Supervisión (AES), es decir, la Autoridad Bancaria Europea (ABE), la Autoridad Europea de Valores y Mercados (AEVM) y la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ), podría designarse como «supervisor principal», en función del tipo de empresas financieras que dependan principalmente del proveedor de servicios. También hay un foro de supervisión que apoya la labor del superintendente principal. El foro de supervisión llevará a cabo una labor preparatoria tanto para las decisiones individuales dirigidas a los programas de transferencia de efectivo esenciales como para la formulación de recomendaciones colectivas, en particular en relación con la evaluación comparativa de los programas de supervisión de los programas de transferencia de efectivo esenciales y la determinación de las mejores prácticas para abordar los problemas de riesgo de concentración de los programas de transferencia de efectivo. El Reino Unido todavía está desarrollando su enfoque sobre esta cuestión, pero la legislación que otorga al Banco de Inglaterra, a la PRA y a la FCA competencias sobre los PIC les obliga a coordinar el ejercicio de sus respectivas funciones en relación con los PTIC. El documento de debate publicado en 2022 fue emitido conjuntamente por las tres autoridades, lo que indica su intención de trabajar en colaboración.
30. Los dos marcos tienen enfoques diferentes en cuanto a la forma en que los PIC deben estar sujetos a supervisión. En DORA, los PIC designados están obligados a establecer una filial en la UE. La justificación aducida era garantizar la aplicabilidad de las medidas de supervisión (véase infra) y «permitir un rápido despliegue de procedimientos que defiendan los derechos de defensa de los proveedores terceros de servicios esenciales de TIC en el contexto del mecanismo de designación y la formulación de recomendaciones». Sin embargo, este requisito no impide que los PIC presten servicios desde instalaciones e infraestructuras fuera de la UE. Si tal es el caso, el supervisor principal debe poder ejercer sus competencias de supervisión pertinentes en terceros países, sujeto al consentimiento del proveedor tercero esencial de servicios de TIC. Las autoridades competentes del tercer país también deben ser informadas de dicho ejercicio de las competencias de supervisión en su territorio, y no haberse opuesto a ello. Dichas competencias también deben estar plenamente ancladas en la celebración de acuerdos de cooperación administrativa con la autoridad o autoridades pertinentes de terceros países. En el marco propuesto por el Reino Unido, no existe ningún requisito para que los PIC establezcan una filial local. Además, la propuesta hace hincapié en que las autoridades de supervisión no supervisarían, regularían ni supervisarían los PIC en su totalidad, sino que solo «se centrarían en los servicios que los PIC prestan a las empresas y a las IMF cuya quiebra o perturbación pueda tener un impacto sistémico en los objetivos de las autoridades de supervisión».
31. Si bien ambos marcos evaluarían la resiliencia operativa de los programas de transferencia de efectivo, el marco propuesto por el Reino Unido es más explícito en cuanto a las normas para esta evaluación. Las autoridades del Reino Unido consideran que un conjunto de normas similares a las del anexo F del PFMI, pero aplicables y adaptadas a los PIC en el sector financiero en su conjunto, podría ser una herramienta clave para gestionar los riesgos sistémicos que plantean. Por lo tanto, la propuesta del Reino Unido incluye posibles estándares mínimos de resiliencia en varias áreas, incluida la identificación de servicios críticos y el mapeo de los recursos necesarios para proporcionar estos servicios, la gestión de riesgos, las pruebas, el compromiso con las autoridades supervisoras, el desarrollo de un manual de estrategias de continuidad del sector financiero, la comunicación posterior al incidente y el aprendizaje y la evolución de las experiencias de interrupción graves. El DORA no es tan explícito en estos requisitos, pero especifica que los proveedores terceros esenciales de servicios de TIC serán evaluados en función de si han establecido, entre otras cosas, normas, procedimientos y mecanismos exhaustivos, sólidos y eficaces para gestionar los riesgos de las TIC. El resultado de las evaluaciones servirá de base para el plan de supervisión y las medidas adoptadas por cada proveedor tercero esencial de servicios de TIC.
