Fortalecimiento de la resistencia operativa y reducción del riesgo de concentración en los servicios financieros

Este artículo se basa en nuestro blog anterior , que proporciona orientación práctica sobre cómo reforzar la resistencia operativa y administrar el riesgo de concentración en las instituciones de servicios financieros (FSI).

Para garantizar la coherencia con las regulaciones existentes y futuras, incorporamos en nuestro enfoque las principales directrices normativas para las FSI, incluidas las consultas en curso sobre el tema de la resistencia operativa.

Entre las que se incluyen:

• Consulta del Consejo de Estabilidad Financiera (FSB) sobre la mejora de la gestión y supervisión de riesgos de terceros (22 de junio de 2023 Consulta del FSB)
• Ley de resistencia operativa digital (DORA) de la UE
• UK SS1/21: Resistencia operativa y subcontratación SS2/21 y administración de riesgos de terceros
• Régimen de CTP del Reino Unido: Terceros críticos del sector financiero del Reino Unido (PS16/24, SS6/24 & SS7/24)
• Guía interinsistencia de EE. UU. sobre relaciones de terceros
• Informe del Tesoro de EE. UU. sobre informática en la nube
• Directrices de riesgo de terceros de Canadá
• Creación de un foro de resistencia en la nube por parte de la Autoridad Monetaria de Singapur
• Principios de IOSCO de 2021 sobre subcontratación

Nuestro enfoque es coherente con las publicaciones enumeradas y se actualizará con el tiempo. Nuestro objetivo es ayudar a los clientes a crecer e innovar de forma responsable y conforme a las normativas de FSI existentes y futuras.

Información general

En lo que respecta al uso de la tecnología en la nube en las FSI, la resistencia operativa y el riesgo de concentración están entrelazadas porque se aborda mediante el fortalecimiento de la resistencia operativa en varias regulaciones. Ambos están preocupados por un amplio conjunto de medidas, incluida la identificación y supervisión de relaciones críticas de terceros, los requisitos para fortalecer la gobernanza y la administración de riesgos, y la orientación en torno a la continuidad empresarial y el planeamiento de las salidas.

Nuestro objetivo es ayudar a las FSI a abordar y reforzar su resistencia operativa para ayudarles a administrar el riesgo de concentración a nivel empresarial de forma coherente con las directrices normativas. Es importante que este tema se aborde holísticamente y teniendo en cuenta todas las relaciones de terceros. El uso de servicios en la nube y dependencias en productos de software locales debe mantenerse y mantenerse seguro. Además, la subcontratación en relación con las funciones críticas también se aborda habitualmente en la orientación normativa.

En la consulta del FSB del 22 de junio de 2023, se definió un servicio crítico como un servicio cuyo fallo o interrupción podría afectar significativamente a la viabilidad, las operaciones críticas de una institución financiera o su capacidad para cumplir con las obligaciones legales y reglamentarias clave. Son principalmente estos servicios los que se centran a la hora de administrar el riesgo de concentración.

La concentración debe distinguirse del riesgo de concentración. La concentración de dependencias de terceros es habitual hoy en día en muchos servicios de FSI críticos y es posible que no sea factible eliminarlo. Por ejemplo, si tiene en cuenta el uso amplio de redes de información financiera (por ejemplo, Bloomberg o Thomson Reuters) y editores de software como IBM y Oracle, queda claro que la sustitución completa sería complicada. Uno puede diseñar un plan de salida para un servicio de terceros específico, pero resulta difícil interrumpir todo el uso de una solución de terceros para grandes instituciones financieras. Por lo tanto, debe centrarse en reducir el riesgo de concentración para que permanezca dentro de las tolerancias al riesgo de una organización.

