Tres claves para cumplir las normativas: la nube y los servicios financieros

Por Carlos Sanchiz, Manager Solutions Architecture, Amazon Web Services.

Desde su surgimiento, hemos visto cómo la percepción a la nube ha cambiado. Lo que empezó como un acto de fe que nos llevaba a adentrarnos en lo desconocido, se ha convertido en un posibilitador para los negocios que aspiran a experimentar, innovar y crecer. Tanto es así que las organizaciones que han ido postergando su salto a la nube se ven hoy en día relegadas frente a sus competidoras.

El sector de los servicios financieros, siempre sujeto a estrictas y complejas normativas legales, ha sido más cauto que la mayoría. Sin embargo, tras las inquietudes iniciales, hemos pasado a un periodo de entusiasmo, ahora que la capacidad de la nube de ofrecer mayor seguridad, flexibilidad y fiabilidad ha quedado ampliamente demostrada. De hecho, empresas financieras como Starling Bank, Fintonic y Openbank son solo algunos ejemplos de líderes del sector que usan y promueven la utilización de la nube.

La nube se está convirtiendo en algo habitual en el sector de los servicios financieros, por lo que los organismos reguladores del sector están comenzando a extender su actividad reguladora y de inspección para cubrir este tipo de entornos. Esto ha resultado en diversos planteamientos por su parte: algunos organismos han publicado nuevas normativas y recomendaciones específicamente para la nube, mientras que otros se han limitado a actualizar directrices ya existentes para adecuarlas a estas tecnologías emergentes. Sea cual fuere el planteamiento elegido, la creciente preocupación por la privacidad y la ciberseguridad ha resultado en un mayor escrutinio sobre la gestión de los datos en la nube por parte de las instituciones financieras.

Para estas organizaciones, existen tres hilos conductores que suelen dominar el panorama legislativo: la gestión de los datos, la ciberseguridad y la gestión de riesgos. Estas tres claves deberán ser el principal elemento de atención para los responsables tecnológicos que busquen garantizar que su organización se adecúa con las nuevas normativas.

Gestión de los datos

Las compañías que ofrecen servicios financieros suelen albergar enormes volúmenes de datos, ya sean de sus consumidores, del mercado o del personal interno. Con la entrada en vigor de normativas como el RGPD, la gestión de estos datos ha cobrado gran importancia. Con el fin de demostrar que cumplen con la normativa, las instituciones financieras deberán implantar controles y medidas que protejan la seguridad y confidencialidad de los datos que almacenen en la nube.

El primer paso en la gestión de todo conjunto de datos en constante crecimiento es familiarizarse con las soluciones de cifrado de datos. Como medida inicial, las empresas deberán asegurarse de que cuentan con la capacidad de supervisar todos sus datos desde un punto centralizado. Históricamente, la compartimentación de los datos ha sido un obstáculo para el progreso y ha ralentizado drásticamente el funcionamiento interno de cualquier organización. La nube siempre ha representado una solución a este problema, ya que permite visualizar de forma clara y unificada dónde se albergan los datos y gestionarlos de forma centralizada. Dicho esto, también es de vital importancia que los responsables gestionen las claves de cifrado y definan políticas de uso empleando únicamente este punto de control, ya que es la única forma de cifrar eficazmente todos los datos sensibles de la empresa.

Al fin y al cabo, la gestión de los datos en la nube debe tratarse de forma homogénea, sin que el contenido de los datos influya en la decisión. Esto implica que empresas y proveedores de servicios en la nube deberán tratar datos de todos los clientes y los activos que lleven aparejados como algo altamente confidencial, implementando sofisticadas medidas técnicas y físicas que los blinden contra todo acceso no autorizado. Este tipo de planteamientos, a su vez, limita la aparición de puertas traseras y fisuras de seguridad, lo que resulta en un entorno más seguro para todos los elementos de la infraestructura.

