Por qué los mainframes siguen siendo importantes en la era digital de la banca – Entrevista con Jennifer Nelson

Jennifer Nelson es la directora ejecutiva de izzi Software.

Descubre las principales noticias y eventos de fintech

Suscríbete al boletín de FinTech Weekly

Leído por ejecutivos de JP Morgan, Coinbase, Blackrock, Klarna y más

En una industria obsesionada con la ola más reciente de tecnología, es fácil olvidar que algunos de los pilares más sólidos de la infraestructura financiera han permanecido durante décadas. Si bien la innovación en fintech a menudo se plantea como una carrera hacia el futuro, la columna vertebral de la banca global sigue anclada en sistemas que muchos descartan erróneamente como reliquias: el mainframe.

Esto no es solo cuestión de nostalgia o inercia corporativa. Los mainframes todavía procesan la mayor parte de las transacciones financieras del mundo, con una fiabilidad y una escala que no igualan muchos plataformas más nuevas. Su capacidad para manejar grandes volúmenes de datos en tiempo real, sin comprometer la seguridad, los ha vuelto indispensables en un sistema financiero que depende tanto de la velocidad como de la confianza.

Sin embargo, por todo su papel crítico, los mainframes a menudo se malinterpretan. En el clima de hoy, donde el lema de “cloud-first” es el predeterminado, puede parecer contradictorio defender tecnologías más antiguas. Pero llamar al mainframe un sistema heredado simplifica una verdad mucho más compleja. Para entender por qué, debemos analizar el equilibrio entre los sistemas heredados y el impulso moderno hacia infraestructuras híbridas.

El caso de la modernización con cautela

Las instituciones financieras están bajo una presión implacable para modernizarse. Inversores, clientes y reguladores esperan servicios digitales sin fisuras, una seguridad reforzada y un rendimiento cada vez más rápido. Para muchos líderes, la tentación es perseguir el cambio con agresividad — abandonar los sistemas antiguos y migrar completamente a la nube.

Pero la modernización no es simplemente un proyecto técnico. Es una empresa estratégica que conlleva riesgos cuando se hace con prisa. Los datos que han permanecido seguros dentro de un entorno de mainframe durante décadas quedan expuestos en el momento en que se transfieren a otro lugar. Las aplicaciones optimizadas para el mainframe pueden fallar cuando se migran, lo que deriva en problemas costosos de latencia. Estos riesgos van más allá de lo hipotético: amenazan las operaciones diarias, el cumplimiento regulatorio e incluso la confianza del consumidor.

La lección es clara: la modernización verdadera no consiste en arrancar lo antiguo para dejar paso a lo nuevo. Se trata de integrar fortalezas, realizar las actualizaciones de forma gradual y asegurarse de que el siguiente paso no desestabilice lo que ya funciona.

Una brecha de habilidades con consecuencias reales

La tecnología evoluciona más rápido que la experiencia necesaria para mantenerla. En ningún lugar esto es más evidente que en el ámbito de los mainframes. Durante años, los bancos y las instituciones financieras han dependido de un grupo de ingenieros con un profundo conocimiento institucional de los sistemas IBM Z y plataformas relacionadas. A medida que muchos de esos expertos se jubilan, la siguiente generación aún no ha reemplazado por completo ese conjunto de habilidades.

Esto genera un desafío serio. Una base de experiencia poco profunda incrementa el riesgo de cometer errores costosos, incluso cuando existen protecciones. La resiliencia de los mainframes no puede compensar totalmente el factor humano. Hasta que se formen y se asesore a nuevos ingenieros, los bancos enfrentarán vulnerabilidades no porque la tecnología en sí lo sea, sino porque se reduce el grupo de profesionales que saben usarla de forma segura.

La seguridad sigue siendo cosa de personas

Cuando surgen conversaciones sobre ciberseguridad, gran parte del enfoque se centra en herramientas y defensas. Sin embargo, una y otra vez, las debilidades reales provienen del comportamiento humano. En el mundo del mainframe, esto muchas veces se reduce a cómo se conceden, gestionan y revocan los permisos.

