Ir para o conteúdo
Blogs de indústria da Microsoft

Um homem em frente a uma tela de apresentação com gráficos

O impacto da pandemia da COVID-19 mudou a forma como as instituições financeiras, os clientes e os funcionários conduzirão negócios e interagirão uns com os outros. A necessidade de se adaptar para permitir o trabalho remoto, empregar serviços conectados digitalmente aos clientes e até mesmo construir novos modelos de negócios requer velocidade, agilidade e aplicação de medidas adaptativas com essa mudança constante. O que não mudou foi a necessidade de resiliência operacional e continuidade do negócio. Com efeito, os reguladores dos serviços financeiros esperam que as instituições assegurem que as operações comerciais permanecerão resilientes neste contexto, de modo que a liquidez e os serviços bancários e de seguros relacionados permaneçam fortes para operações críticas. Com isso em mente, as instituições financeiras estão se voltando para serviços em nuvem a fim de atender a esses requisitos e manter a resiliência de suas operações principais, inclusive para funções críticas e importantes da instituição. 

Não é surpresa que, apesar do impacto recessivo da COVID-19 em muitos setores, os serviços financeiros não só permaneceram resilientes e funcionando, mas a nuvem está se tornando uma parte cada vez mais importante da equação para fornecer os componentes fundamentais para permitir a agilidade e a resiliência necessárias para manter as operações bancárias e de seguros prósperas. Isso resultou em um aumento na adoção da nuvem, particularmente para serviços como o Microsoft Teams que permitiram que as instituições mudassem rapidamente para o trabalho remoto e o atendimento remoto ao cliente. À medida que a adoção da nuvem aumenta e se torna mais prevalente para as principais operações, discussões e perguntas contínuas foram suscitadas sobre o risco de concentração. Ou seja, o uso de serviços em nuvem, particularmente com um único fornecedor, levanta problemas de risco de concentração sistêmica e, em caso afirmativo, o que isso significa para as instituições ao escolher um fornecedor em nuvem para cargas de trabalho importantes e materiais? 

Os reguladores de serviços financeiros em todas as jurisdições identificaram o risco de concentração como um fator a considerar na avaliação do risco na terceirização. Esse risco tem dois componentes: i) risco micro, em que a dependência de um único prestador para as operações principais pode apresentar um risco indevido de operações se houver um único ponto de falha e ii) risco macro, em que as empresas financeiras dentro do ecossistema são tão dependentes de um vendedor que um único ponto de falha corre o risco de causar um amplo risco sistêmico para as operações do setor de serviços financeiros. Notadamente, esse risco não é exclusivo dos serviços em nuvem e, como o Bank of England comentou em seu Documento de Consulta sobre Terceirização e Gestão de Riscos, “um pequeno número de terceiros tradicionalmente dominou o fornecimento de certas funções, produtos ou serviços para empresas, como caixas eletrônicos ou mainframes de TI”. Por outras palavras, a questão do risco de concentração não é nova, mas sim uma característica do sector dos serviços financeiros há décadas. 

Embora a nuvem continue relativamente incipiente em comparação com os provedores enraizados de sistemas legados, como o mainframe, sua crescente adoção significa que as instituições financeiras devem contabilizar e mitigar as questões de risco micro de concentração no uso de provedores de nuvem. De fato, o Bank of England afirmou que “esperará que as empresas avaliem os requisitos de resiliência do serviço terceirizado e dos dados e determinem qual das opções de resiliência em nuvem disponíveis é mais apropriada. Isso pode incluir várias zonas de disponibilidade, regiões ou prestadores de serviços.1 

Embora reconheça que o risco de concentração é uma área a ser monitorada, o PRA do Reino Unido identifica igualmente, “se configurados corretamente, os serviços em nuvem podem melhorar significativamente a resiliência operacional de empresas financeiras.”2 As instituições financeiras não devem perder isso de vista ao avaliar tais riscos e estratégias na adoção de serviços em nuvem e outras formas de terceirização. 

Apesar da natureza fragmentada dos sistemas legados dentro das instituições financeiras, existem medidas para mitigar esses riscos de ponto único de falha, e a Microsoft conta com recursos integrados para ajudar os clientes a neutralizar esses riscos, de modo que suas operações não só permaneçam resilientes, mas funcionem de maneira segura e sólida. Além disso, a nível empresarial, as próprias operações da Microsoft estão sujeitas a uma supervisão rigorosa da gestão de riscos, colocando a responsabilidade em todos os serviços que têm, em última análise, supervisão pelo Conselho de Administração da Microsoft. Juntos, esta ampla variedade de recursos e medidas ajuda a mitigar tanto as preocupações de risco micro com uma única instituição, quanto a aliviar questões mais amplas em um nível macro, particularmente dada a natureza distribuída da terceirização dentro do setor e a forte concorrência entre os provedores históricos e os players mais recentes, incluindo fornecedores de nuvem em hiperescala. 

