Los ejecutivos bancarios sugieren 3 prioridades para la gestión del riesgo informático

Por: Carina Himstedt y Merlin Jung

En las dos últimas décadas, la gestión del riesgo informático en las entidades financieras se ha transformado radicalmente. Hemos visto:

• Mayores requisitos de liquidez
• Mayores riesgos de mercado y de capital
• Una mayor exigencia de transparencia tanto con el público como con los reguladores
• Normas más estrictas para la notificación de riesgos
• Más atención a las pruebas de resistencia
• Ciberamenazas desenfrenadas y otros problemas de seguridad informática

Está claro que la labor de salvaguardar los datos, sistemas y servicios es a la vez una prioridad y un reto para los ejecutivos bancarios.

Para obtener una perspectiva de primera mano sobre este panorama en evolución, entrevistamos a 20 ejecutivos de Kyndryl que trabajan con las principales marcas del sector de los servicios financieros. De las conversaciones surgieron tres recomendaciones coherentes para que los bancos y las empresas de servicios financieros aborden el riesgo tecnológico y la resistencia de cara al futuro.

Recomendación nº 1: Mejore su gobierno del riesgo informático

Nuestra investigación reveló que, en lo que respecta a la gestión de riesgos informáticos, el uso de datos y tecnología para integrar las funciones empresariales y de TI puede dar lugar a un modelo de riesgos más eficaz en general.

Por ejemplo, las instituciones de servicios financieros pueden utilizar big data (a través de la planificación de escenarios de modelización y la automatización) para ayudar a reducir el sesgo en la toma de decisiones sobre riesgos informáticos y, al mismo tiempo, reducir el riesgo no financiero global.

Ante las crecientes amenazas financieras y reputacionales, es posible que las instituciones financieras también quieran replantearse el gobierne existente en torno a la toma de decisiones, la presupuestación y la propiedad. La separación de estos últimos permite una mayor determinación de las acciones de gasto en TI y la toma de decisiones.

Algunas medidas prácticas para lograr este objetivo son:

• Supervisar su modelo de gobierno y propiedad de los riesgos informáticos
• Realizar campañas periódicas de sensibilización y formación sobre riesgos informáticos
• Formar un comité de riesgos que incluya a miembros del consejo
• Convertir el riesgo informático y sus facetas (riesgos informáticos principales, incidentes informáticos críticos pasados, inversiones informáticas, cultura de gestión de riesgos, riesgo de proveedores, etc.) en un punto habitual del orden del día de las reuniones del consejo de administración.

Recomendación nº 2: Establecer un modelo integrado de riesgos informáticos

Hablar de transformación en los servicios financieros es omnipresente.

Tanto si la agenda implica pasar a un modelo de nube híbrida, digitalizar los servicios u otras actualizaciones de la infraestructura, las iniciativas de transformación de TI deben alinearse en última instancia con un único objetivo: la integración de TI con las líneas de negocio para establecer un modelo operativo más amplio.

Según nuestra investigación, los modelos operativos de TI eficaces tienden a vincular los impulsores empresariales de TI (como el crecimiento, los costes y los riesgos) y conectarlos con los componentes necesarios del modelo operativo (como el gobierno, los procesos de gestión, los peajes y la tecnología). Esta conexión ayuda a habilitar la gestión de riesgos informáticos en toda la organización y a vincular esas prácticas de gestión con las áreas de gestión informática de la institución (como la continuidad del servicio, la gestión de proveedores y la estrategia informática).

Aunque los nombres o la configuración de estas áreas pueden variar de una empresa a otra, son típicas de las actividades necesarias para implantar capacidades de TI en una organización financiera. En un modelo de este tipo pueden seguir produciéndose riesgos debidos a una gestión o ejecución inadecuadas de cualquiera de los componentes, pero el diseño inherente de la responsabilidad global reduce la probabilidad.

Recomendación nº 3: Adoptar una postura más ciberresistente

Nuestros estudios demuestran que la gestión de los riesgos informáticos tiende a ser más eficaz cuando se combina con una postura más ciberresistente. Es vital contabilizar y gestionar activamente:

• La antigüedad de los elementos de la infraestructura informática (hardware, software, middleware, redes)
• La disponibilidad, criticidad y estabilidad de sus componentes (aplicaciones, servidores, bases de datos)
• El marco de seguridad informática en toda la organización

La creación de una taxonomía para estos elementos puede ayudar a identificar puntos ciegos y producir recomendaciones en tiempo real para acciones prioritarias.

Por ejemplo, todo el sector está de acuerdo en que abordar el problema de la obsolescencia es fundamental tanto para el bienestar general de una institución como para su capacidad de seguir el ritmo de sus competidores.

Los resultados de nuestras entrevistas sugieren que, aunque algunos clientes de servicios financieros han optado por adoptar tácticas de mitigación como la reducción del movimiento en las actividades de transformación actuales y previstas, estos enfoques no son viables a largo plazo.

Aunque la transformación de la tecnología heredada no es una tarea sencilla, en última instancia no puede evitarse. Retrasar la actualización de los componentes tecnológicos obsoletos no sólo plantea más riesgos, sino que afecta a toda la transformación informática. Por ello, es importante centrarse en actualizar las tecnologías obsoletas antes de emprender una transformación más amplia.

Carina Himstedt es consultora senior de TI en la oficina de Kyndryl en Fráncfort. Merlin Jung es socio director y responsable de la comunidad bancaria mundial en la oficina de Kyndryl en Berlín.