La resiliencia ayuda a las empresas financieras a actuar antes, y no solo a recuperarse más rápido

La resiliencia ayuda a las empresas financieras a actuar antes, y no solo a recuperarse más rápido
Año: 2026 Article Industry: Financial services Industry: Banking Industry: Insurance

Las empresas de servicios financieros suelen tratar la resiliencia como una cuestión de riesgo y cumplimiento normativo. El reglamento DORA de la Unión Europea y la circular sobre riesgos operativos publicada por FINMA en Suiza han establecido estándares estrictos y elevado el nivel de exigencia en materia de resiliencia en todo el sector. DORA obliga a las empresas a identificar sus funciones críticas, llevar un registro de los acuerdos con proveedores de TIC externos, hacer pruebas de penetración basadas en amenazas y demostrar que pueden recuperarse dentro de unos niveles de tolerancia determinados. La circular sobre riesgos operativos de FINMA obliga a los bancos a identificar y proteger sus datos críticos más allá de la confidencialidad, probar estrategias de salida de proveedores externos críticos y garantizar la continuidad del negocio: lo mismo que una empresa necesita para avanzar de forma rápida y segura.

Pero todo eso plantea una pregunta más estratégica: una vez cubierto el cumplimiento normativo, ¿qué más puede aportar la resiliencia al negocio?
Para el socio de Eraneos Khaled Ouafi, experto en servicios financieros, la respuesta trasciende el ámbito regulatorio.

«Hace un par de años, las organizaciones solían considerar la resiliencia como un mero trámite regulatorio, pero ahora se ha convertido en una cuestión empresarial: las empresas se preguntan cómo ofrecer un mejor servicio, proteger su cadena de suministro y avanzar más rápido sin perder el control. Las organizaciones que sepan responder a este reto dejarán de tratar la resiliencia como un coste y empezarán a aprovecharla como una ventaja competitiva. En esencia, la resiliencia es una cuestión tecnológica: los servicios que no pueden fallar son digitales, y las dependencias que los hacen vulnerables pertenecen, cada vez más, al ámbito de TI», afirma Khaled.

Empieza por aquello que la empresa no puede permitirse perder

La resiliencia aporta valor a los proveedores de servicios financieros protegiendo servicios que sus clientes usan a diario. Si se produce una caída en una plataforma de banca electrónica, un fallo en un sistema de trading, un retraso en un pago o una disrupción en un portal de cliente, el impacto es rápido. El daño se extiende a los ingresos, la reputación, la confianza de los clientes y la exposición regulatoria.

Por eso, Khaled cree que las instituciones financieras deben empezar por su propio modelo de negocio. Un banco privado podría necesitar un acceso digital fiable para clientes de diferentes regiones. Un proveedor de pagos podría necesitar transacciones transfronterizas para poder seguir avanzando, al tiempo que gestionan los ciberriesgos y la dependencia de proveedores. Una compañía de seguros podría necesitar un sistema digital estable para gestionar reclamaciones en momentos de alta demanda.

La pregunta que debes hacerte es: ¿qué es importante para mi negocio? En cuanto respondas a esa pregunta, la resiliencia dejará de ser algo abstracto: protegerás solo los servicios digitales sin los que realmente no puedes vivir, no todos a la vez.
Khaled Ouafi, Partner

Esa pregunta ayuda a los responsables a pasar de una planificación genérica de la resiliencia a centrarse en unos cuantos servicios que definen el negocio, en los proveedores y los sistemas de los que dependen y en los fallos que más rápido harían perder la confianza de los clientes. En casi todos los casos, esos servicios dependen de la tecnología, y esas dependencias son de TI, razón por la que la resiliencia sigue apuntando a una cuestión de estrategia tecnológica.

Las elecciones tecnológicas son elecciones estratégicas

Esto es lo que convierte a la resiliencia en una cuestión operativa. Las decisiones tecnológicas ahora definen la estrategia empresarial. La arquitectura de nube, la concentración de proveedores, la ubicación de los datos, la ciberseguridad y la adopción de la IA determinan qué servicios puede lanzar la empresa, la velocidad con la que puede responder y el riesgo que corre.

«TI siempre ha estado al servicio de negocio. Antes, negocio no quería conocer los detalles: le bastaba con que funcionara. Eso ya no es así. Cuando las elecciones tecnológicas condicionan lo que puedes lanzar y cuánto riesgo corres, negocio tiene que implicarse», dice Khaled.
Ahora es más difícil de mantener la separación entre TI y negocio. Por ejemplo, las estrategias de nube muy concentradas aportan velocidad y coherencia, pero también plantean cuestiones sobre dependencia, flexibilidad y flexibilidad operativa.

La geopolítica es otro factor importante, ya que influye en quién puede acceder a los datos, qué marcos legales se aplican y cuánto control tiene realmente la institución.

«He visto bancos pasar de una estrategia de nube con un único proveedor a una con varios proveedores, para elegir el más adecuado para cada caso de uso, equilibrar los riesgos y lograr la máxima flexibilidad», afirma Khaled.

