Cloud de confianza para las industrias reguladas: abordando las necesidades de resiliencia de las instituciones financieras

Agnieszka Bruyère, vicepresidenta de IBM Cloud, EMEA

La oferta de nube de última generación debe ajustarse a las necesidades de las empresas y organizaciones públicas de la UE, permitiéndoles ejecutar cargas de trabajo de misión crítica alineadas a sus procesos de negocio, especialmente en las industrias reguladas. En IBM, trabajamos sin descanso para conseguir exactamente eso.

1. Cómo IBM garantiza el cumplimiento continuo y la gestión de la postura de seguridad, en consonancia con los requisitos de los reguladores globales

Liam Benham, vicepresidente de Asuntos Gubernamentales y Regulatorios de IBM Europa, ha dicho que «los reguladores y las empresas no pueden controlar el futuro, pero pueden optar por permitir varias posibilidades a la hora de implementar las decisiones del presente para garantizar que estén preparadas para el futuro».  La próxima Ley de Resiliencia Operativa Digital (DORA) de la Comisión Europea es un ejemplo de ello.

La preparación de IBM para DORA y otras propuestas legislativas similares comenzó hace muchos años, ya que fuimos los primeros en ser regulados en Estados Unidos como parte del programa de auditoría de las Agencias Bancarias Federales.  En Europa, IBM ha dado un paso más para ayudar a los clientes del sector bancario a cumplir las directrices de externalización de la Autoridad Bancaria Europea (EBA), al introducir el «Certificado de Cumplimiento de la Nube de la EBA», un planteamiento pionero para integrar el cumplimiento de la normativa en nuestras operaciones y contratos.

Para continuar construyendo una mayor confianza y obtener resultados sinérgicos para el sector de los servicios financieros, IBM fue el primer proveedor de cloud en desarrollar una nube específica para la industria de los servicios financieros en 2019. IBM Cloud for Financial Services, desarrollada en colaboración con Bank of America, fue diseñada para abordar los requisitos normativos y de ciberseguridad exclusivos de esta industria, mientras proporciona las ventajas y la flexibilidad de una nube pública en un entorno seguro.

Este entorno cloud tiene como base el Cloud for Financial Services Control Framework, un marco de control que permite a las instituciones financieras abordar sus obligaciones de cumplimiento normativo y gestión de riesgos con un conjunto amplio de controles preconfigurados y específicos de la industria. A la espera de la entrada en vigor de DORA, este marco se revisará y actualizará según sea necesario para que todas las instituciones financieras, ISV y FinTechs puedan seguir alojando con seguridad sus aplicaciones y cargas de trabajo en un entorno de nube de confianza.

El IBM Financial Services Cloud Council reúne a más de 90 expertos de más de 60 instituciones financieras para colaborar e informar continuamente sobre los controles que son necesarios con el objetivo de operar de forma segura con datos sensibles de los bancos en la nube.  Esta red de expertos —compuesta por CIO, CTO, CISO y responsables de compliance y riesgo— se ha reunido para co-crear e impulsar la dirección de la adopción de la nube para cargas de trabajo de misión crítica en este sector altamente regulado.

Recientemente, el IBM FSC Council ha colaborado en la creación de un modelo de métricas cloud centrado en la industria  para abordar la gobernanza y la presentación de informes sobre nube híbrida y multicloud.  Orientado a diferentes niveles de la organización y ampliando los requisitos de DORA para el marco y la gobernanza de la gestión de riesgos de las TIC, este conjunto de métricas ayuda a construir una imagen holística para que la dirección comprenda el riesgo general de la empresa.

2. La resiliencia como un medio, no como un fin

IBM siempre ha sido pionera en entender que el mundo es híbrido. Sabemos que nuestros clientes necesitan ejecutar aplicaciones en sus instalaciones y fuera de ellas con múltiples nubes, impulsando el valor empresarial transformador con todas las posibilidades. La naturaleza cambiante del riesgo y la resiliencia en el panorama cada vez más digitalizado de los servicios financieros es la razón por la que nos dedicamos a dotar a nuestros clientes de la capacidad de medir, mitigar, supervisar e informar constantemente sobre el riesgo de la nube y la eficacia del control en un entorno de múltiples nubes y proveedores.

Estamos profundamente comprometidos con apoyar a nuestros clientes de instituciones financieras europeas a la hora de abordar los retos de la externalización de la nube en cumplimiento de las Directrices de la EBA sobre los acuerdos de externalización, DORA y sus próximas Normas Técnicas Reguladoras. Con la ayuda de Promontory Financial Group, una empresa de IBM, hacemos un seguimiento continuo de las normas y reglamentos nuevos y en desarrollo, asegurando un modelo de operación de riesgo en la nube adecuado, el cumplimiento y el sistema de gestión de riesgos.

