A lo largo de la última década se observa que el desarrollo de las tecnologías de la información no solo ha cambiado las expectativas de los clientes con respecto a los servicios bancarios, sino que también ha modificado la forma en la que las entidades bancarias operan y prestan esos servicios. En concreto, la aparición de la computación en la nube ha tenido un impacto muy significativo en la manera en la que los bancos estructuran sus negocios, así como en las tareas que consideran que aún se deben hacer internamente y las que se pueden externalizar.
Los servicios en la nube representan una clara palanca de nuevas oportunidades y beneficios para el negocio bancario; sin embargo, hay que tener en cuenta que representan un gran reto en lo que se refiere a la gestión del riesgo. Con el objetivo de aprovechar los beneficios del uso de servicios en la nube, al tiempo que se garantiza que los riesgos relacionados se identifiquen y gestionen adecuadamente, la Autoridad Bancaria Europea (EBA) publicó el 20 de diciembre de 2017 el informe final con sus recomendaciones sobre la subcontratación de este tipo de servicios; y ya sabemos del carácter algo más que voluntario de las recomendaciones emanadas de esta entidad.
En concreto, se han desarrollado de acuerdo con el artículo 16 del Reglamento (UE) 1093/2010 («el Reglamento EBA»), que ordena a la propia EBA a emitir directrices y recomendaciones dirigidas a las autoridades competentes con el objeto de establecer sistemas y prácticas de supervisión que garanticen la aplicación común, uniforme y coherente de la legislación de la Unión Europea. La fecha límite para que las autoridades nacionales competentes informen de si han adoptado, tienen intención de cumplir o las razones de no cumplimiento de las recomendaciones es de dos meses después de la publicación de su traducción. Y, en su caso, serían de aplicación desde el 1 de julio de 2018.
Recomendaciones
El conjunto de las 29 recomendaciones desarrolladas por la EBA se puede agrupar en siete aspectos clave:
- Evaluación de materialidad (recomendación 1).
- El deber de informar (recomendaciones 2, 3, 4 y 5).
- Derechos de acceso y auditoría (recomendaciones 7, 8, 9, 10, 11, 12, 13 y 14).
- Seguridad de datos y sistemas (recomendaciones 15, 16, 17 y 18).
- Localización y procesamiento de datos (recomendaciones 19 y 20).
- Externalización en cadena (recomendaciones 21, 22, 23, 24 y 25).
- Planes de contingencia y estrategias de salida (recomendaciones 26, 27, 28 y 29).
Dentro de ellas, las medidas de seguridad son una pieza clave para la gestión del riesgo. Entre ellas cabe destacar el derecho de auditoría, la necesidad de identificar el nivel de protección adecuado para garantizar la confidencialidad, la integridad, la disponibilidad y la trazabilidad de los datos y sistemas, la monitorización de las medidas de seguridad adoptadas y la elaboración y prueba de los planes de contingencia. Además, hay que mencionar que todo ello debe ser supervisado de forma continua.
Otro aspecto relevante que abordan es el riesgo asociado a la externalización en cadena. Así, el proveedor del servicio solo debería subcontratar a su vez con un tercero que cumpliera los mismos requisitos, estando obligado a tomar las medidas apropiadas para gestionar el riesgo de fallo de cualquiera de las actividades subcontratadas.
Pero, ¿cómo puede una organización ejercitar los derechos de acceso y auditoría? El texto deja claro que este derecho no puede estar limitado por acuerdos contractuales y que deberá llevarse a cabo en base a los pertinentes análisis de riesgo. Evidentemente, todas y cada una de ellas pueden utilizar sus recursos propios para hacerlo, multiplicando controles similares a todos los proveedores comunes. Pero la EBA también plantea dos posibles modelos más eficientes: auditorías compartidas (pooled audits) o certificación por terceros independientes.
En todo caso, el alcance de las auditorías deberá cubrir todos los sistemas (procesos, aplicaciones, infraestructuras, centros de proceso de datos, etc.), así como los controles clave, que deberán estar basados en estándares internacionales y asegurarse su efectividad operacional.
En este sentido, ¿qué requisitos debería cumplir una metodología que permitiese llevar a cabo esta supervisión? En concreto, debe disponer de diferentes niveles de exigencia para poder corresponder a los niveles de riesgo determinados por cada entidad para su servicio particular; evaluar tanto procesos (sistemas de gestión) como las medidas de seguridad técnicas realmente implementadas; corresponderse y mapearse con estándares internacionales de amplio reconocimiento; posibilitar la incorporación de requisitos específicos (sectoriales) de las entidades; tener en cuenta todos los componentes de los servicios auditados, incluyendo la cadena de subcontratación completa; realizarse de forma continua para garantizar su validez durante toda la vida de los servicios; y ser ejecutada por profesionales de experiencia y conocimientos contrastados y que garanticen la corrección e imparcialidad de los resultados.
El sector financiero español es líder del mercado, ya que cuenta con el modelo más eficiente en cuanto a la compartición de costes, aplicable a los servicios en la nube.
Metodología Leet Security
La metodología de Leet Security cumple –posiblemente sea la única– con todos estos requisitos, pudiendo ser empleada en su modelo estándar de calificación independiente, que permite a los proveedores de servicios acreditar a todos sus clientes (y no solo a los del sector financiero) que sus servicios están construidos y operados de forma segura con las medidas de seguridad correspondientes al nivel mostrado en la calificación.
Con dicha calificación, las entidades financieras cubren otra de las recomendaciones para llevar a cabo una selección previa de los proveedores adecuados acorde al nivel de riesgo de las actividades subcontratadas, habiendo decidido para ello los niveles de confidencialidad, integridad y disponibilidad requeridos. Normalmente, las condiciones se plasman en un contrato, y solamente son –o pueden ser– verificadas con posterioridad. La calificación de un servicio permite comprobar antes de su contratación el nivel de seguridad ofrecido por el mismo y comparar entre diferentes opciones para seleccionar la más adecuada.
Pero también aporta una ventaja única utilizada como base para el modelo de auditorías compartidas que propugna la EBA. Es decir, si las entidades financieras ponen en común sus intereses en lo referente a requisitos sectoriales específicos, estos pueden ser mapeados sobre el referencial, como lo están otras normativas, como el Esquema Nacional de Seguridad, PCI DSS o NIST SP 800-53, e incluso, y de la misma forma, ampliándolo con los controles que no estén previamente recogidos, para configurar un modelo que se adecúe completamente a las necesidades del sector financiero.
De esta manera, se obtiene un referencial con la gama más completa de medidas técnicas y organizativas de seguridad, incluyendo requisitos sectoriales específicos, estructurado en diferentes niveles para adecuarse a todas las necesidades y dotado de una metodología de auditoría y supervisión para garantizar la aplicación continua durante la vida de los servicios subcontratados.
Este enfoque diferencial y único permite al sector financiero español posicionarse como líder frente al resto de entidades del mercado, ya que supone una clara situación de ventaja competitiva, con el modelo más eficiente en cuanto a la compartición de costes con el mejor esquema para la realización de las auditorías y supervisión, que es aplicable no solo a los servicios en la nube, sino a todos aquellos proveedores en los que subcontratan cualquier otro tipo de servicios.