32. Ambos marcos otorgan facultades de supervisión a las autoridades financieras pertinentes. En el caso de DORA, el supervisor principal puede recomendar medidas para mejorar la gestión del riesgo de las TIC por parte de un proveedor de servicios de transferencia de efectivo. El supervisor principal puede imponer sanciones al proveedor de servicios por negarse a colaborar (por ejemplo, no proporcionar información y documentos, negarse a someterse a inspecciones e investigaciones, no proporcionar informes sobre las medidas de seguimiento, etc.). En el caso del marco propuesto por el Reino Unido, las autoridades de supervisión pueden exigir a un PIC que realice o se abstenga de realizar determinadas acciones; designar a una persona cualificada para que elabore un informe sobre el cumplimiento por parte del tercero de los requisitos pertinentes; y, si un tercero no cumple con un requisito, publicar una declaración o imponer condiciones o limitaciones a la capacidad de prestar servicios y emitir un aviso de descalificación.
33. Ambos marcos prevén la cooperación y coordinación intersectorial y transfronteriza. DORA prevé la coordinación intersectorial para los proveedores terceros de servicios esenciales de TIC que están supervisados en virtud de la Directiva SRI de la UE. El supervisor principal debe consultar a las autoridades competentes en virtud de dicha Directiva a fin de adoptar un enfoque coordinado a la hora de tratar con los proveedores terceros esenciales de servicios de TIC pertinentes. La propuesta del Reino Unido, por su parte, prevé una posible coordinación con autoridades ajenas al sector financiero en relación con la designación de los CTP, las normas de resiliencia, las pruebas y la notificación de incidentes. En lo que respecta a la cooperación y la coordinación internacionales, el DORA permite a las autoridades de supervisión celebrar acuerdos administrativos con las autoridades reguladoras y supervisoras de terceros países con el fin de desarrollar las mejores prácticas para la revisión de las prácticas de gestión de riesgos relacionados con las TIC, los controles, las medidas de mitigación y las respuestas a incidentes. Del mismo modo, la propuesta del Reino Unido enumera posibles formas de fortalecer la coordinación internacional en materia de programas de transferencia de efectivo, incluida una metodología mundial para la identificación de dichos terceros, normas mundiales de resiliencia y pruebas de resiliencia transfronterizas.
Sección 5 – Algunas consideraciones a la hora de mejorar o introducir marcos de supervisión directa para los CSP esenciales en el sector financiero
34. Como se ha puesto de manifiesto en los análisis anteriores, la preocupación por los CSP críticos para el sector financiero se debe a dos fuentes: i) el impacto potencial y ii) la concentración. El impacto potencial depende de la importancia o la importancia de los servicios financieros que dependen de la nube. La concentración se refiere al grado de dependencia de las empresas financieras de unos pocos CSP. Una interrupción en un CSP podría interrumpir la prestación de servicios críticos/materiales en el sistema financiero. Esta perturbación podría tener un impacto en la estabilidad financiera. Este impacto se agrava si el usuario de CSP es una institución financiera de importancia sistémica o si el CSP está siendo utilizado por muchas, si no la mayoría, de las empresas financieras. En este último caso, una interrupción en un CSP podría dar lugar a una paralización prácticamente total de la prestación de servicios financieros críticos/materiales.
35. Por lo tanto, cualquier posible creación o mejora de los marcos de supervisión para los CSP esenciales debe abordar estas preocupaciones. El enfoque de supervisión indirecta, en el que las empresas financieras gestionan su relación con los CSP y los riesgos que esto supone para sus operaciones individuales, sigue siendo útil. Este es el caso, en particular, de las autoridades financieras que no tienen competencias legales para supervisar los CSP críticos y se encuentran en jurisdicciones sin autoridades pertinentes que supervisen directamente los CSP. En tales casos, la supervisión indirecta debe reforzarse, por ejemplo, mejorando los requisitos para las empresas financieras que utilizan CSP críticos, con la expectativa de que estos requisitos se reflejen en los acuerdos de las empresas con los CSP. No obstante, en la medida de lo posible, es igualmente importante contar con garantías directas o medios para que las autoridades financieras garanticen que se abordan los problemas de estabilidad financiera derivados del uso de los CSP para la prestación de servicios esenciales para el sistema financiero.