Aunque algunos de estos ejemplos ya son importantes desde el principio, a menudo no se perciben como portadores de niveles elevados de riesgo de concentración porque se distribuyen entre varias ubicaciones que están geográficamente dispersas. Como resultado, la mayoría de los errores solo tienen un impacto limitado (no global). También ofrecen los niveles más altos de resistencia mediante el diseño de vanguardia, como operaciones seguras y resistentes, uso de automatización e implementación de Confianza cero. Estos diseños han sido confirmados por varios terceros independientes a través de diversos procesos de certificación. Este conjunto colectivo de medidas ha bajado el perfil de riesgo global, aunque, a nivel firme, la concentración sigue estando en vigor.

Las FSI deben centrarse en el fortalecimiento de la resistencia operativa y deben realizarse de forma coherente con las normas y las directrices. Es importante tener en cuenta que las regulaciones no obligan a las FSI a implementar soluciones híbridas o multinube, sino que adoptan un enfoque basado en principios, basado en riesgos y sin tecnología para abordar el riesgo de concentración. Estos riesgos también pueden existir en un entorno local.

Más allá de los aspectos operativos, los reglamentos también resaltan los riesgos no operativos en relación con la subcontratación, en particular los riesgos de insolvencia financiera y los enfoques de resolución. Los riesgos no operativos no se pueden gestionar a través de medidas tecnológicas, sino que se abordan con medidas legales durante la fase de contratación e invocando la estrategia de salida.

Un enfoque de 6 pasos para administrar el riesgo operativo en los servicios financieros

Hay varios elementos que deben tenerse en cuenta antes de tomar decisiones críticas sobre cómo administrar los riesgos operativos, por lo que hemos introducido un enfoque de seis pasos para abordar el riesgo de concentración y fortalecer la resistencia operativa:

Paso 1: Actualización de la gobernanza de riesgos en la nube

La tecnología en la nube en la regulación de servicios financieros se rige principalmente por directrices de subcontratación de terceros que se aplican específicamente en este contexto, con diferentes conjuntos de normativas que se aplican al entorno de TIC local. Las consultas más recientes, como se hace referencia en la introducción, adoptan un enfoque holístico a la hora de fortalecer la resistencia operativa. Por ejemplo, los proyectos de reglamento, como DORA y DORA ICT RMF, no solo se aplicarán al entorno local, sino que también considerarán el uso de proveedores de servicios de terceros de TIC como parte integral de su marco.

Además, como se describe en la Consulta del FSB del 22 de junio de 2023, el enfoque principal se centra en los servicios críticos. También lo vemos en otras regulaciones como DORA. Es necesario centrarse en los servicios críticos porque, de lo contrario, el ámbito de los servicios que se van a evaluar es demasiado amplio a medida que los servicios tecnológicos se interconectan cada vez más.

Por lo tanto, recomendamos que las empresas revisen los marcos internos de gobernanza de riesgos e incorporen holísticamente estas nuevas medidas de resistencia operativa con un enfoque en los servicios críticos, incorporando diversas directrices sobre la subcontratación de terceros o en la nube para garantizar el cumplimiento.

Entre las preguntas adecuadas que se pueden formular en este contexto se incluyen las siguientes:

1. ¿Se han definido tolerancias claras a los riesgos de la organización?
2. ¿Qué servicios son críticos para la empresa?
3. ¿Qué escenarios de amenazas reales pueden afectar a estos escenarios?
4. ¿Cuál es el apetito general de riesgo de mi empresa?

Los marcos de gobernanza de riesgos también deben actualizarse anualmente para garantizar el cumplimiento continuo en un panorama normativo en rápida evolución.

Las normas y directrices de la introducción se alinean con estas preguntas como punto de partida en lo que respecta al fortalecimiento del riesgo operativo. Para tener en cuenta estos requisitos en todas las jurisdicciones, Microsoft ha creado un amplio conjunto de listas de comprobación de cumplimiento de servicios financieros para ayudar a los clientes a autoevaluar las regulaciones en varios países o regiones en lo que respecta al uso de la tecnología en la nube. Estas listas de comprobación presentan asignaciones normativas y apuntan a información específica relevante al evaluar el uso de la tecnología en la nube de Microsoft.

