Tres estrategias para controlar el riesgo de Microsoft Cloud en los servicios financieros
Pocos sectores de la economía se están beneficiando más de la llegada de la informática en la nube que los servicios financieros. Bancos, aseguradoras, agencias de valores, gestores de inversiones y muchas otras empresas están ganando ventajas competitivas, obteniendo nuevo valor de los datos y el análisis, y acelerando la innovación mediante la sustitución de los enfoques y sistemas heredados por tecnologías en la nube. El auge de las soluciones generativas basadas en IA promete acelerar la transformación, con beneficios aún mayores.
Sin embargo, para las personas y los equipos responsables de gestionar el riesgo y garantizar el cumplimiento, este cambio de paradigma viene acompañado de un nuevo tipo de ansiedad, ya que deben cumplirse estrictos requisitos de seguridad y cumplimiento. Mientras que las evaluaciones de riesgos y las estrategias de auditoría en las instalaciones pueden haber sido sencillas en un mundo anterior a la nube, cuando los datos se trasladan a un proveedor externo en la nube que opera un entorno compartido a hiperescala, las líneas cambian. Los controles de seguridad y acceso se automatizan, DevSecOps se vuelve más habitual, surgen brechas de conocimiento y el contexto normativo cambia drásticamente. Para aumentar la presión, si se interrumpen las evaluaciones y auditorías de cumplimiento, la innovación puede paralizarse.
Afortunadamente, existen algunos recursos excelentes para guiarle de forma productiva en este viaje. Microsoft realiza una importante inversión para ayudar a los clientes a obtener la asistencia que necesitan para optimizar las evaluaciones de riesgos en la nube a gran escala. En esta publicación, me gustaría compartir algunos de los aprendizajes que hemos obtenido a través de nuestros profundos compromisos con los clientes, señalarte algunas minas de oro en línea de Microsoft, e invitarte a conocer nuestro Programa de Cumplimiento para Microsoft Cloud, el cual creo que será de su agrado.
Tres estrategias probadas para controlar los riesgos de la nube
A través de nuestra comunidad de cumplimiento, obtenemos un increíble flujo de ideas, comentarios e historias sobre lo que funciona y lo que no. Aquí hay tres estrategias que vemos en el centro de cada organización que controla con éxito los riesgos de la nube:
- Establecer un órgano de gobernanza de los riesgos en la nube. Las organizaciones de riesgo son complejas, y los enfoques en silos son propensos a chocar contra las paredes cuando las diferentes partes interesadas del riesgo a lo largo de las tres líneas de defensa hace su propia evaluación individual de un proveedor de servicios en la nube. A menudo vemos problemas con una mala comprensión de las tecnologías de la nube y los controles de riesgo. Las ineficacias tienden a surgir cuando las diferentes partes interesadas se plantean preguntas repetidamente (“¿dónde se almacenan mis datos?” o “¿quién puede acceder a ellos?”). Muchos problemas pueden resolverse o evitarse mediante un enfoque unificado de evaluación del riesgo en la nube. Aconsejamos la creación de una junta u órgano de gobernanza del riesgo en la nube que involucre a todas las funciones clave en un proceso único e integrado que conduzca a implementaciones más rápidas y aborde las limitaciones de recursos y las carencias de competencias.
- Adherirse a estándares comunes y aplicar enfoques basados en el riesgo. No todos los casos de uso son iguales, pero con demasiada frecuencia vemos que los clientes aplican un conjunto extremadamente amplio de controles obligatorios a todos y cada uno de los casos de uso de la nube, independientemente de su importancia. Además, los proveedores de la nube aplican diferentes medidas de control de riesgos en comparación con lo que cabría esperar de forma local, y eso puede dar lugar a interminables discusiones sobre los controles. Una buena forma de evitar estos problemas es alinear los marcos de control interno con los estándares del sector, como SOC 2 y la Matriz de Controles en la Nube (CCM) de Cloud Security Alliance. Este enfoque le aporta estructura y orientación para implementar controles adecuados que pueden aplicarse de forma basada en el riesgo a casos de uso individuales, cada vez alineados con los requisitos de riesgo, seguridad y cumplimiento de su organización.
- Aproveche al máximo el aseguramiento de terceros. Otro escollo es que algunas instituciones financieras tratarán de evaluar o auditar cada control de la nube de forma independiente. Esto es una pérdida de tiempo porque ya hay certificaciones e informes de auditoría disponibles en los que múltiples terceros de buena reputación han dado fe de la solidez y seguridad de estos mismos controles y áreas de riesgo relacionadas. Estos sistemas no deberían omitirse. Microsoft es líder en cumplimiento y cuenta con una oferta muy amplia en ese aspecto para Azure, Dynamics 365 y Microsoft 365 con más de 100 certificaciones y atestaciones.
