En respuesta al creciente número de ciberataques que ponen a prueba la resistencia del sistema financiero europeo, el Parlamento de la Unión Europea (UE) aprobó en 2022 una legislación para reforzar la seguridad informática de entidades financieras como bancos, aseguradoras y empresas de inversión. La Ley de Resiliencia Operativa Digital (DORA, por sus siglas en inglés ) está diseñada para garantizar que el sector financiero europeo sea capaz de mantener la resiliencia durante interrupciones operativas graves.
La DORA crea un marco normativo para la resistencia operativa digital en el sector financiero, en virtud del cual todas las empresas deben confirmar que pueden resistir, responder y recuperarse de una amplia gama de perturbaciones de las TIC y ciberamenazas. La Ley establece requisitos uniformes para la seguridad de las redes y los sistemas de información. En el capítulo V establece requisitos para terceros críticos que prestan servicios de tecnologías de la información y la comunicación (TIC), como plataformas en la nube o servicios de análisis de datos, al sector de los servicios financieros.
Este artículo examina los artículos clave del DORA relacionados con terceros e identifica las mejores prácticas que pueden utilizarse para cumplir los requisitos del Capítulo V del DORA.
DORA Capítulo V: Gestión del riesgo de las TIC frente a terceros
El Capítulo V del DORA examina los controles y procesos requeridos en la Sección I y los mecanismos de supervisión de un régimen regulador en la Sección II.
Sección I: Principios clave para una buena gestión del riesgo de las TIC frente a terceros
La Sección I: Principios clave para una gestión adecuada del riesgo de terceros en el ámbito de las TIC tiene por objeto garantizar que las entidades financieras gestionen y mitiguen adecuadamente los riesgos derivados de su utilización de servicios de TIC prestados por terceros. A continuación se incluye un resumen de estos requisitos.
Marco de gestión de riesgos
Las entidades financieras están obligadas a evaluar los riesgos relacionados con terceros proveedores de TIC. Esto incluye la evaluación de los riesgos operativos potenciales, los riesgos de concentración y los riesgos sistémicos. Las organizaciones deben tener en cuenta la criticidad de los servicios prestados. Se espera que el grado de gestión y supervisión del riesgo sea proporcional a la criticidad y al impacto potencial del servicio TIC de terceros en la entidad financiera. Esto se conoce como el Principio de Proporcionalidad.
Diligencia debida
Las entidades financieras deben llevar a cabo una diligencia debida exhaustiva antes de celebrar contratos con terceros proveedores de servicios de TIC. Esta evaluación debe incluir la capacidad del proveedor para prestar servicios fiables, seguros y en consonancia con las expectativas reglamentarias. Tras la firma del contrato, se requiere una supervisión continua para garantizar que los proveedores terceros mantienen el nivel esperado de resistencia operativa, incluido su cumplimiento de las normas de seguridad.
Requisitos contractuales
Los contratos entre entidades financieras y terceros proveedores de servicios de TIC deben incluir disposiciones detalladas sobre la gestión de riesgos, que garanticen la responsabilidad del proveedor a la hora de mitigar los riesgos y proporcionar continuidad operativa. Los contratos también deben incluir cláusulas sobre los derechos de rescisión, que permitan a la entidad financiera salir de la relación si el tercero incumple los requisitos reglamentarios o de resistencia operativa. Las entidades financieras deben disponer de estrategias de salida documentadas y ensayadas para los servicios TIC críticos, que les permitan mantener la resistencia operativa si un proveedor de servicios clave deja de estar disponible.
Gestión del riesgo de concentración y de la dependencia
Las entidades financieras deben vigilar los riesgos de concentración relacionados con terceros proveedores de TIC, especialmente cuando sólo unos pocos proveedores dominan el mercado. Las entidades deben desarrollar planes de contingencia para hacer frente a las posibles perturbaciones causadas por dicha concentración. Para mitigar los riesgos de concentración, se anima a las entidades a diversificar sus proveedores de servicios de TIC siempre que sea posible.
Registro de riesgos de las TIC frente a terceros
Las entidades financieras deben mantener un registro de todos los proveedores y servicios de terceros de TIC, que incluya detalles sobre los contratos, la criticidad de los servicios y las evaluaciones de riesgo. Este registro debe actualizarse periódicamente y estar disponible para las revisiones reglamentarias.
