Gestionando los riesgos del cloud

Share

 

Patricio Ramón M. Director de Auditoría de PwC Ecuador

El estudio global Financial Services 2020 de PwC identifica las 10 tecnologías que están cambiando el sector y define a la nube pública como un modelo de infraestructura predominante para la banca. Esto sin contar otras soluciones cloud de software o plataforma como servicios que han ido ganando terreno. 

La banca ecuatoriana ha sido tradicionalmente pionera en la adopción de tecnología, sin embargo, en lo que se refiere al cloud ha tenido un proceso de adopción relativamente lento, principalmente por temas normativos y por decisiones internas relacionadas al riesgo. 

En la actualidad, las soluciones cloud apalancan en gran medida las iniciativas de transformación digital para lo cual, como un modelo general, se está manejando un esquema híbrido donde la tecnología core es administrada en infraestructura on-premise, y tecnologías emergentes o no core se están montando en la nube. En algunos casos, la selección de las soluciones cloud tienen cierto de nivel de independencia con relación a los procesos tradicionales de adquisición de tecnología exponiendo a la organización a seleccionar servicios sin evaluarlos de forma integral y sin responder a los riesgos de la institución financiera. 

A pesar de que la normativa de riesgo operativo actualizada está vigente al menos un año, todavía existe incertidumbre en cómo manejar ciertos aspectos de los servicios cloud. En algunos casos los bancos todavía ven al cloud como una caja negra, sobre la cual no se tiene conocimiento de su funcionamiento 

Con la finalidad de que los bancos puedan tener un mayor control en la contratación de servicios cloud, es importante que consideren los siguientes aspectos: 

Identificar cuáles son las nuevas competencias requeridas por los empleados encargados de gestionar los modelos cloud (Ej.: capacidad de negociación, conocimiento de gestión contractual, estándares técnicos y normativa aplicable al servicio).   

Definir una metodología de evaluación de proveedores y servicios que incluyan criterios para evaluar de forma integral las soluciones.  

Establecer condiciones contractuales aplicables a la realidad de cada banco y de preferencia evitar formatos genéricos. En el caso de que no sea factible modificar los contratos de servicio, es importante la participación de las áreas de riesgos y legal para que se determine el impacto de aceptar cláusulas no favorables a la institución financiera. 

Evaluar el modelo operativo del banco de TI, y del negocio si aplica, a fin de identificar las responsabilidades de ambas partes, definir cambios en los procesos y estructura organizacional. 

Implementar un esquema controlado de implementación o migración al cloud que permita manejar niveles apropiados de seguridad sobre la información, operación, disponibilidad del servicio, etc. 

Definir el esquema de monitoreo y auditoria periódica del servicio contratado que fortalezca la transparencia, considerando temas de los niveles de servicio, control interno, seguridad de la información, cumplimiento normativo, etc.