Estabilidade no nível da empresa 

Na escolha de qualquer fornecedor, a estabilidade empresarial e as práticas gerais de gestão de riscos empresariais são fatores importantes a serem considerados e avaliados de uma perspectiva geral de gestão de riscos. Por mais de 20 anos, a Microsoft ocupa uma posição única e consistente nas 10 maiores empresas de market cap do mundo, independentemente de desacelerações econômicas ou outras mudanças dinâmicas na indústria. Além disso, a Microsoft tem uma classificação AAA Standard & Poor’s, uma das duas únicas empresas a ter esse status. Embora a dinâmica do mercado possa mudar, a Microsoft ajustou-se a essas mudanças para atender à demanda do cliente e abordar a dinâmica competitiva, resultando em desempenho e estabilidade insuperáveis no mercado. 

Medidas de nuvem em hiperescala 

Como ponto de partida, a arquitetura distribuída da nuvem de hiperescala fornece resiliência significativa. A título de exemplo, a Microsoft fornece 99,9% de tempo de atividade em seus SLAs como padrão, mas com a configuração para usar zonas de disponibilidade, que aumenta para 99,99% e, para serviços modernos como o Cosmos DB (Platform as a Service), esse valor aumenta para 99,999%. Além disso, os investimentos da Microsoft na construção de uma “diversidade de serviços” dentro de nossa infraestrutura que têm redundâncias integradas para mitigar falhas, assim como os sistemas de projeto de engenharia em aviões. Por exemplo, na camada de plataforma, temos duas infraestruturas DNS configuradas ativas/ativas, uma Windows e uma Linux; temos vários fornecedores de gasolina para nossos geradores; e dois cabos marítimos subterrâneos conectando os EUA à Europa. Juntamente com uma estrutura de data center que se expande para todas as regiões do globo em mais de 60 regiões, os clientes podem aproveitar ao máximo essas diferentes regiões para maximizar as cargas de trabalho em várias regiões e mitigar os riscos de um único ponto de falha. 

Medidas de segurança 

Através de automação, escala e redundância distribuída, a nuvem de hiperescala mitiga ainda mais os riscos de vários ataques, sejam ataques de dia zero, ataques de canal lateral ou ataques de ransomware, a nuvem oferece soluções para mitigar riscos que podem ser mais pronunciados em ambientes locais legados. Por exemplo, durante os ataques Spectre e Meltdown, a Microsoft poderia corrigir seu ambiente por meio de automação e escalar muito mais rapidamente do que os clientes poderiam fazer com seus ambientes legados. Assim, nossos serviços em nuvem não foram afetados como resultado. Para ataques de canal lateral, os hackers devem executar código nas mesmas máquinas físicas em que um sistema bancário é executado, mas com serviços em nuvem. Isso significa que eles devem saber a localização física dos servidores onde os dados do cliente são armazenados e devem permanecer dentro desse ambiente por algum período. Como os serviços em nuvem são distribuídos de forma consistente e não colocados em nenhum ambiente por um período significativo de tempo, o risco de tais ataques serem bem-sucedidos é bastante baixo. Por fim, ao abordar os riscos de ransomware, os serviços de nuvem do Azure fornecem backup de dados com lacunas, o que prevê cenários que mantêm a continuidade para que os dados possam ser preservados em um ambiente separado, que é como os clientes com requisitos de segurança nacional gerenciam esse risco. 

Conformidade 

A Microsoft investiu muito para permitir que os clientes cumpram suas obrigações de conformidade regulatória em serviços financeiros. Não só fornecemos recursos de conformidade integrados para atender aos principais requisitos, como atendemos à mais ampla variedade de certificações e padrões do setor, mais de 90, abrangendo mais de 50 regiões e países. Nossa base de conhecimento no suporte aos clientes inclui amplo envolvimento com reguladores de serviços financeiros, apoiando os clientes em suas avaliações de risco e fornecendo auditorias de nossos serviços de nuvem quando necessário. Além disso, fornecemos suporte e documentação para auxiliar os clientes na continuidade dos negócios e no planejamento de saída, um requisito fundamental para abordar e gerenciar o risco de concentração no uso de nossos serviços em nuvem. Juntos, em parceria com nossos clientes e em constante engajamento com os reguladores de serviços financeiros, acreditamos que o risco de concentração é como qualquer outro risco que possa ser gerenciado com governança, supervisão e parceria adequadas com a Microsoft. 

Recursos da Microsoft 

Para saber mais sobre o risco de concentração, baixe aqui e leia nosso white paper Risco de Concentração: Perspectivas da Microsoft. Para acessar recursos adicionais e saber mais sobre como a Microsoft oferece suporte ao setor de serviços financeiros, visite nosso site aqui. 

 

Referências: 

1 The PRA Outsourcing Consultation, parágrafo 2.42. 

2 The PRA Outsourcing Consultation, parágrafo 2.5.