A medida que las fintechs y las empresas de servicios financieros avanzan hacia la tecnología de la nube, muchas enfrentan desafíos. Estos van desde el intercambio de información hasta las mejores prácticas y más. Buscando simplificar el proceso de adopción de la nube para las empresas, Departamento del Tesoro de los Estados Unidos y el Consejo de Coordinación del Sector de Servicios Financieros (FSSCC) ha publicado una serie de recursos.
El informe tiene como objetivo proporcionar a empresas de todos los tamaños prácticas diferentes y efectivas para asegurar adopción de la nube y operaciones. Los aspectos más destacados incluyen el establecimiento de un léxico común que podrían utilizar las instituciones financieras y los reguladores en los debates sobre la nube. También destaca la necesidad de mejorar el intercambio de información y la coordinación para la revisión de los proveedores de servicios en la nube.
Además, las empresas deberían evaluar las autoridades existentes para monitorear a los proveedores de servicios en la nube (CSP). Asimismo, deberían establecer mejores prácticas para los riesgos de terceros asociados con los proveedores de servicios en la nube, la subcontratación y los procesos de diligencia debida para aumentar la transparencia. Al hacerlo, también deben mejorar la transparencia y el seguimiento de los servicios en la nube para lograr una mejor “seguridad desde el diseño”.
Finalmente, el informe destaca que es necesario que haya una hoja de ruta para las instituciones que estén considerando estrategias de adopción de la nube híbrida o completa, incluido un perfil de nube actualizado para el sector financiero.
Adopción de apoyo
Estos entregables son el resultado de una asociación público-privada de un año de duración. Comité de Infraestructura de Información Financiera y Bancaria (FBIIC) y la FSSCC.
Para brindar apoyo de liderazgo a este esfuerzo conjunto, el Departamento del Tesoro de los Estados Unidos estableció el Grupo directivo ejecutivo de la nube (CESG) en mayo de 2023. Esto se hizo a solicitud de la Consejo de Supervisión de Estabilidad Financiera (FSOC), para ayudar a llenar los vacíos identificados en el relación sobre Adopción de servicios en la nube por parte de la industria de servicios financieros.
Crear un ecosistema resiliente
«La finalización de estos dos esfuerzos es la culminación de casi dos años de colaboración para proteger mejor nuestro sistema financiero», dijo el subsecretario del Tesoro. Criajo Adeyemo“CESG es ahora un modelo probado y una nueva forma para que la industria de servicios financieros aborde de manera efectiva nuestros desafíos de ciberseguridad más importantes. »
“Nuestro sistema financiero es una infraestructura crítica para toda la economía y depende profundamente de un puñado de poderosos proveedores de servicios de tecnología en la nube”, dijo el director de la Oficina de Protección Financiera del Consumidor (CFPB). Rohit chopra“Nuestro trabajo ayudará a proteger la industria financiera de interrupciones e interrupciones al nivelar el campo de juego entre las empresas financieras de todos los tamaños y los grandes proveedores de servicios en la nube. »
“Los bancos y otras empresas de servicios financieros saben que necesitan adaptarse a las nuevas tecnologías, pero muchos de ellos no saben cómo hacerlo de forma segura y saludable”, afirmó miguel j.. Hsu, Contralor Interino de Moneda. “Estas publicaciones marcan un importante paso adelante al proporcionar una hoja de ruta y recursos útiles para bancos de todos los tamaños. Estos documentos también aclaran las responsabilidades de los proveedores de servicios en la nube para garantizar un sistema financiero seguro y resiliente. »
«Estos documentos son un paso importante en los esfuerzos del CESG para hacer que la nube sea más segura y resistente dentro y fuera de la industria de servicios financieros», dijo Factura Demchakpresidente y director ejecutivo de PNC Financial Services Group. “La sólida asociación entre los líderes de los sectores público y privado nos permite adoptar un enfoque más integral y colaborativo para defendernos contra las amenazas en evolución. »
Sentando las bases y afrontando los retos
El FSSCC y el FBIIC han realizado varios trabajos en un esfuerzo por establecer una mejor comprensión y preparación para la integración en la nube. Bajo el liderazgo conjunto del FBIIC y el FSSCC, el Tesoro de los EE. UU. y el FSSCC también planean publicar materiales adicionales relacionados con la coordinación de la respuesta a incidentes cibernéticos en la nube y el riesgo de concentración a medida que se completen a lo largo del año.
Perfil de Nube 2.0 (dirigido por FSSCC)
El perfil de Nube 2.0, escrito colectivamente por el Grupo de Trabajo de Perfil de Nube del FSSCC y el Instituto de Riesgo Cibernético (CRI) está destinado a servir como un plan de implementación de seguridad en la nube para instituciones financieras de todos los tamaños y funciones.
