El ritmo de adopción de la nube en el espacio de los servicios financieros podría reducirse notablemente a menos que el sector pueda encontrar una manera de abordar las preocupaciones regulatorias sobre la resistencia y seguridad de las plataformas que ofrecen los proveedores.
Esa es una de las declaraciones más destacadas de la Asociación de Mercados Financieros en Europa (AFME) Construyendo resiliencia en las nubes informe, que se compiló con la ayuda de la consultora Protiviti y presenta contribuciones y conocimientos de los usuarios de la nube de todo el sector de servicios financieros.
El informe afirma que aunque “el uso de la nube y los proveedores de servicios en la nube [CSPs] ofrece una mejora significativa en la resiliencia y la seguridad en comparación con los entornos locales de los bancos ”, los reguladores siguen preocupados por la seguridad y la resiliencia de la nube pública.
En respuesta a tales preocupaciones, algunas empresas han seguido una estrategia de múltiples nubes, en la que sus datos y aplicaciones residen en entornos operados por múltiples CSP, y otras han tomado medidas para asegurarse de que pueden trasladar sus cargas de trabajo a una plataforma alternativa si es necesario.
Sin embargo, el informe sugiere que tales medidas no son suficientes para apaciguar a los reguladores, que temen que las barreras técnicas puedan evitar que las empresas saquen sus datos de la nube de un proveedor preferido. También sugiere que las configuraciones de múltiples nubes podrían terminar reduciendo la capacidad de recuperación general de una empresa, en lugar de mejorarla.
“Si bien los bancos aumentan la migración a la nube y buscan identificar las soluciones adecuadas, existe la preocupación de que las recomendaciones hacia la portabilidad y la nube múltiple para lograr los resultados buscados por los reguladores introducirán más limitaciones en la adopción”, dice el informe.
“La portabilidad plantea importantes limitaciones técnicas y una pérdida de los beneficios diferenciados de la nube como mecanismo para aumentar la resiliencia”.
En este punto, el informe cita un ejemplo en el que un banco puede tener dificultades para acceder a sus datos en caso de una “salida estresada” de la plataforma de un CSP si, por ejemplo, el proveedor en cuestión deja de operar.
El informe continúa: “Las estrategias de múltiples nubes, aunque se utilizan para contingencias y resiliencia, se adoptan principalmente para acceder a servicios únicos en todos los CSP. Si bien la nube múltiple puede reducir el riesgo de concentración hasta cierto punto, la complejidad técnica, de procesos y de recursos necesaria para admitir múltiples CSP puede conducir a una disminución de la resiliencia en general “.
Por estas razones, ni la portabilidad ni la nube múltiple deben “considerarse apropiados o obligatorios como mecanismos primarios para abordar las preocupaciones regulatorias con respecto a la resistencia y el riesgo de la nube”, dice el informe.
Continúa con cuatro recomendaciones sobre cómo, con el apoyo adicional de los responsables de la formulación de políticas, los reguladores y los CSP, los servicios financieros pueden garantizar que se trasladen a la nube de una manera más segura y resistente.
Estas recomendaciones incluyen asesorar a los CSP para que proporcionen a los bancos y otras instituciones financieras la información que necesitan para comparar los procedimientos de planificación de salida para sus respectivas plataformas, y presentarla en un formato común.
Los CSP también deben ser más transparentes sobre sus capacidades de prueba, recuperación y restauración de seguridad, y esta información debe estar más disponible para los reguladores y los usuarios finales, dice el informe.
Otras recomendaciones incluyen asegurarse de que haya una “alineación regional y global en la resiliencia de la nube y las expectativas de riesgo” y que se fomente el “flujo y almacenamiento de datos transfronterizos en la nube” con el fin de evitar que surjan barreras reglamentarias y técnicas adicionales que podrían segmentar la adopción de servicios en la nube a nivel regional.
“Creemos que estas recomendaciones brindan una guía práctica para generar más confianza, confianza, transparencia y capacidad en los servicios en la nube dentro de los mercados de capitales a medida que aumenta la adopción”, dice el informe.
El informe da paso a un panel de discusión
La publicación del informe coincidió con una mesa redonda en la Conferencia Virtual de Tecnología e Innovación de los Mercados de Capitales Europeos de AFME, en la que participaron representantes de Barclays Bank, Standard Chartered Bank, Google y Protiviti.
La adopción de la nube dentro del sector de servicios financieros se ha recuperado notablemente en los últimos años, luego de la publicación de varias guías que detallan los pasos que estas entidades altamente reguladas deben tomar para garantizar que su mudanza fuera de las instalaciones se lleve a cabo de manera segura, y forma resiliente.
Al mismo tiempo, los incondicionales del sector financiero se han visto sometidos a una presión cada vez mayor para renovar y transformar digitalmente sus ofertas debido a las cambiantes expectativas de los clientes, a medida que la demanda de servicios de respaldo en línea y móviles se ha disparado.
También ha entrado en el mercado una gran cantidad de startups disruptivas, que ha visto acumuladas presiones sobre los operadores tradicionales para que adopten tecnologías y formas de trabajo que les faciliten la respuesta a las condiciones cambiantes del mercado y las amenazas competitivas, lo que incluye la migración a la nube.