Basándonos en nuestras capacidades existentes dentro de IBM Cloud for Financial Services, así como en el continuo diálogo y colaboración con las instituciones financieras y los reguladores a través del Consejo de FS, ponemos gran énfasis en:

• Prácticas de protección de datos más sólidas, incluyendo técnicas de encriptación de datos y prácticas de gestión de claves

En IBM creemos firmemente en la protección de los datos de nuestros clientes a través de medidas técnicas y acogemos con satisfacción el enfoque en la seguridad, la resiliencia y la protección de datos dentro de DORA. IBM utiliza el cifrado, tanto cuando los datos están en tránsito como «en reposo» con las tecnologías Bring Your Own Key (BYOK) y Keep Your Own Key (KYOK), que permiten a los clientes mantener las claves de cifrado que protegen y controlan el acceso a los datos. También procuramos proteger los ‘datos en uso’ a través de Confidential Computing de IBM, que ayuda a mantener los datos continuamente encriptados, incluso cuando se está procesando en la memoria para aplicaciones y procesos empresariales.

• Desplegar de forma segura los servicios en la nube en cualquier lugar y permitir que los datos permanezcan en el país

Con IBM Cloud Satellite estamos llevando la arquitectura moderna de la nube pública al sector financiero. Con un conjunto ampliado de controles de seguridad, compliance y gestión de riesgos, las instituciones financieras pueden ejecutar sus servicios en la nube en cualquier entorno que escojan: en las instalaciones, en edge o a través de múltiples nubes públicas. Además, para aquellos clientes que lo prefieran, la opción EU-only de IBM garantiza que los datos de los clientes se almacenen y se procesen en la UE y que el personal basado en la UE realice actualizaciones y operaciones de servicios en la nube.

• Portabilidad e interoperatividad como pasarelas en la nube para sistemas de TI heredados de las instituciones financieras

Europa necesita un mercado más competitivo, que apoye la innovación, evite la dependencia de proveedores y fomente la portabilidad de los datos para impulsar la transformación.  A medida que las organizaciones europeas adoptan cada vez más la tecnología en la nube, deben recordar que se puede incurrir en riesgos indebidos por la excesiva dependencia de los servicios en la nube de un único proveedor y de sus centros de datos. IBM tiene un largo historial de compromiso con la innovación de código abierto, abogando contra la dependencia de proveedores y a favor de una estrategia de varios proveedores. Nuestra estrategia siempre ha apoyado la libertad de elección y flexibilidad, que consideramos fundamentales para el éxito de nuestros clientes.

3. Permitir a las instituciones financieras evaluar las diferentes categorías de riesgo que afectan a su negocio

Una parte fundamental de nuestra misión es permitir a los clientes europeos desplegar cargas de trabajo de misión crítica con altos niveles de seguridad y cumplir con sus requisitos de soberanía de datos y de cumplimiento normativo.

Con el telón de fondo de un desafiante negocio regulatorio y de amenazas, estamos trabajando para asegurar que nuestros clientes puedan crear una arquitectura con los más altos niveles de control para permitir la velocidad de ejecución a medida que adoptan de forma segura los servicios en la nube. IBM está preparada para ayudar a las empresas en su camino hacia la próxima implantación de DORA, ya que trabajamos juntos para:

• Realizar evaluaciones para identificar las deficiencias y elaborar planes de mitigación de acuerdo con los requisitos de DORA.
• Aprovechar el trabajo realizado para cumplir con las directrices de la EBA aplicadas anteriormente sobre la externalización para entregar y registrar todos los acuerdos de externalización.
• Empezar a trabajar en diferentes escenarios de pruebas, incluyendo pruebas de vulnerabilidad, revisiones de seguridad física, pruebas de penetración, red team/adversary simulations, etc., para elevar el nivel de madurez de sus equipos con respecto a la gestión de la seguridad transversal.
• Implementar los cambios a través de las etapas de compliance y remediación para garantizar que haya una clara alineación entre los objetivos empresariales y de TI.

A medida que las regulaciones están evolucionando para satisfacer las necesidades cada vez mayores de seguridad y privacidad de los datos en un mundo digitalizado, IBM se compromete a mejorar sus tecnologías, procesos y controles en la nube para consolidar su posición como el proveedor de nube de confianza en la UE.