En respuesta a la constante amenaza de ciberataques dirigidos a las organizaciones de servicios financieros, la Autoridad Australiana de Regulación Prudencial (APRA) implementó la norma reguladora CPS 234 «
» (Resiliencia de la seguridad de la información)
en julio de 2019. La norma exige a todas las organizaciones de servicios financieros de Australia que «adopten medidas para ser resilientes frente a incidentes de seguridad de la información (incluidos los ciberataques) manteniendo una capacidad de seguridad de la información acorde con las vulnerabilidades y amenazas de seguridad de la información».
En concreto, la norma CPS 234 exige a las organizaciones:
- Definir claramente las funciones y responsabilidades relacionadas con la seguridad de la información del Consejo, la alta dirección, los órganos rectores y las personas.
- Mantener una capacidad de seguridad de la información que permita la resiliencia operativa y sea acorde con el alcance de las amenazas a sus activos de información.
- Implementar controles para proteger sus activos de información según su importancia y confidencialidad, y probar sistemáticamente la eficacia de dichos controles; y
- Notificar a la APRA los incidentes importantes relacionados con la seguridad de la información.
Uno de los objetivos clave de la norma es minimizar el impacto de los incidentes de seguridad de la información en la confidencialidad, integridad y disponibilidad de los activos y datos gestionados por terceros. En esta publicación se examinan las disposiciones clave de la norma APRA CPS 234 que regulan los requisitos de seguridad de la información de terceros y se identifican las mejores prácticas que se pueden utilizar para cumplir dichos requisitos.
Directrices de seguridad de la información APRA CPS 234 para la gestión de riesgos de terceros
La norma APRA se organiza en varias categorías de requisitos. Hemos identificado los más aplicables a la gestión de riesgos de terceros y las mejores prácticas que pueden ayudar a cumplir los requisitos.
Funciones y responsabilidades
Esta categoría incluye disposiciones que exigen a las empresas identificar quién es el responsable de la seguridad de la información en su organización y qué funciones desempeña. Fomenta la formación de equipos multifuncionales para proporcionar una supervisión adecuada y la gobernanza por parte del consejo de administración.
Para garantizar que la gestión de riesgos de terceros sea un componente clave de un programa global de seguridad de la información, cree un programa integral de gestión de riesgos de terceros (TPRM) en consonancia con sus programas más amplios de seguridad de la información y gobernanza, riesgo y cumplimiento, basándose en las mejores prácticas probadas y en una amplia experiencia en el mundo real. Como parte de este programa de gobernanza, sus equipos internos deben definir:
- Funciones y responsabilidades claras (por ejemplo, RACI)
- Inventarios de terceros
- Puntuación y umbrales de riesgo basados en la tolerancia al riesgo de su organización
- Metodologías de evaluación y supervisión basadas en la criticidad de terceros
- Cartografía de cuarta parte
- Fuentes de datos de supervisión continua (cibernética, empresarial, de reputación, financiera)
- Indicadores clave de resultados (KPI) e indicadores clave de riesgo (KRI)
- Políticas, normas, sistemas y procesos para proteger los datos
- Cumplimiento y presentación de informes contractuales sobre los niveles de servicio
- Requisitos de respuesta a incidentes
- Información sobre riesgos y partes interesadas internas
- Estrategias de mitigación y corrección de riesgos
Asegúrese de examinar todas las etapas del ciclo de vida de los terceros, desde la selección y la diligencia debida hasta la rescisión y la salida, para ajustar las expectativas al nivel de riesgo que está dispuesta a asumir su organización.
Capacidad de seguridad de la información
Esta categoría incluye requisitos para evaluar periódicamente la capacidad de seguridad de la información de terceros y supervisar continuamente las amenazas.
Para ayudar a automatizar lo que puede ser un proceso muy engorroso, considere lo siguiente:
- Aprovechamiento de múltiples tipos de evaluación de riesgos de terceros respaldados por funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas. Este nivel de flexibilidad ayudará a su equipo a abordar los riesgos más importantes para la organización.
- Supervisión de Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas. Esto ayuda a mantener una atención continua sobre los riesgos entre evaluaciones.
- Correlacionar los datos de supervisión con los resultados de la evaluación en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes y las iniciativas de respuesta.
- Crear una biblioteca de recomendaciones de remediación basadas en los resultados de la evaluación de riesgos para garantizar que los terceros aborden los riesgos de manera oportuna y satisfactoria.
Si dispone de recursos y experiencia limitados, puede externalizar la gestión del ciclo de vida del riesgo de terceros, desde la incorporación de proveedores y la recopilación de pruebas hasta la orientación sobre medidas correctivas y la presentación de informes sobre los acuerdos de nivel de servicio (SLA) de los contratos. Como resultado, reducirá el riesgo de los proveedores y simplificará el cumplimiento normativo sin sobrecargar al personal interno.
Marco normativo
La categoría «Marco normativo» exige a las empresas mantener una política de seguridad y garantizar que los equipos internos y los terceros la conozcan y la cumplan, así como que se evalúe periódicamente.
Dado que el cumplimiento normativo puede resultar complicado y llevar mucho tiempo, aproveche una metodología de evaluación que se ajuste a los principales marcos de gobernanza de la seguridad de la información, como la norma ISO. Con esta capacidad, podrá visualizar y abordar los requisitos de cumplimiento normativo en el marco más adecuado para su organización.