36. Los marcos de supervisión directa de las autoridades financieras para los CSP críticos pueden ayudar a abordar los problemas que pueden obstaculizar la evaluación del riesgo de los CSP por parte de las empresas financieras. Estos problemas se derivan del poder de mercado inherente a la presencia dominante de unos pocos CSP, así como de la clara ventaja de los CSP en lo que respecta a las competencias técnicas. Por lo tanto, no está claro si las empresas financieras dispondrían de los incentivos adecuados y de los medios necesarios para llevar a cabo evaluaciones exhaustivas de los riesgos de la CSP. Los marcos de supervisión directa pueden ayudar a abordar estas cuestiones y ser un buen complemento de los marcos de supervisión indirecta. Las autoridades, por ejemplo, tendrían más influencia, ya sea individual o colectivamente, a la hora de exigir que los CSP introduzcan cambios en sus controles/procesos de seguridad para hacer frente a los riesgos que puedan identificarse. Sin embargo, existe un riesgo de riesgo moral cuando se introducen marcos de supervisión directa. Es probable que las empresas financieras transfieran su responsabilidad y rendición de cuentas de la gestión del riesgo de terceros a las autoridades financieras. Por lo tanto, la introducción de marcos de supervisión directa para los CSP no debe eliminar las obligaciones de las empresas financieras en el marco del enfoque de supervisión indirecta. Es necesario lograr un equilibrio entre los enfoques directos e indirectos, por un lado, y asegurarse de que no supongan una carga excesiva para los CSP (por ejemplo, procesos de garantía duplicados), por otro. En el cuadro 2 se resumen algunas consideraciones clave para un marco de supervisión directa de los CSP críticos.
37. Los requisitos nacionales en materia de TIC o cibernéticos, cuando existan, pueden servir de base importante a la hora de establecer un marco de supervisión directa para los CSP esenciales, dado que las operaciones de los CSP suelen abarcar varios sectores dentro de una jurisdicción. Por ejemplo, como se ha señalado anteriormente, algunas jurisdicciones pueden imponer requisitos técnicos, financieros y de otra índole a los servicios relacionados con las TIC. incluidos los CSP. Además, algunas jurisdicciones pueden tener requisitos de seguridad cibernética derivados de la legislación nacional de seguridad cibernética que se aplican a diferentes tipos de instituciones, incluidos los CSP. Estos requisitos podrían servir de base o fundamento para abordar los problemas de resiliencia que plantean los CSP críticos, no solo en el sistema financiero, sino también en toda la economía. Las autoridades responsables de desarrollar y aplicar los requisitos nacionales relacionados con las TIC y la ciberseguridad tienen un papel que desempeñar en la supervisión directa de los PSC esenciales.
• La autoridad nacional encargada de la infraestructura de TIC de una jurisdicción puede ser naturalmente adecuada y estar mejor posicionada para proporcionar una supervisión directa de los CSP, dadas las operaciones intersectoriales de los CSP dentro del país o jurisdicción. La autoridad nacional de TIC posee las competencias adecuadas para supervisar los CSP y, por lo tanto, puede facilitar la armonización de los requisitos técnicos y las normas, incluidos los requisitos de resiliencia, en todos los servicios relacionados con las TIC utilizados u ofrecidos en la economía.
• La autoridad nacional de ciberseguridad también desempeña un papel esencial a la hora de ayudar a la autoridad nacional de TIC a desarrollar y aplicar normas de ciberseguridad y mejores prácticas para los CSP a fin de garantizar que operan con el máximo nivel de seguridad y resiliencia. Por ejemplo, la autoridad nacional de ciberseguridad puede establecer y hacer cumplir la normativa relacionada con la ciberseguridad en los CSP y también facilitar la respuesta y la coordinación de los ciber incidentes, en particular en el caso de incidentes con repercusiones intersectoriales, como los que afectan a los CSP críticos.
39. Las autoridades financieras (es decir, un banco central o una autoridad supervisora) pueden desempeñar un papel en el ejercicio de la supervisión de los CSP esenciales. Pueden coordinarse con las autoridades nacionales de TIC o ciberseguridad en el desarrollo y la aplicación de los requisitos pertinentes para los CSP críticos. Cuando sus mandatos legales lo permitan, las autoridades financieras pueden basarse en los requisitos existentes en materia de TIC y cibernética mediante la introducción de requisitos adicionales para tener en cuenta la importancia de los CSP para el sistema financiero. Estos requisitos adicionales pueden incluir, por ejemplo, normas más estrictas de gestión de riesgos o resiliencia o pruebas de resiliencia más frecuentes e intensivas y ejercicios de respuesta y recuperación ante incidentes. Además, las autoridades financieras también pueden adaptar el anexo F del PFMI para adaptarlo a los CSP críticos para el sector financiero, de forma similar a lo previsto en la propuesta del Reino Unido.