Pruebas de resistencia
El DORA exige a las entidades financieras que comprueben la capacidad de resistencia operativa de sus terceros proveedores de TIC. Esto implica la realización de simulaciones o pruebas de estrés para evaluar la capacidad del tercero para hacer frente a una interrupción importante o a un ciberataque.
Subcontratación
Si un proveedor externo de TIC subcontrata partes del servicio, la entidad financiera debe asegurarse de que el subcontratista también está sujeto a las mismas normas de diligencia debida, supervisión y gestión de riesgos.
Escenarios de riesgo de terceros
Se anima a las entidades financieras a analizar diferentes escenarios de riesgo de terceros, como ciberataques o cortes de suministro a gran escala, y a desarrollar planes de recuperación y contingencia para tales eventos.
Sección II: Marco de supervisión de los proveedores de servicios de terceros de TIC críticas
La Sección II: Marco de Supervisión de los Proveedores de Servicios Críticos de TIC a Terceros establece normas y requisitos relativos a la supervisión y la vigilancia reglamentaria de los proveedores de servicios críticos de TIC a terceros (CTPP). Incluye el nombramiento de un Supervisor Principal para supervisar la gestión de riesgos y las prácticas de resiliencia del proveedor, la autoridad para llevar a cabo inspecciones y pruebas de resiliencia, y los requisitos para la notificación de incidentes y medidas correctoras.
El DORA introduce mecanismos de supervisión directa para terceros proveedores de TIC críticas, exigiéndoles el cumplimiento de normas adicionales de información y resistencia operativa. El objetivo es garantizar que estos proveedores de TIC críticas mantengan altos niveles de resistencia operativa y contribuyan a la estabilidad general del sistema financiero.
Cómo puede ayudar Prevalent a simplificar el cumplimiento de la gestión de riesgos de terceros DORA
El Capítulo V, Sección I, Artículos 28-30 de la Ley de Resiliencia Operativa Digital (DORA) establece varios requisitos destinados a garantizar que las entidades financieras gestionen y mitiguen adecuadamente los riesgos derivados de su uso de servicios de tecnologías de la información y la comunicación (TIC) prestados por terceros. Estas son las prácticas que los profesionales de la GTRC tendrían que aplicar para cumplir los requisitos de supervisión reglamentaria de la Sección II.
Sin embargo, es imposible evaluar adecuadamente, supervisar de forma continua y gestionar el cumplimiento de los requisitos de la DORA por parte de terceros utilizando métodos manuales de evaluación de riesgos basados en hojas de cálculo. Prevalent puede ayudar.
La plataforma de gestión de riesgos de terceros (TPRM) de Prevalent
es una solución centralizada y automatizada para evaluar, supervisar y gestionar el riesgo de los proveedores de servicios externos de forma conjunta con su programa más amplio de ciberseguridad y gestión de riesgos empresariales. Con Prevalent, su equipo puede:
- Centralice la distribución, el debate, la retención y la revisión de los contratos de proveedores de servicios externos para garantizar que se incluyen, acuerdan y aplican los requisitos clave con indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI). Prevalent Contract Essentials cuenta con un flujo de trabajo que mueve automáticamente a los proveedores contratados a la diligencia debida formal.
- Cree un inventario exhaustivo de todos los proveedores de servicios de terceros y de las dependencias y concentraciones de cuartos y enésimos como un único registro de la verdad de terceros para las partes interesadas de la empresa.
- Evaluar el riesgo inherente para elaborar perfiles, niveles y categorías de proveedores de servicios, y determinar el alcance y la frecuencia adecuados de las actividades de diligencia debida en curso.
- Automatice el proceso de evaluación y corrección de riesgos de resistencia en todas las fases del ciclo de vida de terceros mediante una amplia biblioteca de más de 750 plantillas de cuestionarios adaptadas a múltiples marcos de mejores prácticas y guías de corrección integradas.
- Rastrear y analizar continuamente las amenazas externas a terceros mediante la supervisión de Internet y la web oscura en busca de ciberamenazas y vulnerabilidades, e incorporar esos conocimientos para validar los controles de proveedores de servicios de terceros.
- Automatice la respuesta a incidentes de terceros con supervisión programática, evaluaciones y gestión de respuestas.
- Automatice las evaluaciones de los contratos y los procedimientos de incorporación para reducir el riesgo de exposición de su organización tras la firma del contrato.
Para obtener más información sobre cómo Prevalent puede simplificar el cumplimiento de la gestión de riesgos de terceros DORA, descargue nuestra completa lista de comprobación de gestión de riesgos de terceros DORA o solicite una demostración hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