En este punto, el participante del panel y director del centro de excelencia en la nube de Barclays Bank, Steve Hooper, elogió las mejoras en la agilidad empresarial que ha producido su traslado fuera de las instalaciones y la diferencia que ha supuesto en la capacidad de la empresa para resistir el Covid-19. pandemia.
Barclays se encuentra en medio de una migración de varios años, multinube y en toda la empresa de su patrimonio de TI, y Hooper confirma que la empresa tiene una combinación de pilas de nubes privadas y públicas que sustentan sus operaciones.
“Tenemos 100 servicios generalmente disponibles para los equipos de aplicaciones en toda la propiedad de Barclays, y estamos implementando cargas de trabajo materiales en nuestras ofertas públicas y privadas, con cargas de trabajo materiales en varias jurisdicciones regulatorias”, dijo.
“Esto nos ha permitido responder rápidamente a cambios inesperados como Covid y los desafíos que planteó, y varias de las tecnologías y servicios en la nube que ofrecemos fueron fundamentales para nuestra capacidad de responder a problemas como la disponibilidad del centro de llamadas y permitir que nuestro personal acceda capacidad del centro de llamadas de forma segura.
“Los cierres en diferentes países y diferentes áreas dieron como resultado clientes que normalmente irían a sucursales y tendrían operaciones cara a cara, moviéndose más hacia [using] nuestros canales digitales o del centro de llamadas “.
Hooper agregó: “Es justo decir que hubiéramos tenido grandes dificultades sin nuestra capacidad de explotar la agilidad y la capacidad de la nube para hacer que esos servicios estén disponibles rápidamente”.
Si bien los reguladores han dado luz verde para que las empresas de servicios financieros usen la nube, y los principales actores del sector, como Barclays, hablan de los beneficios de usar la tecnología, persisten las preocupaciones sobre la creciente dependencia de la comunidad de servicios financieros en un número relativamente pequeño de públicos. empresas en la nube.
Como ya informó Computer Weekly, el Comité de Política Financiera del Banco de Inglaterra propuso la idea en julio de 2021 de introducir medidas de política adicionales para mitigar los “riesgos de seguridad financiera” planteados por la dependencia excesiva de la comunidad de servicios financieros en un puñado de proveedores.
“La creciente dependencia de una pequeña cantidad de CSP y otros terceros críticos podría aumentar los riesgos de estabilidad financiera sin una mayor supervisión regulatoria directa de la resistencia de los servicios que brindan”, dijo un informe publicado por el comité en ese momento.
El director global de nube y DevOps de Standard Chartered Bank, Sebastian Wedeniwski, utilizó la sesión para detallar cómo su empresa, que tiene presencia en 59 mercados en Europa, Oriente Medio y África (EMEA), ha negociado el cambio a la nube desde sus inicios. en su viaje en 2013 con AWS.
En ese tiempo, el uso de la nube por parte de la compañía pasó por tres fases distintas, comenzando con un conjunto de trabajo experimental de prueba de concepto que se centró principalmente en el uso de las capacidades de cómputo de AWS para poder evaluar el riesgo de usar la nube. También ha ampliado sus socios de nube pública para incluir Microsoft Azure a lo largo del tiempo.
“Este trabajo nos dio muchas lecciones aprendidas, en términos de requisitos, cómo deberíamos hacer resiliencia y operaciones”, dijo Wedeniwski.
La segunda fase de la migración a la nube de Standard Chartered se centró en lo que se debía hacer para trasladar sus primeras 15 aplicaciones a la nube, y la tercera fase implicó adoptar lo que Wedeniwski denominó un enfoque de “fábrica de la nube” para escalar la empresa fuera de las instalaciones. ambiciones.
Esto, a su vez, dio paso a que la compañía anunciara una estrategia formalizada de cinco años, primero en la nube en 2020. “Esta es la junta y todo el equipo de administración que ahora trabaja para llevar el 50% de nuestros sistemas bancarios centrales y sistemas comerciales a la nube pública ”, agregó. “Y, por supuesto, todas las aplicaciones nuevas se crean de forma nativa para la nube”.
La compañía ahora tiene más de 60 aplicaciones ejecutándose en la nube pública, en múltiples regiones, como resultado de este trabajo.
Pero habiendo llegado a este punto, dijo Wedeniwski, la compañía ahora tiene un “gran enfoque” en cumplir con las expectativas de resiliencia de los reguladores, incluida la Autoridad de Regulación Prudencial, ya que trabaja para trasladar aún más sus cargas de trabajo fuera de las instalaciones.
“El objetivo para los próximos cuatro años es llevar el 75% de todas las cargas de trabajo a la nube”, dijo. “Aqui es donde estamos ahora. Puedo decir que cada carga de trabajo que trasladamos a la nube es un éxito y aporta valor comercial.
“Sin embargo, estamos trabajando en estrecha colaboración con los proveedores de servicios en la nube y no todos los servicios que necesitamos para la resiliencia están siempre disponibles en todas las regiones. Entonces hay regulaciones [in other countries] donde también tenemos que considerar los requisitos de datos y también los requisitos de los escenarios de conmutación por error, etc. Pero aquí es donde estamos y es una gran historia de éxito para nosotros “.