Además, el Programa de cumplimiento de Microsoft Cloud se ha diseñado para ayudar a las funciones de riesgo y cumplimiento en las tres líneas de defensa para cumplir con estas regulaciones y abordar los riesgos generales relacionados con el uso de la nube. El programa ofrece características proactivas y reactivas, ofreciendo un canal de soporte técnico premium para las partes interesadas de riesgo.

Paso 2: Identificar la concentración

Cuanto mayor sea el nivel de concentración de servicios con un único proveedor de terceros, mayor será el potencial de impacto adverso si algo sale mal, lo que se conoce como riesgo de concentración. Este riesgo es la razón por la que las organizaciones deben tener un conocimiento claro de todas las dependencias entre procesos empresariales, plataformas de TIC, software y relaciones de terceros.

La asignación de estas dependencias se realiza normalmente como parte del análisis de impacto empresarial (BIA). Una vez que todas las relaciones de terceros se han identificado y asignado a casos de uso críticos, es posible identificar el nivel de concentración de servicios críticos con un único proveedor de terceros. Esta visión permite a las empresas identificar dónde deben centrarse al administrar el riesgo de concentración.

En el caso de los servicios de Microsoft Cloud, es posible identificar posibles concentraciones para cargas de trabajo críticas mediante la revisión de los identificadores de suscripción e inquilino en el Azure Portal. Las empresas también pueden ver y filtrar la información de recursos de Azure que puede ayudar a proporcionar un conocimiento detallado de qué servicios se usan dentro de una organización. Esta información se puede exportar y se puede correlacionar con la información interna de BIA para ayudar a identificar las dependencias críticas en tiempo real. Para Microsoft 365, las empresas también pueden generar informes en el Centro de Administración tanto en las licencias adquiridas como en la actividad.

Paso 3: Evaluación de alternativas

Una vez que una empresa comprende sus dependencias y cómo se relacionan con los casos de uso críticos, el siguiente paso es abordar el riesgo de concentración asociado. Empiece por identificar una breve lista de alternativas factibles que se pueden investigar más en profundidad. Entre las preguntas que puede que desee abordar se incluyen:

• ¿Qué alternativas prácticas existen en el entorno local, híbrido, multi sourcing y nube completa?
• ¿Cuáles son los inconvenientes y ventajas de cada uno?
• ¿Cómo se comparan sus perfiles de riesgo entre sí? ¿Qué resistencia tiene cada alternativa?
• ¿Cuáles se ajustan mejor al apetito de riesgo y a la estrategia en la nube de la organización?
• Al planear una salida, ¿es posible y deseable una salida completa del proveedor? ¿Qué alternativas se pueden considerar?

El riesgo de concentración es un término agregado que apunta al mayor impacto que tendría un evento adverso en uno o más servicios críticos. Al evaluar estos riesgos, se debe evaluar cada uno de los escenarios de amenazas subyacentes, lo que a su vez conduce a una visión matizada que incluye tanto las ventajas como los inconvenientes asociados a la concentración de servicios. Entre los factores de amenaza que se deben tener en cuenta se incluyen desastres del centro de datos, errores de hardware, interrupciones de red, ciberataques, cambios y actualizaciones defectuosos, errores humanos, etc. Para cada una de estas medidas de mitigación apropiadas debe tenerse en cuenta cuidadosamente. Las empresas también deben tener en cuenta los costos de mitigación, la complejidad y la disponibilidad de aptitudes internas al considerar la solución preferente para abordar el riesgo de concentración.

