Modelos SaaS: La respuesta a la nueva realidad de la banca

¿Qué son y cómo surgen los modelos SaaS?

Los modelos SaaS (software as a service) son soluciones de software bastante populares que se ofrecen en la nube a cambio de una suscripción. Al contratar un modelo SaaS, el prestador de servicios se encarga de mantener los servidores, alojar y configurar el software, asegurar los datos y respaldar la integridad del sistema. Por su parte, los usuarios pueden acceder a los servicios desde un navegador web sin necesidad de realizar descargas o instalaciones.

A lo largo del tiempo, los modelos SaaS se han convertido en una herramienta óptima para que las empresas entreguen sus servicios de forma remota y sin grandes costos. Pero antes de entrar a este tema, hablemos un poco acerca de su historia.

En los años sesenta inició un modelo tipo compartido con servidores centralizados que se denominó red de área local LAN, sin embargo, la empresa no el proveedor era la responsable de suministrar y administrar el hardware de la red.

Con la llegada del internet en los años noventa, los proveedores de servicios comenzaron a alojar software y a ponerlo al alcance de los clientes a través de la red, pero si bien es cierto que ya brindaban la solución, ahora tenían muchas desventajas, tales como: altos costos, necesidad de instalar softwares en las computadoras de los usuarios y configuraciones complejas. Fue en estos años cuando se acuñó el término «SaaS».

Para inicios de la década del 2000, el SaaS evolucionó significativamente para convertirse en soluciones de primera generación y luego en conjuntos modernos de aplicaciones que permitían una alta visibilidad en toda la empresa. Hoy, la inteligencia artificial, el aprendizaje automático, los chatbots, los asistentes digitales, el blockchain, la realidad aumentada y la realidad virtual pueden potenciarse a través de los modelos SaaS.

Algunas ventajas de los modelos SaaS son:

1. Costos iniciales más bajos: Eliminan la necesidad de hardware y los gastos de instalación e implementación. Los costos que implican son recurrentes y predecibles.
2. Despliegue rápido. Ponen en marcha la solución en horas en lugar de meses. Las actualizaciones se dan en ambientes protegidos en tiempo real.
3. Integración: Tienen analítica propia, innovación más rápida, portabilidad de datos, fácil personalización.

Los expertos están de acuerdo en que el futuro de los modelos SaaS es sólido, por ejemplo, se estima que en México el mercado de software presentará una tasa anual de crecimiento promedio de 6.28% hasta 2027. No obstante, los modelos SaaS no están exentos de amenazas de seguridad y se debe poner atención en este aspecto para frenar pérdidas.

Los modelos Saas y los ciberataques

Al reemplazar o complementar los sistemas de computación propios y controlados mediante delegación en terceros, las empresas pueden estar sujetas a riesgos cibernéticos, los cuales son muy peligrosos (especialmente si las compañías pertenecen al entorno bancario y financiero).

A medida que los ambientes de negocios continúan migrando hacia la nube, la amenaza de delitos cibernéticos se cierne sobre ellos y puede llegar a costar millones de dólares a las organizaciones y a sus clientes. Ante este panorama, es vital tener un enfoque estratégico de prevención.

Para comenzar, las empresas deben evaluar sus procesos de seguridad actuales y detectar casos de vulnerabilidad. Una vez identificadas las debilidades, deben implementar tecnologías de seguridad tales como cifrado, autenticación de dos factores y detección de intrusos. También deben establecer procedimientos para asegurar que los usuarios son conscientes de las medidas de protección básicas.

Las instituciones financieras y de banca deben implementar protocolos de autenticación robustos para proteger todos los servicios financieros disponibles y garantizar la seguridad de los datos de sus clientes. Esto incluye medidas como la verificación multifactor, la autenticación basada en tokens y el uso de dispositivos que requieren una contraseña para el acceso.

Finalmente, deben establecerse mecanismos para detectar amenazas en tiempo real. Esto incluiría la vigilancia de la actividad de red para descubrir y bloquear ataques de malware y la inspección de tráfico para localizar irregularidades y comportamientos sospechosos.

