Por: Eric Parrado Superintendente de Bancos e Instituciones Financieras
Con la nueva normativa sobre cloud computing se busca contribuir a la innovación tecnológica en la industria bancaria, fijando requerimientos mínimos a las instituciones para que la externalización de servicios a través de la nube no signifique aumentar riesgos de las personas y de la banca.
La rápida evolución de los servicios financieros ha requerido, por parte de los bancos, del uso de nuevas soluciones tecnológicas, dentro de las cuales se encuentran los servicios en la nube, conocidos como cloud computing. Esto es un modelo de prestación de servicios configurable según demanda para la provisión de servicios asociados con las tecnologías de la información a través de redes, basado en diferentes enfoques o estrategias de suministro. Su penetración en la industria es tal que, de acuerdo con la consultora Gartner, los servicios de cloud computing en el mundo generarán ingresos por cerca de US$400 mil millones en 2020.
Claramente, el uso de nuevas tecnologías en todos los sectores de la economía es importante y deseable, toda vez que las mejoras operacionales, bien utilizadas, pueden generar un gran aporte a la eficiencia y a la prestación de servicios a los clientes. Sin embargo, el sector financiero y el bancario tienen riesgos particulares, asociados al resguardo de la continuidad operacional y la seguridad de la información. Sin ir más lejos, una encuesta de la empresa de servicios de cloud computing Fugue a 300 profesionales de tecnologías de la información, reveló que el 44% de las empresas no puede realizar un control adecuado de su infraestructura de nube.
Como regulador y supervisor bancario debemos hacernos cargo de estos riesgos. Pero nuestra mirada considera que esto genera un importante punto de encuentro entre la innovación y la regulación, que motiva a la colaboración y a la generación de nuevas normativas adecuadas a las nuevas realidades de la industria.
En este contexto, la Superintendencia de Bancos e Instituciones Financieras (SBIF) ha emitido una nueva normativa, después de un proceso formal de consultas, sobre la externalización de servicios en modalidad cloud computing. Esta nueva normativa fija ciertas condiciones mínimas que deben cumplir las entidades financieras para la externalización de servicios de ese tipo, y que además de las ganancias en eficiencia, están orientadas a mitigar los riesgos asociados.
Entre otras novedades, esta normativa establece, primero, que el directorio del banco deberá pronunciarse anualmente sobre la tolerancia al riesgo que está dispuesto a asumir en este tipo de externalizaciones, considerando un análisis de los datos a almacenar o procesar bajo esta modalidad, y su ubicación. Segundo, la norma plantea que las instituciones financieras podrán externalizar servicios en la nube pública o privada para sus servicios no críticos bajo las consideraciones mencionadas en la norma según la actividad de que se trate. Tercero, en caso de que lo que se quiera externalizar esté ligado a una actividad considerada estratégica o crítica, la norma exige un chequeo en profundidad de las características del proveedor y del servicio.
Este examen incluye, entre otros, considerar que el proveedor cuente con experiencia y certificaciones independientes, reconocidas internacionalmente, en términos de gestión de la seguridad de la información, la continuidad del negocio y la calidad de servicios que recojan las mejores prácticas vigentes. Y la norma exige que los contratos de externalización de servicios sean realizados directamente entre la institución contratante y los proveedores, con la finalidad de minimizar los riesgos que podría aportar el rol de intermediario en este tipo de servicios.
Con esta normativa buscamos contribuir a la innovación tecnológica en la industria bancaria, fijando los requerimientos mínimos que deben cumplir las instituciones para que la externalización de servicios a través de la nube no signifique un aumento de los riesgos para la institución contratante, sus clientes, y el sistema general. Con esto, establecemos adecuados requerimientos regulatorios de control y gestión de riesgos, sin poner trabas en un contexto donde es deseable e inevitable la incorporación de nuevos avances en materia del uso de nuevas y buenas tecnologías.
A su vez, con esta norma ponemos a Chile a la vanguardia en el uso de nuevas tecnologías y el manejo de sus riesgos y como superintendencia nos alineamos con las mejores prácticas internacionales desarrolladas en esta materia, en un contexto en que reguladores como la Autoridad Bancaria Europea también han fijado estándares.
No obstante, de cara al futuro creemos que la regulación para la innovación en la banca es un desafío en el que no sólo debemos trabajar los reguladores, sino también el Gobierno y la industria, generando un punto de encuentro y un diálogo que nos permita avanzar como país hacia un modelo de banca sustentable y con ello, a contar con un sistema financiero cada vez más solvente y estable.