Etiqueta: CSP – Proveedor de Servicios en la nube

Gestión del riesgo de la nube: algunas consideraciones para la supervisión de proveedores de servicios críticos en la nube en el sector financiero

El uso de la nube por parte de las empresas financieras ha ido aumentando a lo largo de los años y se espera que continúe haciéndolo. El paso a la nube se ha acelerado, especialmente durante los últimos años, a medida que las empresas avanzan en sus iniciativas de transformación y modernización digital a largo plazo después de la pandemia. En el caso de las empresas financieras, parece haber un aumento significativo en las cargas de trabajo críticas que han trasladado a la nube, aunque estas se mantienen en un nivel relativamente bajo.
El uso de la nube por parte de las empresas financieras presenta beneficios y riesgos. Los servicios en la nube permiten un acceso más fácil a la infraestructura y los servicios que, de otro modo, serían costosos o tardarían mucho tiempo en construirse y tendrían un gran costo de mantenimiento, lo que reduce el costo de los servicios financieros. Los grandes proveedores de servicios en la nube (CSP) pueden ofrecer un entorno de TI que es relativamente tan robusto como los que las empresas financieras individuales podrían crear en sus instalaciones. Sin embargo, la adopción de la nube introduce nuevos riesgos que tienen el potencial de afectar a las operaciones comerciales de las empresas financieras. Estos riesgos incluyen amenazas a la seguridad y privacidad de los datos, la disponibilidad del sistema, la continuidad de las operaciones, la interoperabilidad, la auditabilidad y el cumplimiento de los requisitos legales.
El predominio de un pequeño número de CSP exacerba estos riesgos. Tres actores dominan el mercado global de la nube y también son utilizados con frecuencia por empresas financieras en diferentes jurisdicciones. También puede haber CSP de importancia regional o nacional utilizados por empresas financieras. Como tal, la continuidad del negocio de muchas empresas financieras puede verse afectada por ataques cibernéticos e interrupciones en cualquiera de estos CSP. Esta ha sido una preocupación importante en los últimos años, como lo demuestran las recientes interrupciones de CSP en todo el mundo. El riesgo es más pronunciado y preocupante para los reguladores si las funciones críticas de las empresas financieras residen dentro del mismo CSP.
Se necesitan intervenciones regulatorias para abordar los riesgos derivados de la adopción de la nube. Normalmente, las responsabilidades de control se asignan entre el CSP y la entidad que adquiere sus servicios. Las empresas financieras que utilizan la nube tienen la responsabilidad de garantizar la disponibilidad, la resiliencia y la seguridad de los servicios que brindan a sus clientes en la nube, mientras que los CSP deben tomar medidas para hacer que el entorno general sea resistente y seguro. Sin embargo, es posible que las empresas financieras no tengan plena visibilidad de las medidas de gestión y control de riesgos adoptadas por los CSP. Además, si bien las empresas financieras tienen medidas a su disposición para garantizar la disponibilidad y la resiliencia de sus cargas de trabajo en la nube, como la adopción de un enfoque multizona y multinube, estas medidas pueden conducir a un aumento de los costos, la complejidad y la demanda de recursos para diseñar y operar en diferentes entornos de nube. Como tal, las empresas financieras por sí solas no tienen la capacidad de mitigar completamente los riesgos derivados de la adopción de la nube.