40. Al contratar o supervisar a los CSP, las autoridades financieras deben reconocer el importante papel de las empresas financieras. Es importante que la supervisión no acabe siendo un diálogo meramente entre las autoridades financieras y los CSP. Las empresas financieras también deberían estar en el panorama como usuarias finales de los servicios de CSP. Tiene que haber una interacción regular entre todas las partes para tener un entendimiento común de las preocupaciones y expectativas de las autoridades financieras, cómo las abordan los CSP y cómo las empresas financieras gestionan los riesgos que se les plantean.
41. Es importante que las autoridades competentes de una jurisdicción colaboren estrechamente para garantizar un enfoque coherente y holístico de la supervisión de los documentos de apoyo a los países. Este es especialmente el caso cuando una jurisdicción no tiene una autoridad horizontal pertinente (por ejemplo, las autoridades de TIC o de ciberseguridad), sino que depende de autoridades sectoriales separadas. En cualquier caso, la presencia de múltiples autoridades nacionales que supervisan los CSP puede dar lugar a un desajuste normativo, lo que plantea importantes retos para las distintas partes interesadas, incluidas las autoridades de supervisión y los CSP. Por ejemplo, llevar a cabo una supervisión eficaz se vuelve más complejo cuando hay varios organismos reguladores involucrados. Los CSP también deben cumplir con múltiples regulaciones potencialmente contradictorias, lo que puede consumir muchos recursos y mucho tiempo. Y lo que es más importante, cuando un CSP crítico experimenta una interrupción operativa, la presencia de múltiples autoridades pertinentes no debe dar lugar a respuestas descoordinadas. Es importante contar con un manual de estrategias de respuesta y recuperación colectivas previamente acordado, en el que participen los CSP y las empresas financieras, de modo que el flujo de información no se vea obstaculizado y las respuestas reglamentarias estén coordinadas. Además, en el caso de las jurisdicciones que cuentan con reglamentos o leyes nacionales en materia de infraestructuras críticas, las autoridades sectoriales, incluidas las autoridades financieras, deben tener en cuenta que sus intervenciones son coherentes y no entran en conflicto con el enfoque nacional general.
42. Los acuerdos transfronterizos son necesarios para la supervisión de un CSP crítico. Como mínimo, las expectativas regulatorias para los CSP, en particular los que operan a nivel mundial, deben estar alineadas en todas las jurisdicciones, ya sea que se impongan directa o indirectamente. Además, los acuerdos transfronterizos son especialmente necesarios cuando i) el CSP se considera crítico en las jurisdicciones en las que opera y ii) no existen restricciones al uso por parte del CSP de centros de datos fuera de una jurisdicción para prestar servicios a clientes nacionales. Si existen estas condiciones, una interrupción operativa de un CSP puede afectar a varias jurisdicciones, especialmente si son atendidas por la misma región de CSP. Los organismos mundiales de normalización podrían desempeñar un papel en la identificación de los CSP que puedan plantear problemas sistémicos transfronterizos. Los acuerdos transfronterizos garantizarán la existencia de mecanismos de coordinación adecuados en caso de que se produzca dicha perturbación. Estos acuerdos también ayudarán a garantizar que los CSP estén sujetos a reglamentos y normas coherentes en todas las jurisdicciones. Además, esto también evitará la duplicación innecesaria del trabajo en el trato con los CSP, como las auditorías de los CSP solicitadas por los reguladores. CSA (2023), por ejemplo, encuentra que el 50% de las empresas financieras han tenido que coordinar más de cinco solicitudes de auditoría regulatoria con sus CSP, mientras que el 15% ha tenido que lidiar con más de 15 solicitudes.
43. A grandes rasgos, estos mecanismos transfronterizos pueden adoptar dos formas:
• Plataforma multilateral informal: podría implicar una agrupación flexible de autoridades financieras, ya sea a nivel mundial o regional, que se reúnan periódicamente para debatir los riesgos que plantean determinados CSP para sus respectivos sistemas financieros y colectivos. Las reuniones del grupo también podrían ser un foro para compartir las mejores prácticas en la revisión de las cuestiones relacionadas con la CSP en torno a la gestión de riesgos de las TIC y la respuesta y recuperación de incidentes. Para fomentar la colaboración y desarrollar un protocolo bidireccional de intercambio de información, también podrían incluirse en el grupo representantes de los CSP. Esto permitiría una mejor comprensión de las medidas de seguridad de los CSP y permitiría al grupo proporcionar comentarios y recomendaciones para mejorar. Además, el grupo también podría llevar a cabo pruebas de resiliencia ad hoc y ejercicios de respuesta y recuperación ante incidentes en los que participen los CSP. El Foro de Resiliencia en la Nube del Sector Financiero para autoridades financieras de Asia, establecido por MAS, es un ejemplo de esta plataforma multilateral informal.