Ciberseguridad

Para las instituciones financieras, la ciberseguridad es un asunto de vida o muerte. No solo tienen que cumplir las expectativas de los organismos reguladores, que esperan de ellas una ciberseguridad sólida, sino que una brecha de seguridad podría provocar un daño irreparable a la reputación de la marca, lo que hace de la ciberseguridad un motivo importante de preocupación y algo que debe discutirse incluso al nivel ejecutivo.

Según el estudio semestral realizado por los investigadores de UK Finance para el segundo semestre de 2018, las organizaciones de servicios financieros experimentaron un mayor índice de ciberataques que en el mismo periodo del año anterior. Lo que es aún más preocupante, los ataques son cada vez más sofisticados y están demostrando tener más éxito, lo que hace de la ciberseguridad algo abrumador y potencialmente desmoralizador para estas empresas.

Es llegado este punto en el que los proveedores de servicios en la nube pueden colaborar con estas empresas, adoptando una filosofía de seguridad de responsabilidad compartida. Así, el proveedor de servicios en la nube pasa a ser responsable de la seguridad de la propia nube, ofreciendo con ello niveles de protección a la altura de las organizaciones con los requisitos más rigurosos en materia de seguridad. Sin embargo, las instituciones financieras deberán tener presente en todo momento que son responsables por la gestión de la seguridad de sus actividades en la nube. Por ello resulta vital que las compañías de este sector tengan pleno conocimiento en materia de seguridad y estén al tanto de los procedimientos, procesos y herramientas más modernos para mitigar riesgos, como pueden ser los testeos de penetración o la automatización de funciones de seguridad.

Los testeos de penetración, uno de los principales requisitos implantados por los reguladores financieros, ofrecen un gran ejemplo de cómo funcionan los modelos de seguridad de responsabilidad compartida. Sin ir más lejos, nosotros solemos realizar testeos de penetración contra nuestra propia infraestructura y servicios. Nuestros clientes, por su parte, pueden realizar rastreos de vulnerabilidades y testeos de penetración contra sus propios entornos. Es responsabilidad de cada una de estas instituciones asegurarse de que estas pruebas se realizan periódicamente para garantizar que cumplen con las normativas vigentes.

Gestión de riesgos

En cualquier ámbito de la informática, aquello que no se puede cuantificar, no se puede gestionar. Si los responsables informáticos no cuentan con suficiente visibilidad sobre sus recursos, les resultará prácticamente imposible garantizar que cumplen con las normativas. Esto resulta de especial importancia en el mundo de los servicios financieros, en el que los organismos reguladores esperan ver cómo se implantan procesos robustos de gestión de riesgos para cualquier negocio que utilice infraestructuras en la nube.

Una monitorización constante es la clave para asegurarse de que los usuarios gestionan adecuadamente los riesgos en sus entornos en la nube. Esto permite garantizar que cuentan con las herramientas necesarias para mantener una gobernanza adecuada y que les es posible hacer un seguimiento de todas las acciones efectuadas en el entorno. Es por ello que las empresas deben contar con mecanismos integrales de monitorización que les permitan monitorizar, analizar y auditar todos los eventos que se produzcan en sus entornos en la nube. Una vez implantados estos mecanismos, los ejecutivos no solo contarán con una mayor tranquilidad, sino con un medio con el que demostrar sus niveles de seguridad a los organismos reguladores con total transparencia.

En última instancia, para garantizar que la adopción de la nube en este sector tan estrictamente regulado se realiza con éxito, ambas partes, proveedores de servicios en la nube y sus usuarios, deberán colaborar. En el caso de las empresas de servicios en la nube que quieran asistir a instituciones financieras en su tránsito hacia la nube, resultará crítico que cuenten con líneas abiertas de comunicación con sus clientes y con un punto unificado de referencia técnica para todas las cuestiones de seguridad y adecuación a normativas. Para poder gozar del sinfín de ventajas que ofrece la nube y garantizar al tiempo que se mitigan los riesgos y se cumplen las normativas, las empresas deberán considerar con la máxima cautela cómo gestionan y protegen sus datos en sus entornos.