Por qué los mainframes siguen siendo importantes en la era digital de la banca – Entrevista con Jennifer Nelson

Jennifer Nelson es CEO de izzi Software.

¡Descubre las principales noticias y eventos de fintech!

Suscríbete al boletín de FinTech Weekly

Leído por ejecutivos de JP Morgan, Coinbase, Blackrock, Klarna y más

En una industria obsesionada con la nueva ola de tecnología, es fácil olvidar que algunos de los pilares más fuertes en la infraestructura financiera han existido durante décadas. Mientras que la innovación en fintech a menudo se presenta como una carrera hacia el futuro, la columna vertebral de la banca global permanece silenciosamente anclada en sistemas que muchos desestiman erróneamente como reliquias: el mainframe.

Esto no es solo una cuestión de nostalgia o inercia corporativa. Los mainframes todavía procesan la mayor parte de las transacciones financieras del mundo, con una fiabilidad y escala que muchas plataformas más nuevas no pueden igualar. Su capacidad para manejar volúmenes masivos de datos en tiempo real, sin comprometer la seguridad, los ha hecho indispensables en un sistema financiero que depende tanto de la velocidad como de la confianza.

Sin embargo, a pesar de su papel crítico, los mainframes a menudo son malinterpretados. En el clima actual, donde “primero la nube” es el mantra por defecto, puede parecer contraintuitivo defender tecnologías más antiguas. Pero llamar al mainframe un sistema legado simplifica en exceso una verdad mucho más compleja. Para entender por qué, necesitamos examinar el equilibrio entre los sistemas heredados y el impulso moderno hacia infraestructuras híbridas.

El Caso por la Modernización con Precaución

Las instituciones financieras están bajo una presión implacable para modernizarse. Inversores, clientes y reguladores esperan servicios digitales fluidos, seguridad reforzada y un rendimiento cada vez más rápido. Para muchos líderes, la tentación es buscar un cambio agresivo — deshacerse de los sistemas antiguos y trasladarse por completo a la nube.

Pero la modernización no es simplemente un proyecto técnico. Es un emprendimiento estratégico que conlleva riesgos cuando se hace apresuradamente. Los datos que han vivido de forma segura dentro de un entorno de mainframe durante décadas se exponen en el momento en que se transfieren a otro lugar. Las aplicaciones optimizadas para el mainframe pueden tropezar al ser migradas, resultando en costosos problemas de latencia. Estos riesgos son más que hipotéticos — amenazan las operaciones diarias, el cumplimiento normativo e incluso la confianza del consumidor.

La lección es clara: la verdadera modernización no se trata de deshacerse de lo antiguo en favor de lo nuevo. Se trata de integrar fortalezas, implementar actualizaciones cuidadosamente y garantizar que el próximo paso hacia adelante no desestabilice lo que ya funciona.

Una Brecha de Habilidades con Consecuencias Reales

La tecnología evoluciona más rápido que la experiencia necesaria para mantenerla. En ningún lugar es esto más evidente que en el espacio del mainframe. Durante años, los bancos y las instituciones financieras han confiado en un grupo de ingenieros con un profundo conocimiento institucional de los sistemas IBM Z y plataformas relacionadas. A medida que muchos de esos expertos se jubilan, la siguiente generación aún no ha reemplazado completamente su conjunto de habilidades.

Esto crea un desafío serio. Un grupo superficial de experiencia aumenta el riesgo de errores costosos, incluso cuando hay protecciones en su lugar. La resiliencia de los mainframes no puede compensar completamente el factor humano. Hasta que se capaciten y mentoren a nuevos ingenieros, los bancos enfrentarán vulnerabilidades no por la tecnología en sí, sino por la reducción del grupo de profesionales que saben cómo usarla de manera segura.

La Seguridad Sigue Siendo Acerca de las Personas

Cuando surgen conversaciones sobre ciberseguridad, gran parte del enfoque está en herramientas y defensas. Sin embargo, una y otra vez, las verdaderas debilidades provienen del comportamiento humano. En el mundo del mainframe, esto a menudo se reduce a cómo se otorgan, gestionan y revocan los permisos.