• Acuerdos formales de supervisión multilateral: podrían adoptar la forma de un órgano de supervisión colectiva para un CSP específico a nivel transfronterizo. El órgano de supervisión podrá estar compuesto por autoridades financieras de jurisdicciones en las que el CSP se considere crítico y que permitan a dicho CSP utilizar centros de datos fuera de sus respectivas jurisdicciones. El organismo podría encargarse de armonizar o reforzar las normas o requisitos de resiliencia para el CSP (similar al anexo F del PFMI), incluida la notificación de incidentes. También podría llevar a cabo las pruebas de resiliencia transfronterizas requeridas y los ejercicios de respuesta y recuperación ante incidentes en los que participe el CSP. La organización de este organismo de supervisión podría inspirarse en el régimen establecido para la Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT) y CLS. También podría utilizarse un modelo de colegio de supervisores para supervisar y compartir información sobre los CSP críticos.40 Huelga decir que este tipo de acuerdos requiere que las autoridades financieras participantes tengan mandatos legales para la supervisión de los CSP. De no ser así, sería necesaria la participación de las autoridades nacionales encargadas de las TIC o de la ciberseguridad.
44. Ambos tipos de acuerdos transfronterizos pueden, en teoría, hacer cosas similares. La única diferencia es que un acuerdo formal de supervisión podría establecer requisitos más vinculantes (por ejemplo, sobre el intercambio de normas de notificación de incidentes, normas de resiliencia, pruebas, etc.). Por lo tanto, los arreglos formales pueden ser más útiles para aplicar más medidas preventivas y correctivas. Sin embargo, esos acuerdos también podrían plantear problemas más prácticos, dado su carácter más formal. No obstante, cualquiera de los dos enfoques debe ser capaz de facilitar y coordinar las medidas transfronterizas de respuesta y recuperación en caso de incidente. Al igual que a nivel nacional, es importante contar con un manual de estrategias de respuesta y recuperación colectivas previamente acordado a nivel internacional en caso de que se produzca una perturbación operativa de un CSP con impacto sistémico transfronterizo.
45. Los mecanismos transfronterizos de supervisión pueden comenzar a nivel regional, lo que permite un enfoque más específico y manejable que puede ampliarse según sea necesario. Dichos acuerdos podrían establecerse, por ejemplo, para cada región de CSP o grupo de regiones de CSP que presten servicios a múltiples jurisdicciones. Sin embargo, los múltiples acuerdos transfronterizos no deben dar lugar a requisitos diferentes para un CSP crítico. Por lo tanto, es necesario coordinar el establecimiento de esos requisitos a nivel mundial. Además, las actividades de supervisión dirigidas a un CSP crítico deben coordinarse entre los diferentes mecanismos transfronterizos.
Sección 6 – Conclusión
46. La naturaleza inherente de los entornos de nube pública, con su infraestructura compartida y la dependencia de los clientes de la nube de los CSP para gestionar y mantener la infraestructura y los servicios subyacentes, plantea desafíos únicos para los clientes, incluidas las empresas financieras. Estos riesgos incluyen amenazas a la seguridad y privacidad de los datos, la disponibilidad del sistema, la continuidad de las operaciones, la interoperabilidad, la auditabilidad y el cumplimiento de los requisitos legales. Dadas las características únicas de los servicios de nube pública, los riesgos que surgen del uso de la nube pública deben gestionarse de manera diferente a los riesgos tradicionales de la infraestructura de TI local. Además, el crecimiento continuo de la adopción de la nube por parte de las empresas financieras y la dependencia de solo unos pocos CSP importantes podrían suponer un riesgo sistémico para el sector financiero.
