Por qué los mainframes siguen siendo importantes en la era digital bancaria – Entrevista con Jennifer Nelson

Jennifer Nelson es CEO de izzi Software.

¡Descubre las principales noticias y eventos fintech!

Suscríbete al boletín de FinTech Weekly

Leído por ejecutivos de JP Morgan, Coinbase, Blackrock, Klarna y más

En una industria obsesionada con la nueva ola de tecnología, es fácil olvidar que algunos de los pilares más fuertes en infraestructura financiera han existido durante décadas. Mientras la fintech a menudo se enmarca como una carrera hacia el futuro, la columna vertebral de la banca global permanece silenciosamente anclada en sistemas que muchos erróneamente descartan como reliquias: los mainframes.

Esto no es solo una cuestión de nostalgia o inercia corporativa. Los mainframes aún procesan la mayor parte de las transacciones financieras del mundo, con una fiabilidad y escala insuperables por muchas plataformas más nuevas. Su capacidad para manejar volúmenes enormes de datos en tiempo real, sin comprometer la seguridad, los ha convertido en indispensables en un sistema financiero que depende tanto de la velocidad como de la confianza.

Sin embargo, a pesar de su papel crítico, los mainframes a menudo se malinterpretan. En el clima actual, donde “nube primero” es el mantra predeterminado, puede parecer contraintuitivo defender tecnologías más antiguas. Pero llamar al mainframe un sistema legado simplifica demasiado una verdad mucho más compleja. Para entender por qué, necesitamos examinar el equilibrio entre sistemas heredados y el impulso moderno hacia infraestructuras híbridas.

El caso de la modernización con precaución

Las instituciones financieras están bajo una presión implacable para modernizarse. Inversionistas, clientes y reguladores esperan servicios digitales sin fisuras, seguridad reforzada y rendimiento cada vez más rápido. Para muchos líderes, la tentación es perseguir el cambio de manera agresiva — deshacerse de los sistemas antiguos y migrar de manera total a la nube.

Pero la modernización no es simplemente un proyecto técnico. Es una tarea estratégica que conlleva riesgos si se hace a la ligera. Los datos que han estado seguros dentro de un entorno de mainframe durante décadas quedan expuestos en el momento en que se transfieren a otro lugar. Las aplicaciones optimizadas para el mainframe pueden fallar al migrarlas, resultando en problemas de latencia costosos. Estos riesgos no son solo hipotéticos — amenazan las operaciones diarias, el cumplimiento regulatorio e incluso la confianza del consumidor.

La lección es clara: la verdadera modernización no consiste en arrancar lo viejo para poner lo nuevo. Se trata de integrar fortalezas, planificar las actualizaciones cuidadosamente y asegurarse de que el próximo paso no desestabilice lo que ya funciona.

Una brecha de habilidades con consecuencias reales

La tecnología evoluciona más rápido que la experiencia necesaria para mantenerla. Esto es especialmente evidente en el espacio de mainframes. Durante años, los bancos y las instituciones financieras han dependido de un grupo de ingenieros con profundo conocimiento institucional de los sistemas IBM Z y plataformas relacionadas. A medida que muchos de esos expertos se jubilan, la próxima generación aún no ha reemplazado completamente sus habilidades.

Esto crea un desafío serio. Una base de conocimientos superficial aumenta el riesgo de errores costosos, incluso cuando existen protecciones. La resiliencia de los mainframes no puede compensar completamente el factor humano. Hasta que se capacite y mentoree a nuevos ingenieros, los bancos enfrentan vulnerabilidades no por la tecnología en sí, sino por la reducción del grupo de profesionales que saben usarla de manera segura.

La seguridad sigue siendo cosa de personas

Cuando surgen conversaciones sobre ciberseguridad, gran parte del enfoque está en herramientas y defensas. Sin embargo, una y otra vez, las verdaderas debilidades provienen del comportamiento humano. En el mundo de los mainframes, esto a menudo se reduce a cómo se otorgan, gestionan y revocan los permisos.