Activos de información Identificación y clasificación
Esta categoría CPS 234 exige a las entidades reguladas por la APRA que clasifiquen sus activos de información, incluidos los gestionados por partes relacionadas y terceros, según su importancia y sensibilidad.
Para poner en marcha este proceso, defina una metodología para realizar un seguimiento y cuantificar los riesgos inherentes. Los criterios utilizados para calcular el riesgo inherente para la clasificación de terceros deben incluir los siguientes atributos:
- Tipo de contenido necesario para validar los controles
- Importancia crítica para el rendimiento y las operaciones de la empresa
- Ubicación(es) y consideraciones legales o reglamentarias relacionadas
- Nivel de dependencia de cuartas partes (para evitar el riesgo de concentración)
- Experiencia en procesos operativos o de cara al cliente
- Interacción con datos protegidos
- Situación económica y salud
- Reputación
A partir de esta evaluación del riesgo inherente, su equipo puede clasificar automáticamente a los proveedores por niveles, establecer niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones en curso.
Implementación de controles y comprobación de la eficacia de los controles
Estas categorías exigen que las empresas dispongan de controles de seguridad de la información para proteger los activos de información, incluidos los gestionados por partes relacionadas y terceros; que sean proporcionales a los riesgos aplicables a la empresa; que su diseño se someta a pruebas periódicas; y que las deficiencias que no puedan subsanarse oportunamente se comuniquen al consejo de administración o a la alta dirección.
Comience por revisar las respuestas y la documentación de las evaluaciones de terceros en comparación con los protocolos de prueba establecidos para validar que se hayan implementado los controles indicados. A continuación, asigne las respuestas a marcos comunes como SIG, ISO o SOC 2 para simplificar su evaluación y realizar un seguimiento de las correcciones hasta su finalización.
Gestión de incidentes
Esta categoría exige que las entidades reguladas por la APRA cuenten con políticas y procedimientos para detectar y responder a los incidentes de seguridad de la información de manera oportuna, incluyendo la escalada, la notificación y la revisión periódica de las políticas.
Contar con un proceso de gestión de incidentes probado y contrastado es esencial para acelerar la detección y mitigación de incidentes. Los pasos clave incluyen la gestión centralizada de los proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados, la correlación con la supervisión cibernética continua y el acceso a directrices de corrección.
Auditoría interna
Esta categoría APRA CPS 234 establece que las actividades de auditoría interna deben incluir una revisión del diseño y la eficacia operativa de los controles de seguridad de la información, incluidos los mantenidos por partes relacionadas y terceros (garantía del control de la seguridad de la información); y que la garantía del control de la seguridad de la información debe ser proporcionada por personal debidamente cualificado para ello.
Estandarice las evaluaciones de seguridad de la información según SOC 2, Cyber Essentials, ISO u otros marcos de control de seguridad de la información. Este enfoque proporciona a los equipos de auditoría interna y seguridad de TI una metodología centralizada para medir y demostrar el cumplimiento de los controles internos de TI. Estas mismas evaluaciones también se utilizan para evaluar los controles de seguridad de la información de terceros, lo que ofrece una visión consolidada y completa de la seguridad de la información.
Notificación APRA
La última categoría de la norma APRA 234 exige a las entidades reguladas por la APRA que notifiquen a la APRA en un plazo de 72 horas tras tener conocimiento de un incidente grave de seguridad de la información, y en un plazo de 10 días hábiles tras tener conocimiento de una deficiencia grave en el control de la seguridad de la información que no pueda subsanarse de manera oportuna.
Para cumplir este requisito es fundamental elaborar informes eficaces. El análisis de aprendizaje automático (ML) ayuda a revelar tendencias de riesgo, el estado de riesgo de terceros y excepciones al comportamiento habitual que podrían pasar desapercibidas en informes sencillos basados en hojas de cálculo. Este nivel de análisis le ayuda a visualizar y abordar los requisitos de cumplimiento mediante la asignación automática de los resultados de la evaluación a marcos normativos y sectoriales, y a elaborar informes específicos para cada normativa en una fracción del tiempo que normalmente se dedica a los procesos manuales de evaluación de riesgos basados en hojas de cálculo.
Cómo Prevalent ayuda a cumplir las directrices de seguridad de la información APRA CPS 234 para la gestión de riesgos de terceros
Prevalent puede ayudar a su organización de servicios financieros a añadir gobernanza y supervisión a sus relaciones con terceros mediante:
- Creación de un programa de gestión de riesgos de terceros completo, ágil y maduro basado en las mejores prácticas probadas del sector de los servicios financieros.
- Automatizar la identificación y evaluación de terceros en función de su importancia para la organización.
- Evaluación y supervisión continua de los riesgos relacionados con la ciberseguridad, el negocio, las finanzas y la reputación.
- Medir en función de los indicadores clave de riesgo (KRI) y ofrecer recomendaciones de corrección para reducir el riesgo residual de terceros.
- Automatizar los procesos de validación de controles para garantizar que los controles clave estén implementados y funcionen según lo previsto.
- Reducción de los plazos de respuesta ante incidentes y mitigación de riesgos mediante la automatización y la supervisión continua.
- Incluye plantillas para simplificar los informes de auditoría del marco normativo y de seguridad a múltiples partes interesadas internas y externas.
Para obtener más información sobre cómo Prevalent puede ayudar a cumplir los requisitos de gestión de riesgos de terceros de esta norma, descargue la lista de verificación completa de cumplimiento de APRA CPS 234 o solicite una demostración hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