Los desarrolladores que no comprenden completamente las implicaciones de los permisos elevados pueden dejar puertas abiertas, no por malicia, sino por capacitación incompleta o por conveniencia. Las empresas que no actualizan el acceso cuando los empleados cambian de funciones pueden exponer datos sensibles innecesariamente. Incluso con tecnología sofisticada, lo básico de la higiene de seguridad sigue siendo esencial — y demasiado a menudo se pasa por alto.

Presentando a Jennifer Nelson

Para poner estos desafíos y oportunidades en contexto, recurrimos a Jennifer Nelson, directora ejecutiva de Izzi Software. Nelson ha construido su carrera en torno a los sistemas de mainframe, pasando 15 años en Rocket Software y cinco años en BMC antes de ampliar su perspectiva con funciones senior de ingeniería fuera del ecosistema IBM Z. En 2024 fundó Izzi Software, una empresa dedicada a adquirir y hacer crecer negocios construidos sobre las plataformas IBM Z e IBM Power.

Su punto de vista —abarca tanto la ingeniería tradicional de mainframe como el liderazgo moderno de software— la convierte en una voz poco común en la conversación de hoy sobre estrategia tecnológica en servicios financieros.

¡Disfruta la entrevista!

1. A medida que fintech avanza hacia todo lo cloud-native, has argumentado que el mainframe sigue siendo crítico para la estabilidad de la banca global. ¿Qué crees que la mayoría de los innovadores obtiene mal sobre el papel de los sistemas más antiguos hoy?

Lo primero que hacen mal es llamar al mainframe un sistema heredado; que como se lanzaron hace más de 60 años, de alguna manera son obsoletos. Eso es como llamar a la plataforma Windows un sistema heredado. No es realidad. Los mainframes son más relevantes hoy que cuando se inventaron por primera vez.

Todo el mundo quiere datos a la velocidad de la luz. Quieren que los datos les sean devueltos en cuanto presionan el botón, sin importar dónde estén esos datos. Y con razón, porque el consumidor final no sabría, y no debería tener que saber, las complejidades de su solicitud, como dónde se encuentran los datos. Pero solo los mainframes pueden ofrecerte el rendimiento y la seguridad en un entorno híbrido.

Los mainframes pueden ingerir datos dondequiera que estén, analizarlos y devolverte los resultados, con recomendaciones, mejor que cualquier otra plataforma y más rápido. Muéstrame otro sistema que pueda ingerir datos de toda una red global, analizarlos, detectar anomalías en tiempo real y devolvértelos directamente a quien llama.

El que conoce mejor sus datos gana porque los datos son tan valiosos como el efectivo en capital. Cuando los innovadores descartan los mainframes como sistemas heredados, están descartando su velocidad y su potencia, y la capacidad de procesar cantidades masivas de datos a la velocidad necesaria para la detección de riesgos en tiempo real.

La gente piensa que la nube cambió el juego y es moderna, y que los mainframes están desactualizados en comparación. El concepto de computación en la nube a través de una red es, efectivamente, moderno y ha cambiado el juego para muchos. Pero si conoces la tecnología de mainframe, los usuarios reconocerán que tiene muchas de las mismas características que la nube. Por ejemplo, cuando inicias sesión en el mainframe, estás iniciando sesión en TSO, que significa “time sharing option”. Tienes tu propia sesión TSO, o Microsoft Teams ‘instance’.

Todos están usando los mismos procesadores en el mainframe. Pero cuando no estás ejecutando un programa o un trabajo por lotes, la capacidad se asigna a quienes la necesitan. También estás iniciando sesión en un LPAR, o partición lógica, con almacenamiento dedicado, seguridad y privacidad. Los usuarios en un LPAR no pueden acceder a los datos en otro LPAR, a menos que se configure específicamente para hacerlo. Eso es lo que la nube tiene en su esencia; compartir recursos cuando no los estás usando y asegurar los datos dedicados a tu instancia. Pero el mainframe lleva usando estos conceptos desde hace años.