Los desarrolladores que no comprenden completamente las implicaciones de permisos elevados pueden dejar puertas abiertas, no por malicia, sino por capacitación incompleta o conveniencia. Las empresas que no actualizan el acceso cuando los empleados cambian de roles pueden exponer datos sensibles innecesariamente. Incluso con tecnología sofisticada, los principios básicos de higiene de seguridad siguen siendo esenciales — y con demasiada frecuencia se pasan por alto.

Presentando a Jennifer Nelson

Para contextualizar estos desafíos y oportunidades, recurrimos a Jennifer Nelson, CEO de Izzi Software. Nelson ha construido su carrera en torno a los sistemas mainframe, pasando 15 años en Rocket Software y cinco en BMC antes de ampliar su perspectiva a través de roles de ingeniería senior fuera del ecosistema IBM Z. En 2024, fundó Izzi Software, una compañía dedicada a adquirir y hacer crecer negocios de software basados en plataformas IBM Z y IBM Power.

Su visión — que abarca la ingeniería tradicional de mainframes y el liderazgo en software moderno — la convierte en una voz rara en la conversación actual sobre estrategia tecnológica en servicios financieros.

¡Disfruta la entrevista!

1. Mientras la fintech corre hacia todo nativo en la nube, has argumentado que el mainframe sigue siendo crucial para la estabilidad bancaria global. ¿Qué crees que la mayoría de los innovadores malinterpretan sobre el papel de los sistemas antiguos hoy en día?

Lo primero que malinterpretan es llamar al mainframe un sistema legado; que porque fueron lanzados hace más de 60 años, son de alguna manera obsoletos. Es como llamar al sistema operativo Windows una plataforma heredada. Simplemente no es la realidad. Los mainframes son más relevantes hoy que cuando fueron inventados por primera vez.

Todos quieren datos a la velocidad de la luz. Quieren que los datos se devuelvan tan pronto como presionan el botón, sin importar dónde esté esa información. Y con razón, porque el consumidor final no sabría, y no debería tener que saber, las complejidades de su solicitud, como dónde se almacenan los datos. Pero solo los mainframes pueden ofrecerte el rendimiento y la seguridad en un entorno híbrido.

Los mainframes pueden ingerir datos dondequiera que estén, analizarlos y reportarlos, con recomendaciones, mejor que cualquier otra plataforma, y más rápido. Muéstrame otro sistema que pueda ingerir datos de toda una red global, analizarlos, detectar anomalías en tiempo real y enviarlos de vuelta al llamante.

El que mejor conoce sus datos gana porque los datos son tan valiosos como el capital en efectivo. Cuando los innovadores descartan los mainframes como sistemas legacy, están descartando su velocidad y potencia, y la capacidad de procesar cantidades masivas de datos a la velocidad necesaria para la detección de riesgos en tiempo real.

La gente piensa que la nube fue un cambio de juego y moderna, y que los mainframes están desactualizados en comparación. El concepto de computación en la nube a través de una red es, de hecho, moderno y revolucionario para muchos. Pero si estás familiarizado con la tecnología mainframe, los usuarios lo reconocerán como que tiene muchas de las mismas características que la nube. Por ejemplo, cuando inicias sesión en el mainframe, estás accediendo a TSO, que significa “opción de compartición de tiempo”. Tienes tu propia sesión TSO, o instancia de Microsoft Teams.

Todos usan los mismos procesadores en el mainframe. Pero cuando no estás ejecutando un programa o trabajo por lotes, la capacidad se asigna a quienes la necesitan. También inicias sesión en un LPAR, o partición lógica, con almacenamiento, seguridad y privacidad dedicados. Los usuarios en un LPAR no pueden acceder a datos en otro LPAR, a menos que esté específicamente configurado así. Eso es lo que es la nube en su esencia; compartir recursos cuando no los estás usando, y asegurar los datos dedicados a tu instancia. Pero el mainframe ha estado usando estos conceptos durante años.