Una calidad suficiente es una posición frágil

La resiliencia pierde fuelle cuando las organizaciones se centran en resolver un problema concreto. Abordar una carencia regulatoria o una vulnerabilidad técnica evidente puede mejorar el cumplimiento normativo, pero puede que no prepare a la institución para el siguiente riesgo operativo, tecnológico o geopolítico.

«Muchas organizaciones solucionan un problema puntual y creen que eso las hace resilientes, pero el mundo avanza tan rápido que lo que antes era mañana ahora puede ser la próxima hora. Por eso, hay que diseñar pensando en el cambio que se avecina, y no solo en el problema que tenemos delante», afirma Khaled.

La deuda técnica, las dependencias actuales y las vulnerabilidades sin resolver merecen más atención. Un sistema que funciona hoy puede limitar el modelo de servicio, la estrategia de proveedores o la respuesta a ciberincidentes de mañana.

Eso es algo que la ciberseguridad pone de manifiesto. Los atacantes ahora automatizan el reconocimiento y la preparación de nuevas vulnerabilidades en cuestión de horas, mientras que la mayoría de los defensores siguen aplicando parches y respondiendo a un ritmo humano. Para subsanar esa diferencia, se debe automatizar la detección y la respuesta y asignar responsabilidades claras para que ningún riesgo quede expuesto esperando a la siguiente ventana de cambios.
«Tienes que ser incluso más rápido que tus atacantes. Y tus atacantes son máquinas», explica Khaled.

Cómo los lideres financieros deben afrontar este reto

  • Define qué debe permitir la resiliencia
    Empieza aclarando qué servicios debe proteger la resiliencia, en qué mercados quiere operar la empresa y qué riesgos podrían limitar el crecimiento. Hazlo de forma específica: nombra los tres o cuatro servicios que más perjuicio causarían si fallasen, define un margen de tolerancia para determinar cuánto tiempo pueden estar caídos y cuántos datos te puedes permitir perder (tiempo de recuperación y objetivos de punto de recuperación, en el idioma de los reguladores) y vincula esos objetivos con los ingresos y los compromisos con los clientes, en vez de con una lista de control.
  • Construye control dentro del sistema operativo
    La resiliencia ofrece la máxima eficacia cuando la arquitectura, las elecciones de proveedores, la respuesta a ciberincidentes, el desarrollo de producto y los derechos de decisión reflejan la velocidad, la flexibilidad y la confianza que la organización desea. En la práctica, significa identificar dónde un único proveedor o una única región de nube genera riesgo de concentración, acordar de antemano quién puede activar una conmutación por error o poner en marcha una estrategia de salida y ensayar esas decisiones antes de que un incidente obligue a tomarlas.
  • Considera la IA como parte del plan de resiliencia
    La IA aporta una mayor velocidad y autonomía a procesos definidos, lo que hace que surjan nuevas preguntas sobre accesos, explicabilidad, auditabilidad, responsabilidades sobre decisiones y control. Determina qué decisiones podría tomar un modelo de forma autónoma y cuáles necesitan la implicación de humanos, lleva un registro de por qué se llevó a cabo cada acción automatizada y trata el propio pipeline de IA como un objetivo potencial para los atacantes.
  • MIra más allá de tu propio perímetro
    La resiliencia ya no se limita a los sistemas propios de una institución. La mayoría de las empresas dependen ahora de las mismas plataformas de nube, redes de pago y proveedores de SaaS, lo que significa que el fallo de un único proveedor puede perjudicar mucho a todo el sector: un riesgo de concentración que ninguna empresa puede controlar totalmente. Identifica las dependencias comunes de tus servicios críticos, evalúa si tu ecosistema también está expuesto a esos mismos puntos de fallo y prepara a la organización para disrupciones que puedan originarse fuera de ella.
Ni los proveedores más reconocidos son inmunes —afirma Khaled—. Un único fallo en una capa profunda de AWS llegó a propagarse por gran parte de Internet, dejando fuera de servicio a aplicaciones bancarias y otros servicios digitales.
Khaled Ouafi, Partner

La resiliencia hace que sea más seguro avazar rápido

Las empresas de servicios financieros han logrado verdaderos progresos en lo que respecta al cumplimiento normativo. El siguiente paso es acercar más ese avance al valor empresarial, la calidad del servicio y la elección estratégica.

La cuestión ya no es solo determinar si un sistema funciona hoy, sino si el modelo operativo digital (la tecnología, los proveedores y los datos en los que se basa el negocio) ofrece la flexibilidad, la seguridad y la confianza suficientes para afrontar lo que viene. En última instancia, la resiliencia en los servicios financieros no se demuestra en el expediente de cumplimiento, sino en las decisiones tecnológicas y digitales que marcan la rapidez y la seguridad con las que puede avanzar la empresa. Según Khaled, la resiliencia ofrece a las instituciones financieras la estructura que necesitan para seguir avanzando, atender mejor a sus clientes y adaptarse sin perder el control.