Nuestro marco de evaluación en la nube
Una vez establecidos estos fundamentos, puede ejecutar evaluaciones de riesgo de la nube a través de estas seis dimensiones básicas:
Ahora puede lograr un proceso de evaluación de riesgos optimizado para la nube que impulse la máxima eficiencia a medida que recorre diferentes casos de uso. Fundamentalmente, este proceso seguirá siendo resiliente a medida que la empresa implemente gradualmente más funciones empresariales en Microsoft Cloud, cada una de las cuales requerirá una evaluación contextual de los riesgos.
Cómo aprovechar los recursos de auditoría y riesgos de Microsoft Cloud
Microsoft entiende la necesidad crítica de que los equipos de riesgo, cumplimiento y auditoría de los servicios financieros estén bien respaldados con herramientas y recursos que les permitan comprender y evaluar plenamente los riesgos relacionados con la nube.
Para explicar cómo operamos nuestra nube y ayudar a los clientes a través de sus evaluaciones de riesgos y auditorías, hemos creado una ventanilla única que describe el cumplimiento de Microsoft y que direcciona hacia nuestras ofertas de cumplimiento. Esto incluye una sección de aseguramiento del servicio que describe con gran detalle cómo operamos nuestros servicios de Microsoft Cloud, que es un gran punto de partida para que las funciones de riesgo y auditoría comiencen sus evaluaciones. La sección de aseguramiento del servicio está organizada por 14 dominios de riesgo y describe en detalle cómo trabaja Microsoft para asegurar los datos de nuestros clientes. Incluye rutas de aprendizaje bajo demanda disponibles para que los clientes aprendan a su propio ritmo.
Un segundo recurso excelente es nuestro Portal de Confianza de Servicios, donde podrá descargar informes de auditorías externas, útiles informes técnicos y elementos como informes de vulnerabilidad de terceros, continuidad de negocio e informes de validación de planes de recuperación ante desastres. También encontrará listas de comprobación detalladas del cumplimiento normativo de los servicios financieros regionales que pueden utilizarse para cumplir los requisitos normativos de cada país.
Asimismo, Microsoft Purview Compliance Manager es una herramienta única que te permite llegar al siguiente nivel y gestionar el riesgo y el cumplimiento normativo no solo desde el lado de Microsoft, sino también para sus implementaciones en varias nubes, garantizando que sus configuraciones cumplan todos los requisitos normativos, así como las mejores prácticas de ciberseguridad y privacidad. Encontrará más de 320 evaluaciones de cumplimiento alineadas con varios sectores y regiones de todo el mundo. Puede hacer doble clic en cada control y revisar información detallada (incluidas las implementaciones de control de Microsoft) y cómo fue probado cada control por auditores externos y los resultados.
No olvide que la nube implica una responsabilidad compartida y después de haber evaluado satisfactoriamente a Microsoft como su proveedor también debe asegurarse de que sus implementaciones estén conformes y sean óptimamente seguras. La buena noticia es que todo esto se integra en el aseguramiento del servicio como punto de partida siguiendo la misma estructura basada en riesgos.
¿Necesita lo mejor? Revise al programa de cumplimiento para Microsoft Cloud
El Programa de Cumplimiento para Microsoft Cloud es un servicio premium de “guante blanco” creado específicamente para apoyar a los profesionales del riesgo y el cumplimiento a lo largo de sus evaluaciones. Este programa se originó hace 10 años, cuando las primeras organizaciones de servicios financieros empezaron a adoptar la nube, y facilita compromisos a tres bandas entre clientes, reguladores y expertos de Microsoft. El programa sigue evolucionando y ofrece a los clientes acceso directo a expertos en asuntos jurídicos, ciberseguridad, privacidad, riesgos y cumplimiento normativo, tanto de Microsoft como del sector en su conjunto.
Los clientes recibirán las mejores respuestas a preguntas e inquietudes muy específicas y podrán enviar cuestionarios completos para acelerar la evaluación de riesgos y las actividades de auditoría. El programa tiene un enorme valor educativo a través de seminarios web y cumbres de cumplimiento globales y regionales; ofrece oportunidades para participar en una comunidad con otros clientes y expertos del sector; y proporciona actualizaciones proactivas relacionadas con la evolución de la normativa y el cumplimiento en todo el mundo.
Únase al programa hoy
Las ideas y consejos de este artículo se han basado en gran medida en la experiencia de esta comunidad durante los últimos años. Si esto resulta familiar para usted y su organización, le invito a unirse al Programa de Cumplimiento para Microsoft Cloud y conectarse con sus compañeros hoy mismo.
Más información sobre Microsoft Cloud for Financial Services.
Programa de cumplimiento para Microsoft Cloud
Acelere la adopción de la nube con un aseguramiento de cumplimiento proactivo.
Empiece a conectarse hoy mismo
Tom Deprins
Director de cumplimiento de servicios financieros globales