Los desarrolladores que no entienden completamente las implicaciones de los permisos elevados pueden dejar puertas abiertas, no por malicia, sino por una capacitación incompleta o conveniencia. Las empresas que no actualizan el acceso cuando los empleados cambian de roles pueden exponer datos sensibles innecesariamente. Incluso con tecnología sofisticada, lo básico de la higiene de seguridad sigue siendo esencial — y a menudo se pasa por alto.

Presentando a Jennifer Nelson

Para poner estos desafíos y oportunidades en contexto, nos dirigimos a Jennifer Nelson, CEO de Izzi Software. Nelson ha construido su carrera en torno a los sistemas de mainframe, pasando 15 años en Rocket Software y cinco años en BMC antes de ampliar su perspectiva a través de roles de ingeniería senior fuera del ecosistema IBM Z. En 2024, fundó Izzi Software, una empresa dedicada a adquirir y hacer crecer negocios construidos sobre plataformas IBM Z e IBM Power.

Su perspectiva — que abarca la ingeniería de mainframe tradicional y el liderazgo moderno en software — la convierte en una voz rara en la conversación actual sobre la estrategia tecnológica en servicios financieros.

¡Disfruta de la entrevista!

1. A medida que fintech se apresura hacia todo lo nativo en la nube, has argumentado que el mainframe sigue siendo crítico para la estabilidad bancaria global. ¿Qué crees que la mayoría de los innovadores entienden mal sobre el papel de los sistemas más antiguos hoy en día?

Lo primero que entienden mal es llamar al mainframe un sistema legado; que porque fueron lanzados hace más de 60 años, de alguna manera están obsoletos. Eso es como llamar al sistema operativo Windows una plataforma legado. Simplemente no es la realidad. Los mainframes son más relevantes hoy que cuando fueron inventados por primera vez.

Todos quieren datos a la velocidad de la luz. Quieren que los datos se les devuelvan tan pronto como presionen el botón, sin importar dónde se encuentren esos datos. Y con razón, porque el consumidor final no lo sabría, y no debería tener que conocer las complejidades de su solicitud, como dónde se encuentran los datos. Pero solo los mainframes pueden ofrecerte el rendimiento y la seguridad en un entorno híbrido.

Los mainframes pueden ingerir datos desde cualquier lugar donde se encuentren, analizarlos y reportarlos, completos con recomendaciones, mejor que cualquier otra plataforma, y más rápido. Muéstrame otro sistema que pueda ingerir datos de toda una red global, analizarlos, detectar anomalías en tiempo real y enviarlos de vuelta al llamador.

El que mejor conoce sus datos gana porque los datos son tan valiosos como el capital en efectivo. Cuando los innovadores desestiman los mainframes como sistemas heredados, están desestimando su velocidad y potencia, y la capacidad de procesar enormes cantidades de datos a la velocidad requerida para la detección de riesgos en tiempo real.

La gente piensa que la nube fue un cambio radical y moderno, y que los mainframes están desactualizados en comparación. El concepto de computación en la nube a través de una red es de hecho moderno y revolucionario para muchos. Pero si estás familiarizado con la tecnología de mainframe, los usuarios reconocerán que tiene muchas de las mismas características que la nube. Por ejemplo, cuando inicias sesión en el mainframe, estás iniciando sesión en TSO, que significa “opción de tiempo compartido”. Tienes tu propia sesión TSO, o instancia de Microsoft Teams.

Todos están usando los mismos procesadores en el mainframe. Pero cuando no estás ejecutando un programa o trabajo por lotes, la capacidad se otorga a quienes la necesitan. También estás iniciando sesión en un LPAR, o partición lógica, completa con almacenamiento dedicado, seguridad y privacidad. Los usuarios de un LPAR no pueden acceder a datos en otro LPAR, a menos que se configure específicamente para hacerlo. Eso es lo que es la nube en su núcleo; compartir recursos cuando no los estás usando, y asegurar datos dedicados a tu instancia. Pero el mainframe ha estado utilizando estos conceptos durante años.