2. La infraestructura híbrida—mezclando mainframes con capas más nuevas de nube—se está convirtiendo en la norma. Desde tu experiencia, ¿cuáles son los verdaderos factores de riesgo que se introducen cuando las organizaciones intentan modernizar demasiado rápido o de manera superficial?

De los múltiples riesgos, puedo reducirlo a dos.

El primer riesgo es el consumo de datos. Los datos en un mainframe son algunos de los datos más seguros en cualquier lugar. Cuando los sacas del mainframe o los haces visibles a alguien que los ingiere, existe un riesgo para la privacidad y regulación de los datos. ¿Quién los está mirando? ¿A dónde van cuando salen del mainframe?

El segundo riesgo está en optimizar las aplicaciones para que funcionen en un entorno híbrido. Las aplicaciones optimizadas para el mainframe pueden terminar funcionando de manera subóptima en otro servidor. La latencia y los problemas de rendimiento podrían dañar la productividad.

3. Has alertado sobre una brecha de habilidades en la experiencia de mainframes. ¿Qué tan grave es el riesgo institucional cuando menos ingenieros saben cómo operar y asegurar los sistemas en los que las instituciones financieras todavía dependen?

El riesgo es severo. Los desarrolladores más nuevos — no solo los más jóvenes, sino aquellos nuevos en la industria — aprenderán y desarrollarán su experiencia. Pero hasta que la próxima generación se ponga al día, las instituciones financieras tendrán una exposición por algún tiempo, cuando el conocimiento institucional no sea tan profundo como debería ser.

Las personas con poca experiencia o conocimientos superficiales pueden hacer cosas inadvertidamente que causen riesgos para los datos o para un sistema operativo. Estos sistemas son resilientes y tienen varias capas de protección contra errores humanos, pero todavía existe un riesgo considerable hasta que las habilidades estén donde deben estar. Los bancos ya enfrentan esta brecha de habilidades hoy en día.

4. Las conversaciones sobre seguridad a menudo se centran en herramientas, pero tú has señalado que las personas siguen siendo la primera línea. ¿Qué puntos ciegos operativos has visto surgir con mayor frecuencia en la gestión de entornos mainframe?

La gestión de entornos relevantes generalmente se centra en permisos elevados. Cuando un ingeniero de software escribe código, a veces necesita un permiso elevado para hacer algo específico en el sistema operativo, donde puede habilitar que el programa haga algo más sensible. Si el ingeniero no comprende bien las mejores prácticas al escribir software, no sabrá cuándo entrar y salir de ese estado autorizado elevado. Ese estado conlleva más riesgo, por lo que los ingenieros no permanecerán en él lo suficiente para entender completamente las mejores prácticas al desarrollar para ese sistema.

También hay algunas prácticas básicas de seguridad que se deben usar en cualquier red de TI. Cuando otorgas autorización especial a alguien en un rol determinado, necesitas un proceso claro para eliminar esa autorización cuando cambian de rol, para asegurar que se eliminen los accesos. Muchas veces no es un problema, si todavía son empleados de la empresa o no son actores maliciosos. Pero siempre hay un riesgo cuando dejas demasiados datos sensibles disponibles para personas que ya no los necesitan.

Además, los conjuntos de datos a nivel de sistema del mainframe permiten a los usuarios realizar funciones fundamentales en un sistema. Solo ciertos usuarios deben tener acceso a esas funciones. Por ejemplo, algunos controles de seguridad solo pueden activarse en niveles más profundos del sistema operativo. Te sorprendería cuántas veces las empresas dejan sin revisar principios básicos de seguridad. Hay formas en que los ingenieros pueden hacer su trabajo sin tener acceso a esos recursos de nivel raíz, pero es más fácil trabajar con ese nivel de acceso, por lo que las empresas dejan la puerta trasera abierta más de lo que deberían.

La mayoría de los empleados pueden ser confiables, pero estos son principios fundamentales que algunas instituciones financieras dejan abiertos y olvidan.

