Resiliencia operativa frente a la innovación tecnológica

La innovación continúa avanzando en la industria de servicios financieros con más participantes del mercado que utilizan nuevas tecnologías para mejorar sus operaciones comerciales, mejorar la resiliencia, automatizar y mejorar las capacidades cibernéticas e identificar formas novedosas de ofrecer ofertas.

Los servicios en la nube se están aprovechando para proporcionar escala, brindar eficiencia comercial y estandarizar pilas de tecnología. La inteligencia artificial (IA) y el aprendizaje automático (ML) están permitiendo a las instituciones financieras utilizar mejor su personal de ciberseguridad y mejorar sus habilidades para identificar comportamientos anómalos. El libro mayor distribuido y la cadena de bloques están brindando nuevas capacidades para volver a imaginar cómo se brindan los servicios financieros, además de proporcionar un marco futuro para la identificación del usuario.

Si bien se conoce el valor de la adopción de nuevas tecnologías, cada beneficio puede conllevar una medida de riesgo, incluido el impacto potencial que un evento operativo podría tener en el ecosistema financiero donde la interconectividad continúa creciendo. Como resultado, cualquier implementación de tecnología debe evaluarse continuamente para identificar posibles debilidades inherentes a la naturaleza de la tecnología o cómo se utiliza.

Las instituciones financieras son muy conscientes de los peligros que plantea el riesgo cibernético. El Barómetro de Riesgo Sistémico anual de DTCC, que actúa como un control de pulso para monitorear los riesgos que pueden afectar la seguridad y solidez del sistema financiero global, mostró que los administradores de riesgos continúan considerando el riesgo cibernético como la mayor amenaza para los mercados financieros globales. El panorama geopolítico solo sirve para aumentar la amenaza cibernética a medida que aumentan los conflictos.

A medida que crece la amenaza de un evento operativo, las autoridades e instituciones financieras deben centrarse no solo en la detección y protección de la información y las operaciones comerciales, sino también en su capacidad para recuperarse de forma rápida y segura de estos eventos.

La resiliencia operativa se centra en las capacidades que las instituciones financieras deben desarrollar para mejorar su preparación general para restaurar las operaciones comerciales. En apoyo de esto, las autoridades e instituciones financieras se asociaron para desarrollar el Principios para la resiliencia operativa del Comité de Supervisión Bancaria de Basilea (BCBS). Estos principios sientan las bases para una nueva reglamentación en esta área.

Los pilares de estos principios incluyen:

• identificar y documentar operaciones críticas;
• determinar el tiempo de inactividad máximo permitido para las operaciones críticas;
• desarrollar mapas de procesos para cada operación crítica;
• determinar escenarios extremos pero plausibles y desarrollar capacidades de resiliencia cuando sea posible; y
• extender la resiliencia a través de terceros/cadena de suministro.

Incidentes como SolarWinds y Kaseya demuestran los impactos potenciales que puede crear un evento operativo de un tercero y, por lo tanto, el enfoque debe continuar dirigiéndose hacia cómo la industria de servicios financieros puede aumentar de manera efectiva la preparación de su cadena de suministro dentro de este panorama de amenazas en evolución. Este riesgo es particularmente importante considerando que muchas instituciones financieras están utilizando activamente proveedores de tecnología de la información y las comunicaciones (TIC) para servicios de nube, IA y ML.

Afortunadamente, el diálogo entre las autoridades financieras y las instituciones financieras continúa aumentando en torno al tema de la resiliencia operativa y los riesgos de terceros/tercerización, lo que probablemente dará forma a las expectativas y fortalecerá la preparación en la industria global de servicios financieros.

Comprender que la resiliencia operativa no es un destino sino un viaje continuo fomentará un enfoque evolutivo. La elaboración de normas debe abordar los riesgos actuales y, al mismo tiempo, ser lo suficientemente flexible para abordar los riesgos en el horizonte.

En última instancia, la forma en que las instituciones financieras manejen los eventos operativos y la rapidez con que se recuperen serán fundamentales para garantizar la confianza continua en los mercados financieros y que seamos capaces colectivamente de preservar la integridad del sistema financiero. Se necesitará que toda la industria trabaje en conjunto para fomentar este resultado.

Acerca del autor.

jason harrell es director gerente de riesgos operativos y tecnológicos y jefe de participación externa en DTCC. En este cargo, se asocia con colegas de la industria, supervisores y reguladores, organismos internacionales de establecimiento de estándares, funcionarios gubernamentales y asociaciones comerciales para abordar iniciativas de políticas e implementar soluciones que mejoren la resiliencia general del sector de servicios financieros.

Harrell contribuye a una serie de grupos de trabajo de resiliencia operativa y cibernética de asociaciones comerciales globales y actualmente es vicepresidente del Instituto de Riesgo Cibernético, una coalición sin fines de lucro de instituciones financieras y asociaciones comerciales enfocada en alinear los marcos de riesgo cibernético con las obligaciones cibernéticas de supervisión.

Antes de trabajar en DTCC, fue director corporativo sénior de riesgos de la información para BNY Mellon Investment Management.

Harrell tiene más de 20 años de experiencia en gestión de riesgos de TI, privacidad y ciberseguridad dentro del sector de servicios financieros.