Puede ser posible y, en algunos casos, incluso deseable mantener la concentración para que las empresas puedan fortalecer al máximo la resistencia. En lugar de intentar eliminar completamente la dependencia de terceros, las empresas deben centrarse en reforzar la resistencia operativa abordando los escenarios de amenaza subyacentes asociados al riesgo de concentración (por ejemplo, un evento de desastre en un centro de datos regional). Estos escenarios a menudo se pueden abordar fácilmente y con menos inconvenientes al (i) reducir la probabilidad de que se produzca el evento de amenaza y (ii) limitar su impacto mediante la reducción de la concentración:

1. La reducción de la probabilidad se logra mediante el fortalecimiento de la resistencia en el diseño de la solución. Un sólido conjunto de procedimientos de administración de riesgos puede mejorar la resistencia operativa a pesar de la concentración de funciones críticas con un único proveedor de terceros. Las medidas pueden incluir la ejecución en una infraestructura de última generación, la ejecución de un modelo de seguridad de confianza cero, la aplicación de revisiones a los sistemas con las actualizaciones más recientes, la garantía de que las medidas de continuidad empresarial se han configurado y demostrado que funcionan, la implementación de tecnologías modulares y de código abierto, (por ejemplo, contenedores), etc. Cada uno de ellos contribuye a obtener un entorno máximamente resistente.

2. Para limitar el impacto al reducir la concentración en niveles inferiores , diseñe sus servicios para que funcionen en varias zonas de disponibilidad en una configuración activa/activa; garantizando que haya suficientes redundancias y mecanismos de recuperación (por ejemplo, copias de seguridad) y aprovechando los diseños con redundancia geográfica. Estas configuraciones no solo generan una mayor resistencia y mejores ACUERDOs de Nivel de Servicio, sino que también ayudan a mitigar las amenazas, como la pérdida de un único centro de datos o incluso de toda una región debido a su naturaleza distribuida. El impacto de las amenazas puede reducirse, reduciendo también el riesgo de concentración, en algunos casos incluso más allá de lo que es factible en escenarios locales o híbridos.

En conclusión, si una topología de nube completa ofrece una mayor resistencia en comparación con las alternativas, el riesgo de concentración también se reducirá de forma eficaz aunque la concentración en sí no se reduzca. Este resultado puede ser aceptable e incluso deseable.

Se recomienda incorporar este modelo operativo en una directiva de nube corporativa, ya que proporciona orientación a los equipos empresariales y de TIC sobre cuál es la topología preferida para una organización y qué elementos deben tenerse en cuenta como parte de su diseño de solución. Otra razón para tener en cuenta esto es que a menudo se realizan alianzas estratégicas con uno o más proveedores de nube para la entrega de servicios de terceros de TIC y los enfoques para administrar los riesgos asociados a menudo se administran a un nivel superior.

Paso 4: Diseño para la resistencia

En esta fase, los equipos de tecnología de las TIC, seguridad y operaciones comienzan a profundizar en el diseño de la solución mediante la creación de las conclusiones y requisitos de los casos anteriores en casos de usuario individuales.

Los equipos de TIC deben asegurarse de que configuran y diseñan aplicaciones para que sean seguras y resistentes de forma predeterminada. Esto significa garantizar que las soluciones sean confiables, seguras, libres de puntos de error únicos y que potencialmente aprovechen las zonas de disponibilidad para establecer objetivos de tiempo de recuperación (OCR), objetivos de punto de recuperación (RPO) y niveles de servicio (SLA) según sea necesario para la empresa. La implementación de copias de seguridad cuando sea necesario, la actualización de los planes de continuidad empresarial y salida también forma parte del proceso.

Al intentar maximizar los ACUERDOs de Nivel de Servicio de un extremo a otro con la tecnología en la nube de Microsoft, considere la posibilidad de revisar nuestros Acuerdos de Nivel de Servicio para Microsoft Online Services. Verá que los ACUERDOs de nivel de servicio varían según el servicio y dependen de las opciones de diseño del cliente, con acuerdos de nivel de servicio más altos para las implementaciones en varias zonas de disponibilidad. Al elegir el diseño adecuado, los clientes pueden lograr un Acuerdo de Nivel de Servicio de disponibilidad mensual del 99,999 % en la nube.