2. Infraestructura híbrida—mezclar mainframes con capas de nube más nuevas—se está convirtiendo en la norma. Según tu experiencia, ¿cuáles son los verdaderos factores de riesgo que se introducen cuando las organizaciones intentan modernizarse demasiado rápido o de forma superficial?

De los múltiples factores de riesgo, puedo reducirlos a dos.

El primer riesgo es el consumo de datos. Los datos en un mainframe son de los más seguros que existen. Cuando los sacas del mainframe o los haces visibles para que alguien los ingiera, existe el riesgo de privacidad de datos y regulación. ¿Quién los está mirando? ¿A dónde van cuando salen del mainframe?

El segundo riesgo está en optimizar las aplicaciones para ejecutarse en un entorno híbrido. Las aplicaciones optimizadas para el mainframe pueden terminar ejecutándose de manera subóptima en otro servidor. Los problemas de latencia y rendimiento podrían dañar la productividad.

3. Has dado la voz de alarma sobre una brecha de habilidades en la experiencia de mainframe. ¿Qué tan serio es el riesgo institucional cuando menos ingenieros saben operar y asegurar los sistemas de los que todavía dependen las instituciones financieras?

El riesgo es severo. Los desarrolladores más nuevos —no solo los más jóvenes, sino también aquellos nuevos en la industria— aprenderán y crecerán en su experiencia. Pero hasta que la siguiente generación alcance, habrá una exposición en las instituciones financieras durante algún tiempo en la que el conocimiento institucional no sea tan profundo como necesita ser.

Las personas con poca profundidad de experiencia o conocimiento pueden hacer cosas involuntariamente para causar riesgo a los datos o a un sistema operativo. Estos sistemas son resilientes y tienen varias capas de protección contra el error humano, pero todavía existe un margen considerable de riesgo hasta que las habilidades estén donde deben estar. Los bancos ya están luchando con esta brecha de habilidades hoy.

4. Las conversaciones sobre seguridad a menudo se enfocan en herramientas, pero has señalado que las personas siguen siendo la primera línea. ¿Qué puntos ciegos operativos has visto emerger con más frecuencia en la gestión de entornos de mainframe?

Gestionar los entornos relevantes normalmente se centra en los permisos elevados. Cuando un ingeniero de software escribe código, a veces necesita un permiso elevado para hacer algo específico en el sistema operativo, donde puede permitir que el programa realice algo más sensible. Si el ingeniero no entiende las mejores prácticas del desarrollador al escribir software, no sabrá cuándo entrar y cuándo salir de ese estado autorizado elevado. Ese estado trae más riesgo, por lo que los ingenieros no permanecerán en él el tiempo suficiente como para entender completamente las mejores prácticas al desarrollar para ese sistema.

También hay algunas prácticas fundamentales de seguridad que usar en cualquier red de TI. Cuando otorgas autorización especial a alguien en un cierto rol, necesitas un proceso claro para eliminar esa autorización cuando cambie de rol, para asegurar que elimines el acceso. Gran parte del tiempo no es un problema, si siguen siendo empleados de la empresa o si no son un actor malicioso. Pero siempre existe un riesgo cuando dejas demasiados datos sensibles disponibles para personas que ya no los necesitan.

Además, los conjuntos de datos a nivel de sistema de mainframe permiten a los usuarios hacer cosas fundamentales dentro de un sistema. Solo quieres que ciertos usuarios tengan acceso a esas funciones. Por ejemplo, ciertos controles de seguridad solo se pueden activar en niveles más profundos del sistema operativo. Te sorprendería con qué frecuencia las empresas dejan sin revisar principios básicos de seguridad. Hay formas para que los ingenieros hagan su trabajo sin tener acceso a esos recursos de nivel raíz, pero es más fácil trabajar con ese nivel de acceso, así que las empresas dejan la puerta trasera abierta más de lo que deberían.

La mayoría de los empleados puede ser confiada, pero estos son principios fundamentales que algunas instituciones financieras dejan abiertos y olvidan.

