La digitalización de servicios financieros ha provocado que más instituciones busquen opciones para estar a la altura de las necesidades de sus clientes, por lo que se ha acelerado la migración de servicios a la nube; sin embargo, al ser todavía pocos los proveedores que ofrecen este servicio, la Comisión Nacional Bancaria y de Valores (CNBV) está en alerta por los potenciales riesgos que representan gigantes como Amazon Web Services (AWS), Google Cloud o Microsoft.
En un análisis al que tuvo acceso este medio elaborado por la dirección de Riesgo Operacional y Tecnológico de la CNBV, se destacan los riesgos del uso de las nubes que ofrecen los grandes proveedores, los cuales deben de tratarse para minimizar su impacto en caso de materializarse, como, por ejemplo, las caídas en sus servicios como ha sucedido en firmas con Amazon Web Services o Google Cloud.
"Empresas bigtech (gigantes tecnológicos) como AWS, Microsoft y Google encabezan la lista de la nube de proveedores de servicios y se espera que la demanda para estos servicios continuará creciendo... Sin embargo, a pesar de sus múltiples beneficios, los reguladores han identificado algunos riesgos para su tratamiento, con el fin de minimizar el impacto en caso de materialización", destaca el documento.
De acuerdo con el análisis, el servicio en la nube permite a las entidades ahorrar costos, pues rentan de un tercero el almacenamiento y la infraestructura para cumplir distintos aspectos, como pueden ser los normativos en materia de ciberseguridad, continuidad operativa, entre otros.
"(El servicio de la nube) nace como una respuesta a la demanda de tener las aplicaciones al alcance de las empresas y clientes de manera más rápida, así como a las demandas de crecimiento en el volumen de procesamiento de empresas", explica el informe y añade que este servicio es benéfico para las entidades por su alta disponibilidad y bajo costo para ellas.
Según un análisis de la consultora EY, los servicios de la nube ayudan a las entidades a resolver algunas de las preocupaciones más urgentes como pueden ser crear plataformas que atraigan a los clientes; hacer uso de datos de la mejor manera posible; incorporación sin fisuras al ecosistema de los servicios financieros; conexión segura con proveedores, empleados y clientes y lograr escalabilidad e innovación al mismo tiempo que se reducen costos.
Los riesgos detectados por el regulador mexicano se dividen en cuatro áreas:
Continuidad de negocio.
Bloqueo de proveedores.
Concentración.
Riesgos geopolíticos.
Dentro de los aspectos de continuidad de negocio, el regulador apunta que para minimizar el riesgo es necesario el uso de varios proveedores con el fin de minimizar la dependencia de uno solo.
Respecto al potencial bloqueo de proveedores, la CNBV resalta que ante la relevancia que pueden tomar estas entidades, su servicio de acceso a la nube puede cerrarse de forma instantánea para posteriormente, convertirse en un competidor que brinda servicios financieros.
En materia de concentración, el órgano regulador detalla que dado el poder de negociación que pueden tener estas bigtech, así como su tamaño, se vuelven pocos los proveedores en este mercado.
Además de las empresas ya mencionadas que proporcionan el servicio de la nube a las instituciones financieras, existen otros competidores dispersos en el mundo que comienzan a tomar relevancia, por ejemplo, los participantes chinos, tales como Baidu, Alibaba, Tencent, JD.com o el mismo Xiamoi.
Otro riesgo que resalta el regulador dentro de su informe es el que tiene que ver con los aspectos geopolíticos de la región donde está ubicado el proveedor. "En general los proveedores de la nube tienen varias regiones geográficas y varios centros de datos dentro de cada región y si bien las interrupciones no ocurren con frecuencia, pueden ocurrir y causar interrupciones importantes si estas se presentan".
En este contexto, la CNBV acota que es necesario para una institución financiera, antes de contratar a un proveedor de servicios de la nube, preguntarse sobre la estabilidad financiera de la compañía, la situación geopolítica del lugar desde donde opera, las leyes de protección de datos, la soberanía de los datos, el impacto de las regulaciones locales, sus amenazas geográficas, tratados internacionales, entre otras cuestiones.
Pero la preocupación de la CNBV no es la única que ha mostrado algún regulador financiero a nivel mundial. En distintas partes del mundo, como Reino Unido, los reguladores han hecho público su inquietud ante los riesgos similares que ha identificado el regulador mexicano y por ende han actuado en consecuencia.
Inquietud fintech
Uno de los primeros sectores que han sido impactados en su regulación en materia del uso de la nube es el de Instituciones de Tecnología Financiera, o fintech, especialmente las Instituciones de Fondos de Pago Electrónico.
En este sentido, en las disposiciones en materia de ciberseguridad se establece que, con el fin de robustecer los planes de continuidad de negocios, las instituciones deben de contar con un servicio prestado por un proveedor secundario de una jurisdicción distinta de aquella en la que pueda ocurrir el riesgo que dé lugar a la interrupción de los servicios prestados por un proveedor primario. Es decir, que se debe de contar con dos proveedores, uno instalado en territorio nacional y otro en el extranjero.
Esta disposición hizo que la Asociación Latinoamericana de Internet (ALAI) alzara la voz, junto con un grupo de legisladores estadounidenses, al argumentar que la regla impacta negativamente en la adopción del cómputo en la nube, al brindar menos oportunidades de negocio para empresas de Estados Unidos, así como mexicanas, que operan en México.
"Dichos requisitos van en contra del espíritu y la letra de los capítulos de comercio digital y servicios financieros del T-MEC, ya que socavan a los proveedores de servicios financieros de Estados Unidos que ya enfrentan procesos de aprobación inciertos de la CNBV o del Banco de México para el uso de servicios de cómputo en la nube", declaró la ALAI en su momento e hizo que más jugadores IFPE se sumaran a la petición con el argumento de los altos costos que implica la obligación de contratar dos proveedores de nube.
Impulsor necesario
Para especialistas de la industria, los servicios en la nube son necesarios en esta época de digitalización de servicios financieros; sin embargo, para acotar los riesgos, es necesario contar con el servicio de distintos proveedores.
"Es necesario poder usar los servicios que tengo en otro proveedor, para poder hacer un ambiente multicloud y no sólo depender de una nube, lo que mitiga mucho el riesgo en calidad de servicio que al final del día se transforma en dinero", indicó Sammer Atassi, vicepresidente de América Latina de Jumio, firma enfocada en la validación de identidad por medio de herramientas ancladas en la nube.
Para Samuel Llaven Hernández, jefe de ventas en Backbase México, es importante que cada vez más proveedores locales comiencen a ofrecer servicios de nube, con el fin de complementar la oferta de los gigantes en este mercado y así reducir el riesgo de concentración señalado por las autoridades.
"Vemos que algunos jugadores pueden ser adquiridos o bien que den el giro y que se enfoquen en dar servicios de gestión de infraestructura en la nube, pero de forma localizada y con las regulaciones específicas de cada país, en este caso de México", comentó el directivo de la firma que es un proveedor de software de tecnología financiera que ayuda a las instituciones financieras a acelerar sus procesos de digitalización.
De acuerdo con un reporte reciente elaborado por la consultora Frost & Sullivan a solicitud de la firma Infobip, se estima que cuatro de cada 10 instituciones financieras en México y América Latina ya usan soluciones en la nube, principalmente para potenciar sus estrategias de atención al cliente.
Así, para la CNBV, el tema de la nube debe de ser prioritario bajo una premisa: si bien las instituciones se apoyan en un tercero, la misma entidad financiera debe de tener el control en materia de monitoreo, seguridad y configuración, con el fin de minimizar todos los riesgos posibles.