5. Los ataques de ransomware no solo apuntan a los endpoints, sino a la infraestructura central. ¿Qué hace que los sistemas legacy sean tanto particularmente vulnerables—y, en algunos casos, más resistentes—que las plataformas más nuevas?

Los mainframes tienen capas de seguridad integradas que la mayoría de los servidores simplemente no poseen. Solo porque puedas iniciar sesión en el mainframe no significa que tengas acceso a los datos críticos del negocio, que es lo que normalmente bloquea el ransomware. Luego tienes que saber dónde están los datos y cómo acceder a ellos. Y los datos pueden estar compartimentados, por lo que un invasor solo tendría acceso a un segmento de los datos y no a todo lo que necesita para un ataque de ransomware exitoso. Y si no tienes acceso al dispositivo de almacenamiento, no puedes ver los datos en ese dispositivo.

6. Desde tu experiencia, ¿cómo se ve una modernización efectiva para las instituciones financieras que no pueden permitirse “arrancar y reemplazar” pero necesitan estar preparadas para el futuro?

La modernización significa cosas diferentes en distintas empresas, dependiendo de en qué estado estén con las aplicaciones que ejecutan. Ya sea B2B o B2C, las empresas están modernizando continuamente, actualizando servidores y laptops.

Lo mismo sucede con las aplicaciones críticas para el negocio. Una empresa puede actualizar esas aplicaciones periódicamente, pero dado que las aplicaciones tradicionales de mainframe fueron desarrolladas hace varias generaciones, lo mejor que pueden hacer las empresas es evaluar completamente qué hace cada aplicación de principio a fin. Así pueden planificar su modernización en partes manejables.

Las empresas pueden segmentar una aplicación, dividiéndola en partes para que las diferentes funciones y características se actualicen y reescriban lentamente con el tiempo, según sea asequible. Si ves la modernización como un proceso continuo, el impulso de mejorar y iterar se vuelve constante.

Los líderes siempre deben tener una mentalidad proactiva. Las preguntas deben ser: “¿Qué podemos hacer ahora? ¿Qué podemos contener este año? ¿Qué podemos contener en los próximos dos años?” Esa es una mejor estrategia que “¿cómo reescribimos todo esto?”

Hay que iterar en los sistemas y construirlos con el tiempo. Comienza reescribiendo una función de una aplicación crítica, y luego amplía añadiendo las demás funciones según puedas. Cambios en fases pequeñas.

Arrancar y reemplazar es una opción. Suena drástico y brutal, pero en realidad solo significa dejar de usar un sistema para usar otro. Pero la dirección necesita tener la voluntad para un cambio grande de una sola vez, y aprobar el presupuesto. La verdad es que, en realidad, es más un “reemplazo”, porque puede tomar años completar el proceso.

7. Para los líderes tecnológicos que vienen de una mentalidad de nube primero, ¿qué cambio en el pensamiento consideras más importante al tratar con sistemas mainframe críticos?

Aprender qué está haciendo realmente el mainframe. La Juramento Hipocrático dice que primero no hagas daño, así que aprende qué responsabilidades tiene el mainframe para evitar errores dañinos. Una vez que quienes tienen una mentalidad de nube entiendan la totalidad de las transacciones que llegan al mainframe, la naturaleza de esas transacciones y cuánto dependen los ingresos de su empresa de ellas, entenderán y sabrán cómo evitar dañar el rendimiento y la rentabilidad de su compañía.

Sobre Jennifer Nelson

Jennifer Nelson ha pasado la mayor parte de su carrera en el espacio de mainframes, incluyendo 15 años en Rocket Software y cinco en BMC. En 2019, hizo la transición a roles de ingeniería senior en empresas tecnológicas globales fuera del ecosistema Z Systems, ampliando su perspectiva y habilidades. A principios de 2024, Nelson comenzó a sentar las bases de lo que sería Izzi Software, una compañía enfocada en adquirir y hacer crecer negocios de software basados en plataformas IBM Z y IBM Power.