2. La infraestructura híbrida—mezclando mainframes con capas de nube más nuevas—se está convirtiendo en la norma. Desde tu experiencia, ¿cuáles son los verdaderos factores de riesgo introducidos cuando las organizaciones intentan modernizarse demasiado rápido o de manera superficial?

De los múltiples factores de riesgo, puedo resumirlo en dos.

El primer riesgo es el consumo de datos. Los datos en un mainframe son algunos de los datos más seguros en cualquier lugar. Cuando lo sacas del mainframe o lo haces visible para alguien que ingiere esos datos, hay un riesgo para la privacidad de los datos y la regulación. ¿Quién lo está mirando? ¿A dónde va cuando sale del mainframe?

El segundo riesgo está en optimizar aplicaciones para que funcionen en un entorno híbrido. Las aplicaciones optimizadas para el mainframe pueden terminar funcionando de manera subóptima en otro servidor. Los problemas de latencia y rendimiento podrían perjudicar la productividad.

3. Has hecho sonar la alarma sobre una brecha de habilidades en la experiencia de mainframe. ¿Qué tan grave es el riesgo institucional cuando menos ingenieros saben cómo operar y asegurar los sistemas de los que las instituciones financieras todavía dependen?

El riesgo es severo. Los desarrolladores más nuevos — no solo los más jóvenes, sino aquellos nuevos en la industria — aprenderán y desarrollarán su experiencia. Pero hasta que la próxima generación se ponga al día, habrá una exposición en las instituciones financieras durante algún tiempo cuando el conocimiento institucional no sea tan profundo como necesita ser.

Las personas con una profundidad superficial de experiencia o conocimiento pueden hacer cosas involuntariamente que causen riesgo a los datos o a un sistema operativo. Estos sistemas son resilientes y tienen varias capas de protección contra el error humano, pero aún hay una cantidad considerable de riesgo hasta que las habilidades estén donde deben estar. Los bancos ya están enfrentando esta brecha de habilidades hoy.

4. Las conversaciones sobre seguridad a menudo se centran en herramientas, pero has señalado que las personas siguen siendo la primera línea. ¿Qué puntos ciegos operativos has visto emerger más a menudo en la gestión de entornos de mainframe?

La gestión de entornos relevantes suele centrarse en permisos elevados. Cuando un ingeniero de software está escribiendo código, a veces necesita un permiso elevado para hacer algo específico en el sistema operativo, donde puede habilitar el programa para hacer algo más sensible. Si el ingeniero malinterpreta las mejores prácticas del desarrollador al escribir software, no sabrá cuándo entrar y salir de ese estado autorizado elevado. Ese estado trae más riesgo, por lo que los ingenieros no permanecerán en él el tiempo suficiente para comprender completamente las mejores prácticas al desarrollar para ese sistema.

También hay algunas mejores prácticas de seguridad fundamentales que se deben utilizar en cualquier red de TI. Cuando le das autorización especial a alguien en un rol determinado, necesitas un proceso claro para eliminar esa autorización cuando cambian de rol, para asegurarte de que eliminas el acceso. Muchas veces no es un problema, si todavía son empleados de la empresa o no son actores maliciosos. Pero siempre hay un riesgo al dejar demasiados datos sensibles disponibles para personas que ya no los necesitan.

Además, los conjuntos de datos a nivel de sistema de mainframe permiten a los usuarios hacer cosas fundamentales a un sistema. Solo quieres que ciertos usuarios tengan acceso a esas funciones. Por ejemplo, ciertos controles de seguridad solo pueden ser alternados en los niveles más profundos del sistema operativo. Te sorprendería cuán a menudo las empresas dejan principios básicos de seguridad sin revisar. Hay formas para que los ingenieros realicen su trabajo sin tener acceso a esos recursos a nivel raíz, pero es más fácil trabajar con ese nivel de acceso, por lo que las empresas dejan la puerta trasera abierta más de lo que deberían.

La mayoría de los empleados pueden ser de confianza, pero estos son principios fundamentales que algunas instituciones financieras dejan abiertos y se olvidan de ellos.

