Y es que algunos bancos se ven obligados por razones de eficiencia a externalizar sus servicios tecnológicos o bien lo prefieren antes de tenerlo incorporado en la empresa, ya sea para procesos sencillos o críticos para la actividad bancaria. Ocurre sobre todo en los más pequeños, que utilizan este outsourcing para ahorrar costes y rentabilizar el poco negocio que tienen.

Al tomar esta decisión es cierto que ahorran costes, pero también pierden el control ante cualquier riesgo que pueda materializarse. Y esto es especialmente sensible dado que la estructura tecnológica de una entidad es la base sobre la que se asienta toda la información, las operaciones y los procesos de la clientela y del propio banco.

Órgano de control

Es por eso que desde el Banco de España exigen a las entidades que estén en esta situación que cuenten con un órgano interno dedicado específicamente a vigilar "cómo se está desarrollando el servicio del que se ha hecho outsourcing por parte del proveedor de servicios", así como "que le permita valorar si qué pasaría si en algún momento tiene que internalizar el servicio".

Así lo explicaba hace unos días Mercedes Olano, directora general de Supervisión del Banco de España, que manifestaba que este es un foco de preocupación no solo para la institución, sino también para el Banco Central Europeo (BCE), pues estos órganos requieren de técnicos muy cualificados, más difíciles de conseguir para los bancos pequeños.

Mercedes Olano, directora general de Supervisión del Banco de España. Banco de España Banco de España Madrid

"Cuanto más pequeñas son las entidades más interés tienen de hacer outsourcing porque ellas lo que quieren es tener una estructura pequeña que les permita rentabilizar el poco negocio bancario que desarrollan", dijo.

Viven, por tanto, en la "dicotomía de que necesitan el outsourcing pero al mismo tiempo son tan pequeñas que es difícil que tengan ese órgano de control dentro de ellas", como expuso la directora de Supervisión.

El seguimiento de las deficiencias en la externalización de procesos es una de las prioridades supervisoras que tiene el Banco de España para 2022, aunque la institución siempre está vigilante sobre este tema en todos los bancos, también en los más grandes.

Concentración

Con la externalización de la tecnología, pieza clave para el funcionamiento de cualquier banco, no solamente se corre el riesgo de perder el control sobre la plataforma, con sus implicaciones en la ciberseguridad, sino también de que gran parte de la tecnología de la banca se concentre en unos cuantos proveedores, como expone Margarita Delgado, subgobernadora del Banco de España, en una entrevista recogida en la Memoria de Supervisión de 2021.

En anteriores ocasiones Delgado ha alertado sobre los ciberriesgos que implica la mayor digitalización del sector y a los que los bancos deben prestar atención. Hace algunos meses advertía sobre el uso de tecnologías innovadoras, como la nube, para procesos críticos del negocio bancario.

Más concretamente, la número dos del supervisor instaba a la banca a "mantener un control adecuado" sobre las decisiones de negocio que se tomen respecto a tecnologías innovadoras para que no se conviertan en "cajas negras" o "se desvíen del comportamiento deseado".

Y es que en un mundo en el que la digitalización marca el día a día de los bancos la ciberseguridad se torna más importante que nunca. En la citada Memoria de Supervisión, el Banco de España resalta la importancia de la formación a los trabajadores en esta materia, entre otros aspectos.

La institución que gobierna Pablo Hernández de Cos, de hecho, adoptó el pasado año un marco de pruebas de ciberseguridad llamado TIBER-ES, que no es más que un examen voluntario para los bancos en el que se simula un ciberataque sofisticado.

Sobre el mismo, que realiza un proveedor externo, no se informa a los equipos defensivos de la entidad para que se pueda probar realmente cuál es su capacidad de respuesta.

De esta forma, la entidad puede detectar posibles fallos a nivel técnico, humano y organizativo y poner las soluciones necesarias para que un atacante externo no se aproveche de ellos.