47. El enfoque indirecto predominante de la supervisión de los CSP por parte de las autoridades financieras puede no ser suficiente para abordar el riesgo sistémico originado por una concentración en la prestación de servicios en la nube por parte de unos pocos CSP. A pesar de que las empresas financieras tienen la responsabilidad de garantizar la disponibilidad, la resiliencia y la seguridad de sus cargas de trabajo en la nube pública en el marco del modelo de responsabilidad compartida. Los CSP también deben tomar medidas para que el entorno general esté disponible y sea seguro. Es posible que las empresas financieras no tengan una visibilidad completa de las medidas de gestión y control de riesgos adoptadas por los CSP. Además, si bien las empresas financieras tienen medidas a su disposición para garantizar la disponibilidad y la resiliencia de sus cargas de trabajo en la nube, como la adopción de un enfoque multizona y multinube, estas medidas pueden conducir a un aumento de los costos, la complejidad y la demanda de recursos para diseñar y operar en diferentes entornos de nube. Por lo tanto, las empresas financieras por sí solas no tienen la capacidad de mitigar plenamente el impacto de dicha concentración. Por lo tanto, es posible que se necesiten intervenciones reglamentarias.
48. En el caso de los riesgos que no están bajo el control de las empresas financieras, en particular los riesgos sistémicos, existe la posibilidad de considerar un marco de supervisión reglamentaria directa para los CSP críticos. Es importante que las autoridades financieras cuenten con garantías o medios para garantizar que se mitiguen y aborden los riesgos para la estabilidad financiera debidos a una posible interrupción en un CSP. Un marco de supervisión directa también puede ayudar a abordar las limitaciones inherentes al enfoque de supervisión indirecta, como las limitaciones de la evaluación de los riesgos de CSP por parte de las empresas financieras debido al poder de mercado o a una enorme laguna en las capacidades técnicas. Sin embargo, para hacer frente al riesgo de riesgo moral, la introducción de un marco de supervisión directa no debe eliminar las obligaciones de las empresas financieras en el marco del enfoque de supervisión indirecta. Al mismo tiempo, se debe velar por que este doble enfoque no conduzca a procesos de garantía ineficientes que supongan una carga excesiva para los CSP.
49. Lo ideal sería que este marco de supervisión reglamentaria fuera de carácter intersectorial, habida cuenta de la utilización intersectorial de los servicios de CSP. El uso de los CSP no se limita al sector financiero; otros sectores de la economía también contratan los servicios de los CSP. Cabe destacar que algunas jurisdicciones ya han establecido autoridades o marcos regulatorios que son directamente aplicables a los CSP. A fin de evitar la duplicación de esfuerzos, toda introducción de marcos de supervisión directa para los PSC debe tener en cuenta las disposiciones existentes. Al mismo tiempo, cuando sus mandatos legales lo permitan, las autoridades financieras pueden basarse en estas regulaciones intersectoriales para tener en cuenta las preocupaciones específicas del sector financiero.
50. Son necesarios acuerdos de cooperación transfronteriza en la supervisión de los documentos de apoyo esenciales a los Estados miembros. Un CSP crítico puede servir a clientes en múltiples jurisdicciones y, al hacerlo, puede utilizar centros de datos ubicados en diferentes jurisdicciones. En tal caso, el impacto de una interrupción operativa del CSP no se limitará a una sola jurisdicción. Por lo tanto, los acuerdos de cooperación transfronteriza son importantes. Esos arreglos pueden ser oficiosos o formales. Un acuerdo más formal permite medidas preventivas y correctoras más vinculantes, como los requisitos de resiliencia y los ensayos transfronterizos de resiliencia. Sin embargo, ambos tipos de acuerdos podrían facilitar la respuesta a incidentes transfronterizos y las medidas de recuperación. Como primer paso, los organismos mundiales de normalización podrían desempeñar un papel en la identificación de los CSP que puedan plantear problemas sistémicos transfronterizos.
51. En resumen, las características únicas de los servicios de nube pública plantean riesgos para las empresas financieras, incluidas las amenazas a la seguridad y privacidad de los datos, la disponibilidad del sistema y la continuidad de las operaciones. Si bien las empresas financieras tienen la responsabilidad de garantizar la disponibilidad y la resiliencia de sus cargas de trabajo en la nube, es posible que se necesiten intervenciones regulatorias para abordar algunos de los riesgos sistémicos derivados del uso de servicios en la nube en el sector financiero. Esto podría incluir un marco de supervisión regulatoria directa para los CSP críticos que se base en regulaciones intersectoriales, con requisitos sectoriales adicionales específicos cuando sea necesario y factible, e incluya acuerdos de cooperación transfronteriza.