5. Los ataques de ransomware están apuntando no solo a los endpoints, sino a la infraestructura central. ¿Qué hace que los sistemas heredados sean, de manera única—y, en algunos casos, más resilientes—que las plataformas más nuevas?

Los mainframes tienen capas integradas de seguridad que la mayoría de los servidores simplemente no tienen. Solo porque puedes iniciar sesión en el mainframe no significa que ahora tengas acceso a datos críticos del negocio, que es lo que el ransomware normalmente bloquea. Luego tienes que saber dónde están los datos y cómo acceder a esos datos. Y después, los datos podrían estar compartimentados, de modo que un atacante solo tenga acceso a un segmento de los datos y no a todo lo que necesita para un ataque exitoso de ransomware. Y si no tienes acceso al dispositivo de almacenamiento, no puedes ver los datos en ese dispositivo.

6. Según tu experiencia, ¿cómo se ve realmente una modernización efectiva para las instituciones financieras que no pueden permitirse “desmontar y reemplazar” pero necesitan prepararse para el futuro?

La modernización significa cosas diferentes en distintas empresas, dependiendo de en qué punto estén con las aplicaciones que ejecutan. Tanto si son B2B o B2C, las empresas se modernizan continuamente, actualizando servidores y laptops.

Lo mismo sucede con aplicaciones críticas para el negocio. Una empresa podría actualizar periódicamente esas aplicaciones, pero como las aplicaciones tradicionales de mainframe se desarrollaron hace generaciones, lo mejor que pueden hacer las empresas es evaluar completamente qué hace cada aplicación de extremo a extremo. Así pueden ir modernizando por fases en partes manejables.

Las empresas pueden compartimentar una aplicación, rompiéndola en partes para que las diferentes funciones y características se actualicen y reescriban lentamente con el tiempo, según sea asequible. Si ves la modernización como un proceso continuo, la urgencia de mejorar e iterar se vuelve constante.

Los líderes siempre deben tener una mentalidad proactiva. Las preguntas deberían ser: “¿Qué podemos hacer ahora? ¿Qué podemos contener este año? ¿Qué podemos contener en los próximos dos años?” Ese es un enfoque mejor que “¿Cómo reescribimos todo esto?”

Tienes que iterar sobre los sistemas y desarrollarlos con el tiempo. Empieza reescribiendo una función de una aplicación crítica para el negocio y luego construye sobre eso agregando el resto de las funciones conforme puedas. Introduce cambios de a poco.

Rip-and-replace es una opción. Suena agresivo y brutal, pero en realidad solo significa dejar de usar un sistema para usar otro. Pero el liderazgo necesita tener el estómago para un cambio grande de una sola vez y tiene que aprobar el presupuesto. La verdad es que es más “reemplazar”, porque puede tardar años en completar el procedimiento.

7. Para líderes tecnológicos que vienen de una mentalidad cloud-first, ¿qué dirías que es el cambio de pensamiento más importante al interactuar con sistemas de mainframe críticos para la misión?

Aprende qué está haciendo realmente el mainframe. La Juramento Hipocrático dice que primero no hagas daño, así que aprende de qué es responsable el mainframe para evitar cometer errores perjudiciales. Una vez que quienes tienen mentalidad cloud-first entienden la totalidad de qué transacciones llegan al mainframe, la naturaleza de esas transacciones y cuánto depende de esas transacciones el ingreso de su empresa, entenderán y sabrán cómo evitar dañar el rendimiento y la rentabilidad de su empresa.

Acerca de Jennifer Nelson

Jennifer Nelson ha pasado la mayor parte de su carrera en el ámbito del mainframe, incluyendo 15 años en Rocket Software y cinco años en BMC. En 2019, pasó a funciones senior de ingeniería en firmas tecnológicas globales fuera del ecosistema Z Systems, ampliando su perspectiva y su conjunto de habilidades. A principios de 2024, Nelson comenzó a sentar las bases de lo que se convertiría en Izzi Software, una empresa enfocada en adquirir y hacer crecer negocios de software construidos sobre las plataformas IBM Z e IBM Power.