Garantizar un diseño seguro y seguro por defecto no es tarea fácil y existe el riesgo de que los equipos de TIC dejen puntos débiles o se produzcan errores durante sus implementaciones. Este desafío es la razón por la que ofrecemos instrucciones sobre los procedimientos recomendados al implementar en la nube de Microsoft.

Los servicios SaaS como Microsoft 365 y Dynamics 365 se han diseñado desde cero para maximizar la resistencia y minimizar la interrupción de estos servicios en la nube. Tenemos redundancias integradas para servicios como Exchange, SharePoint, OneDrive, Teams & Microsoft Entra y hemos diseñado el servicio de forma que pueda funcionar con varias capas de abstracción entre las capas de hardware y centro de datos. Los detalles sobre cómo funciona esto se incluyen en nuestra documentación de garantía de servicio aquí en Cumplimiento de Microsoft.

También ofrecemos instrucciones sobre cómo implementar la protección contra ransomware para el inquilino de Microsoft 365 aprovechando las funcionalidades integradas de control de versiones y restauración de Microsoft 365. Cuando se configura correctamente, esto puede ser suficiente para las organizaciones, pero muchas empresas grandes buscan tener capacidades para recuperarse y restaurarse de cualquier incidente, incluidos los ataques de ransomware, de una manera más granular y cruzando intervalos de tiempo prolongados. Aquí es donde se incluye la copia de seguridad de Microsoft 365 , que ayudará a recuperarse rápidamente con puntos de recuperación frecuentes y tiempos de recuperación masiva rápidos. Está disponible tanto como servicio de Microsoft como a través de algunos asociados que pueden ofrecer características adicionales para satisfacer sus necesidades. Puede encontrar soluciones de asociados reconocidas basadas en la plataforma de almacenamiento de Copia de seguridad Microsoft 365 aquí. También puede leer sobre cómo tomar una decisión de adquisición de soluciones de copia de seguridad en esta notas del producto. Las soluciones que se basan únicamente en una copia exportada de los datos de Microsoft 365 tendrán dificultades para proporcionar un rendimiento de tiempo de recuperación suficiente para ayudarle a recuperar las operaciones empresariales después de un evento que afecta a la resistencia. Tenga en cuenta el rendimiento de la solución que adquiere cuidadosamente para que esté en la mejor posición para cumplir los requisitos de DORA.

Las cosas pueden volverse complejas cuando una solución se compila en Azure (IaaS). Por lo tanto, Microsoft creó Microsoft Azure Well-Architected Framework para proporcionar instrucciones adicionales sobre cómo diseñar para la confiabilidad y la seguridad. Microsoft proporciona recursos para ayudar a las empresas a implementar escenarios de alta resistencia, incluida una introducción a la confiabilidad de Azure, información general sobre la seguridad de Azure y revisión de los conceptos de Azure Availability Zones y Regiones. Otros aspectos a tener en cuenta incluyen el establecimiento de la excelencia operativa y, en menor medida, la optimización de los costos y el rendimiento.

Por lo tanto, hay que prestar mucha atención a la seguridad general, especialmente en los servicios financieros. Se recomienda evaluar la seguridad en microsoft Cloud Adoption Framework para Azure, que proporciona principios básicos e instrucciones prácticas sobre cómo abordar las amenazas de ciberseguridad actuales de forma más eficaz en nuestra nube. También incluye vínculos a arquitecturas de referencia y líneas base de seguridad para diferentes casos de uso.

Por último, Los equipos de TIC deben implementar recursos en la nube de forma que cumplan todos los requisitos normativos e internos de la directiva. Azure Governance ayuda a las empresas a implementar estos requisitos de control interno y normativo mediante la aplicación de dichas directivas a los recursos de la nube de Azure. Además, las empresas pueden revisar nuestra introducción a Azure híbrido y multinube, lo que ayuda a admitir implementaciones híbridas y multinube.