Referencias
Banco de Inglaterra y Autoridad de Conducta Financiera (BoE/FCA) (2021): Resiliencia operativa: tolerancias de impacto para servicios empresariales importantes, marzo.
——— (2022): Resiliencia operativa: terceros críticos para el sector financiero del Reino Unido, 21 de julio.
Banco de Japón (BOJ) (2021): Consideraciones clave para la gestión de riesgos en el uso de servicios en la nube, 8 de marzo.
Comité de Supervisión Bancaria de Basilea (CSBB) (2018): Ciberresiliencia: gama de prácticas, diciembre.
——— (2021): Principios para la resiliencia operativa, marzo.
Cloud Security Alliance (CSA) (2023): Estado de los servicios financieros en la nube, 5 de junio.
Comisión de Comunicaciones, Espacio y Tecnología (CST) (2023): Regulaciones de aprovisionamiento de servicios de computación en la nube, octubre.
Crisanto, J, C Donaldson, D Garcia Ocampo y J Prenio (2018): «Regulación y supervisión de las nubes: enfoques prudenciales emergentes para las compañías de seguros», FSI Insights on policy implementation, n.º 13, diciembre.
Agencia de Seguridad Cibernética de Singapur (2022): «Revisión de la Ley de Ciberseguridad y actualización del Código de Prácticas de Ciberseguridad para IIC», 4 de marzo.
Dgtl Infra (2023): «Regiones en la nube y zonas de disponibilidad: explicación», 12 de octubre.
Unión Europea (UE) (2022): «Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011», de 14 de diciembre.
Consejo de Estabilidad Financiera (FSB) (2019): Dependencias de terceros en los servicios en la nube: consideraciones sobre las implicaciones para la estabilidad financiera, 9 de diciembre.
——— (2020): Cuestiones regulatorias y de supervisión relacionadas con la externalización y las relaciones con terceros, 9 de noviembre.
——— (2023): Mejora de la gestión y supervisión de riesgos de terceros: un conjunto de herramientas para las instituciones financieras y las autoridades financieras – documento consultivo, 22 de junio.
Gartner (2022): «Gartner dice que más de la mitad del gasto en TI de las empresas en segmentos clave del mercado se trasladará a la nube para 2025», 9 de febrero.
Google (2021): «Estudio de Google Cloud: la adopción de la nube aumenta en los servicios financieros, pero persisten los obstáculos regulatorios», 12 de agosto.
Comisión de Comunicaciones y Multimedia de Malasia (MCMC) (2017): Guía de licencias, 31 de agosto.
——— (2021): Documento informativo sobre la regulación de los servicios en la nube, 17 de diciembre.
Ministerio de Comunicaciones e Información (MCI) (2023): «Discurso de la ministra Josephine Teo en el debate del Comité de Abastecimiento de MCI 2023», 28 de febrero.
Autoridad Monetaria de Singapur (MAS) (2021): «Asesoramiento sobre cómo abordar los riesgos tecnológicos y de ciberseguridad asociados con la adopción de la nube pública», 1 de junio.
——— (2023): «MAS establece el Foro de Resiliencia en la Nube del Sector Financiero», 5 de abril.
Oficina del Director de Información del Gobierno (OGCIO) (2021): Guía práctica para la seguridad de la computación en la nube [ISPG-SM04], junio.
Prenio, J y F Restoy (2022): «Salvaguardar la resiliencia operativa: la perspectiva macroprudencial», FSI Briefs, n.º 17, 25 de agosto.
Stone Forest Business Advisors (2023): «Lecciones aprendidas de la interrupción de Azure de Microsoft», 14 de marzo.
Synergy Research Group (2023): «El gasto en la nube del primer trimestre crece en más de 10 mil millones de dólares con respecto a 2022; los Tres Grandes representan el 65% del total», 27 de abril.
Departamento del Tesoro de los Estados Unidos (2023): «La adopción de servicios en la nube por parte del sector de servicios financieros», 8 de febrero.
Ley Comercial de Vietnam (2023): «Comentarios sobre el proyecto de Ley de Telecomunicaciones en Vietnam», 21 de abril.
Publicado originalmente: https://www.bis.org/fsi/publ/insights53.pdf