Sin duda, en los últimos años la pandemia por COVID-19 representó un reto crucial en materia de ciberseguridad, ya que obligó a las industrias a reinventarse, redefinir procesos y adaptarse a un panorama en el que la digitalización total del negocio y el trabajo remoto se convirtieron en la nueva normalidad.

Normatividad y uso de SaaS en la pandemia

Para los modelos SaaS la distancia no es un problema, con ellos las soluciones de trabajo a bajo costo fueron una realidad en la crisis sanitaria gracias a que ofrecen flexibilidad, escalabilidad e innovación. Algunos ejemplos de los modelos SaaS que más se emplearon durante la pandemia son: soluciones de videollamada, entrenamiento, capacitación, firma de documentos y gestión de equipos.

Pero, ¿cuál fue el escenario en el ecosistema bancario y financiero? En 2020, la SHCP y la CNBV emitieron un documento con nuevas facilidades administrativas que facultaron el uso de la videograbación para la contratación remota de productos financieros. Las instituciones podían celebrar desde entonces de manera no presencial contratos para la apertura de cuentas bancarias nivel 4 (esto es, máximo 30 mil UDIs al mes), así como créditos al consumo y comerciales para clientes o solicitantes de nacionalidad mexicana que fueran personas físicas, personas físicas con actividad empresarial o personas morales, de acuerdo con la normativa del artículo 51 Bis 6 de las Disposiciones de carácter general aplicables a las instituciones de crédito.

Al respecto, existen diversas normativas enfocadas al apoyo a las instituciones de crédito interesadas en contratar con terceros servicios que tengan por objeto la realización de procesos operativos, administración de bases de datos o sistemas informáticos, en términos de lo dispuesto por el Capítulo XI, Sección Tercera, de las Disposiciones de carácter general. Y, dependiendo del tipo de servicio, se debe determinar con base en el artículo 326 de la Circular Única de Bancos si es necesario presentar un Aviso o un Escrito de Solicitud.

En ambos casos es importante tener la información del tercero con el que se pretende celebrar el contrato y especificar cuáles serán los servicios que prestará. En esquemas de virtualización en infraestructura compartida con otros clientes del proveedor, se deberá proporcionar los controles que serán utilizados por las instituciones financieras para garantizar la confidencialidad, integridad y disponibilidad de la información.

Asimismo, se deberá realizar informes con la evaluación de los riesgos (operacionales y tecnológicos) que implica para las instituciones el uso de infraestructura o modelos en la nube (PaaS, IaaS, SaaS), los cuales contemplen:

1. Definición de procesos y funciones del negocio relacionados con la importancia, criticidad de los sistemas y componentes a contratar.
2. Identificación de responsabilidad compartida con los servicios a contratar.
3. Periodicidad de la evaluación de riesgos respecto a los servicios del proveedor.
4. Riesgos que se identifiquen de la contratación de servicios en la nube (geográficos, legales, de concentración, entre otros).

En resumen, las soluciones SaaS han sido una alternativa exitosa para las empresas de diversas industrias, incluyendo a las financieras y bancarias. Sin embargo, al utilizar modelos de negocio basados en proveedores externos, la seguridad debe ser siempre una prioridad para evitar ciberataques. Adicionalmente, los modelos SaaS demostraron ser una fuente de gran ayuda para el sector financiero durante la crisis generada por la pandemia, provocando incluso modificaciones a la normatividad para abrir camino a las ventajas de la tecnología y la digitalización.

Los datos, información y/o cualesquier manifestación aquí contenida se expone meramente a título informativo y no constituye una recomendación de inversión, policitación, oferta, solicitud u obligación por parte de Banco Covalto, S.A., Institución de Banca Múltiple, ni de ninguna de sus sociedades controladoras, filiales y subsidiarias, para llevar a cabo operación o transacción alguna. En relación con lo anterior, Banco Covalto, S.A., Institución de Banca Múltiple, sus controladoras, subsidiarias, filiales, sus administradores, representantes, directores, socios, empleados o asesores no asumen responsabilidad alguna en relación con la información contenida en este medio, ni de cualquier uso no autorizado del mismo.