5. Los ataques de ransomware están apuntando no solo a los puntos finales, sino también a la infraestructura central. ¿Qué hace que los sistemas heredados sean tanto vulnerables de manera única—y, en algunos casos, más resilientes—que las plataformas más nuevas?

Los mainframes tienen capas de seguridad integradas que la mayoría de los servidores simplemente carecen. Solo porque puedes iniciar sesión en el mainframe no significa que ahora tengas acceso a datos críticos para el negocio, que es lo que normalmente bloquea el ransomware. Luego tienes que saber dónde está el dato y cómo acceder a ese dato. Y luego los datos pueden estar compartimentados, de modo que un invasor solo tenga acceso a un segmento de los datos y no a todo lo que necesita para un ataque de ransomware exitoso. Y si no tienes acceso al dispositivo de almacenamiento, no puedes ver los datos en ese dispositivo.

6. Desde tu experiencia, ¿cómo se ve realmente la modernización efectiva para las instituciones financieras que no pueden permitirse “desgastar y reemplazar”, pero necesitan estar preparadas para el futuro?

La modernización significa diferentes cosas en diferentes empresas debido a dónde se encuentran con las aplicaciones que ejecutan. Ya sea B2B o B2C, las empresas están modernizando continuamente, actualizando servidores y computadoras portátiles.

Lo mismo ocurre con las aplicaciones críticas para el negocio. Una empresa puede actualizar periódicamente esas aplicaciones, pero debido a que las aplicaciones de mainframe tradicionales se desarrollaron hace generaciones, lo mejor que pueden hacer las empresas es evaluar completamente lo que cada aplicación hace de principio a fin. De esa manera, pueden implementar su modernización en piezas manejables.

Las empresas pueden compartimentar una aplicación, descomponiéndola en piezas para que las diferentes características y funciones se actualicen y reescriban lentamente a lo largo del tiempo según lo que sea asequible. Si miras la modernización como un proceso continuo, el impulso por mejorar e iterar se convierte en algo constante.

Los líderes siempre deben tener una mentalidad proactiva. Las preguntas deben ser: “¿Qué podemos hacer ahora? ¿Qué podemos contener este año? ¿Qué podemos contener en los próximos dos años?” Ese es un mejor enfoque que “¿cómo reescribimos todo esto?”

Tienes que iterar sobre los sistemas y desarrollarlos con el tiempo. Comienza reescribiendo una característica de una aplicación crítica para el negocio, luego construye sobre eso añadiendo el resto de las características a medida que puedas. Implementa cambios poco a poco.

Desgastar y reemplazar es una opción. Suena crudo y brutal, pero lo que realmente significa es dejar de usar un sistema para usar otro. Pero el liderazgo necesita tener el estómago para un gran cambio de una vez, y debe aprobar el presupuesto. La verdad es que es más bien “reemplazar”, porque puede tardar años en completar el procedimiento.

7. Para los líderes tecnológicos que vienen de una mentalidad de nube primero, ¿qué dirías que es el cambio de pensamiento más importante al involucrarse con sistemas de mainframe críticos para la misión?

Aprender qué está haciendo realmente el mainframe. El juramento hipocrático dice que primero no debes hacer daño, así que aprende qué es responsable el mainframe para evitar cometer errores perjudiciales. Una vez que aquellos con una mentalidad de nube primero comprendan la totalidad de las transacciones que ingresan al mainframe, la naturaleza de esas transacciones y cuánto depende el ingreso de su empresa de esas transacciones, entenderán y sabrán cómo evitar dañar el rendimiento y la rentabilidad de su empresa.

Acerca de Jennifer Nelson

Jennifer Nelson ha pasado la mayor parte de su carrera en el espacio de mainframe, incluyendo 15 años en Rocket Software y cinco años en BMC. En 2019, hizo la transición a roles de ingeniería senior en empresas tecnológicas globales fuera del ecosistema de Sistemas Z, ampliando su perspectiva y conjunto de habilidades. A principios de 2024, Nelson comenzó a sentar las bases para lo que se convertiría en Izzi Software, una empresa centrada en adquirir y hacer crecer negocios de software construidos sobre plataformas IBM Z e IBM Power.