El Cloud Profile 2.0 es una extensión del Perfil de Ciberseguridad creado por el CRI. Esta es una herramienta basada en Instituto Nacional de Estándares y Tecnología (NIST) Marco de ciberseguridad. Proporciona un marco para instituciones financieras y CSP y servirá como una herramienta común desarrollada para ayudar a las instituciones financieras a garantizar una implementación segura en la nube, al tiempo que permite que el documento evolucione a medida que los estándares cambian con el tiempo.
Documento sobre cuestiones y consideraciones para la subcontratación en la nube en el sector financiero (dirigido por FSSCC)
El documento “Problemas y consideraciones para la subcontratación de la nube en el sector financiero” tiene como objetivo abordar los desafíos planteados en el Informe de la Nube del Tesoro en torno a la transparencia, las brechas de recursos, la exposición a incidentes operativos originados por los CSP y la dinámica de la negociación de contratos.
El documento, escrito colectivamente por el Grupo de Trabajo sobre Cuestiones y Consideraciones de Outsourcing en la Nube del FSSCC y la Asociación Estadounidense de Banqueros (ABA) con el apoyo de la Asociación de la Industria de Valores y Mercados Financieros (SIFMA), identifica una lista no exhaustiva de consideraciones clave para el desarrollo de acuerdos contractuales. entre instituciones financieras y CSP para abordar los riesgos, el cumplimiento normativo y las expectativas de supervisión al utilizar servicios en la nube.
Estas consideraciones clave deben ser utilizadas como herramienta de referencia voluntaria por parte de las instituciones financieras durante la fase de negociación del contrato de integración de un CSP para cumplir adecuadamente con las expectativas en materia de ciberseguridad, resiliencia y diligencia debida hacia terceros, y permitir el cumplimiento de los crecientes requisitos regulatorios de servicios financieros y expectativas de supervisión.
Transparencia y supervisión para una mejor “seguridad desde el diseño” (dirigido por FSSCC)
El documento Transparencia y Supervisión para una Mejor “Seguridad por Diseño”, escrito colectivamente por el Grupo de Trabajo de Transparencia y Supervisión de Seguridad por Diseño del FSSCC y el Centro de Análisis e Intercambio de Información de Servicios Financieros (FS-ISAC), incluye dos resultados para las instituciones financieras cuyas cargas de trabajo ejecutan en entornos CSP.
El primero es un modelo de resiliencia e interdependencia de servicios que es una combinación de transparencia de servicios, mejores prácticas arquitectónicas e información más detallada sobre cómo un CSP gestiona la resiliencia de sus propios servicios.
La segunda solución ofrece configuraciones de nube empaquetadas que brindan los resultados de seguridad básicos que se esperan en la infraestructura de servicios financieros. Además, simplifica la implementación de cargas de trabajo de CSP por parte de las instituciones financieras (“seguridad por defecto/diseño” y seguridad de “un clic”), lo que permite a las instituciones financieras establecer rápidamente una infraestructura segura con un mínimo de ingeniería.
The Cloud Lexicon (dirigido por FBIIC)
El Cloud Lexicon es un documento central que reúne los términos más utilizados por los proveedores y consumidores de servicios en la nube en la industria de servicios financieros en un único repositorio y puntos de referencia. El desarrollo de Lexicon Cloud fue dirigido por la Oficina del Contralor de la Moneda (OCC) y permitirá a los CSP y a las instituciones de la industria de servicios financieros de todos los tamaños hablar en términos estandarizados al negociar los términos del contrato, el establecimiento de planes de seguridad y el cumplimiento de normas regulatorias.
El documento se basa en una revisión de publicaciones de varios organismos de normalización y asociaciones industriales, e incluye entrevistas y comentarios de instituciones financieras, reguladores y proveedores de servicios de comunicaciones.
La Iniciativa Coordinada de Revisión e Intercambio de Información (dirigida por el FBIIC)
La Iniciativa de Examen Coordinado e Intercambio de Información, liderada por la CFPB, es un esfuerzo de colaboración que aborda la coordinación de exámenes e intercambio de información relacionados con los CSP, dentro de las autoridades estatutarias de la agencia correspondiente. El proceso documentado promoverá una mejor coordinación entre agencias para monitorear y gestionar los riesgos para el sector financiero y los consumidores que puedan surgir del compromiso de las instituciones financieras con los CSP.
Este conjunto colectivo de entregables tiene como objetivo resaltar oportunidades para aprovechar los entregables del CESG dentro del esquema más amplio de regulación, supervisión y revisión, y fortalecer el modelo de responsabilidad compartida para la prestación de servicios en la nube en el sector de servicios financieros.