Paso 5: Prueba del plan de continuidad empresarial

El proceso de planificación y pruebas de continuidad empresarial ha sido bien establecido en las FSI reguladas. El enfoque de este paso se centra en evaluar los impactos que pueden provocar la interrupción de la subcontratación de terceros (uso de la nube de Microsoft) en este proceso. Un buen ejemplo de pruebas se aborda en el artículo 26 Pruebas de los planes de continuidad empresarial de las TIC del proyecto RTS de DORA sobre los procesos y las directivas de las herramientas de gestión de riesgos de TIC.

Hay un aspecto de la responsabilidad compartida sobre esto, y nuestra información general sobre la resistencia y continuidad de Microsoft ayuda a los clientes a prepararse para escenarios de desastres. Ofrece instrucciones específicas para cada servicio en la nube de Microsoft, incluido cómo Microsoft se ocupa de la continuidad empresarial de cada servicio y instrucciones sobre cómo los clientes pueden aprovechar los servicios en la nube de Microsoft para prepararse para los eventos de desastres.

Las empresas financieras deben probar periódicamente la continuidad empresarial al usar Microsoft Cloud, ya que la responsabilidad sigue el modelo de responsabilidad compartida. En el caso de soluciones SaaS como Microsoft 365 y para algunos servicios de Azure, Microsoft es responsable de realizar estas pruebas a intervalos regulares. Para obtener más información, los clientes pueden revisar el informe trimestral de validación del plan de continuidad empresarial y recuperación ante desastres de Microsoft que Microsoft publica en su Portal de confianza de servicios en la sección Continuidad empresarial y recuperación ante desastres para obtener más información sobre cómo se han realizado los servicios en la nube de Microsoft específicos.

Paso 6: Preparación de planes de salida

Algunos escenarios de amenazas no se pueden administrar con planes de continuidad empresarial o medidas de resistencia técnica, como el riesgo de quiebra o resolución del proveedor de terceros. Un plan de salida tiene la ventaja de lidiar con estos escenarios catastróficos y debe considerarse complementario a haber probado planes de continuidad empresarial.

Esta es la razón por la que cada organización debe tener una estrategia de salida general y planes de salida individuales para sus casos de uso críticos, ya que esto se basa en varias regulaciones y directrices futuras.

La sección 3.7 de la Consulta del FSB del 23 de junio ofrece orientación útil que apunta a elementos de una estrategia de salida y planes de salida, tales (i) acordar contractualmente períodos de transición para minimizar el riesgo de interrupción; (ii) garantizar que los activos lógicos y físicos, incluidos los datos y las aplicaciones, se devuelvan de forma rentable y oportuna y (iii) disponer de disposiciones contractuales relacionadas con la propiedad, el mantenimiento, la conservación y la disponibilidad a largo plazo de los registros según corresponda.

El artículo 28 (8) de la DORA también exige que las empresas desarrollen estrategias de salida para los servicios de TIC que apoyen funciones críticas o importantes. Del mismo modo, la Declaración de Supervisión SS2/21 de la PRA del Reino Unido sobre la subcontratación y la gestión de riesgos de terceros de marzo de 2021 tiene una amplia descripción de los requisitos de planificación de salida en la sección 10 y también introduce el concepto de salidas estresadas. Las empresas financieras de estas jurisdicciones deben evaluar estas directrices y establecer acuerdos contractuales adecuados que puedan respaldar la ejecución del mismo, por ejemplo, exigiendo períodos de transición obligatorios durante los cuales los proveedores de servicios de terceros de TIC continúen prestando servicios pertinentes (por ejemplo, el artículo 30.3.f de la DORA hace referencia al establecimiento contractual de un período de transición adecuado obligatorio).

En un documento técnico escrito por la Federación Bancaria Europea en junio de 2020 se describen algunas de las formas en que se pueden realizar pruebas del plan de salida para las instituciones financieras de conformidad con las Directrices de la ABE.