Nota del editor: En la edición de esta semana de nuestra serie de blogs, Gestión de riesgos de terceros: Cómo mantenerse fuera del radar regulador, echamos un vistazo a la guía FG 16/5 de la Autoridad de Conducta Financiera (FCA) para empresas que subcontratan en la nube u otros servicios de TI de terceros. No olvide consultar todos los blogs de esta serie y descargar el libro blanco para un examen completo de los requisitos.
La Autoridad de Conducta Financiera (FCA) es un organismo regulador del Reino Unido que opera con independencia del Gobierno británico y regula las empresas financieras que prestan servicios a los consumidores y mantiene la integridad de los mercados financieros en el Reino Unido.
En julio de 2018, la FCA publicó su guía finalizada, FG 16/5 Guidance for firms outsourcing to the 'cloud' and other third-party IT services, para ayudar a las empresas financieras a supervisar eficazmente todos los aspectos del ciclo de vida de los acuerdos de externalización. Esto incluye:
- Tomar la decisión de externalizar y seleccionar un proveedor de servicios
- Realización de evaluaciones de riesgos adecuadas para todos los acuerdos de externalización.
- Supervisión continua de las actividades subcontratadas e identificación y gestión de los riesgos.
La Guía 16/5 de la FCA añadió controles específicos de la nube en consonancia con los requisitos generales de externalización de la FCA que se encuentran en las secciones de sistemas y controles (SYSC) del manual de la FCA para empresas debidamente reguladas, y también exige coherencia con el GDPR. Aunque esta guía no es vinculante y pretende ilustrar las formas en que las empresas pueden cumplir con las normas pertinentes, las empresas deben considerar esta guía en el contexto de sus obligaciones generales en virtud del sistema regulatorio. El cumplimiento de estas orientaciones indicará en general el cumplimiento de los requisitos reglamentarios de externalización de la FCA.
Cumplimiento de los requisitos de la FCA en materia de servicios informáticos en la nube y de terceros
La Guía FG 16/5 de la FCA ayuda a las empresas a supervisar eficazmente todos los aspectos del ciclo de vida de los acuerdos de externalización. Para los fines de este blog, hemos resumido algunos requisitos de la FCA e identificado las capacidades de la Plataforma de Gestión de Riesgos de Terceros de Prevalent que demuestran la amplitud y el valor que puede obtener de nuestra completa plataforma TPRM. Para obtener una lista completa de los requisitos de la FCA y cómo las capacidades de Prevalent se relacionan directamente con ellos, asegúrese de descargar el libro blanco, The Third-Party Risk Management Compliance Handbook.
Según la FG 16/5 de la FCA, la externalización efectiva de servicios informáticos de terceros incluye:
- Identificar y gestionar adecuadamente los riesgos operativos asociados al uso de terceros, incluida la realización de la diligencia debida antes de decidir sobre la externalización.
- Realización y documentación de una evaluación de riesgos para identificar los riesgos pertinentes y determinar las medidas para mitigarlos.
- Garantizar que el personal dispone de competencias y recursos suficientes para supervisar y probar las actividades externalizadas; identificar, controlar y mitigar los riesgos.
- Realizar una evaluación de riesgos de seguridad que incluya al proveedor de servicios y los activos tecnológicos administrados por la empresa.
Prevalent ayuda a evaluar y supervisar a terceros según las directrices de la FCA
La FCA considera que el uso adecuado de la externalización a la nube y otros servicios informáticos de terceros es una forma de que las empresas aumenten la flexibilidad y permitan la innovación. Por otra parte, la FCA reconoce que la externalización a la nube también puede introducir riesgos que deben identificarse, supervisarse y mitigarse adecuadamente. Esto se consigue mediante una evaluación adecuada de los riesgos.
El Prevalent Assessment Service automatiza el ciclo de vida de la gestión de riesgos de proveedores -incluida la recopilación, el análisis y la corrección de riesgos de terceros- y ofrece a los profesionales de la seguridad, la privacidad y la gestión de riesgos una solución única para gestionar el proceso de evaluación de riesgos de los proveedores de servicios informáticos y determinar el cumplimiento de los requisitos de seguridad informática, normativos y de privacidad de datos. Con flujos de trabajo de corrección bidireccionales, informes en tiempo real y un panel de control fácil de usar para una mayor eficacia, la solución garantiza que los riesgos se identifiquen y se remitan a los canales adecuados.
La solución Cyber & Business Monitoring de Prevalent ofrece a las empresas la posibilidad de obtener información sobre las posibles vulnerabilidades cibernéticas de un proveedor de servicios o los riesgos empresariales relevantes antes de firmar un contrato o durante un acuerdo empresarial definido. La solución combina el escaneado nativo de vulnerabilidades con múltiples fuentes externas de inteligencia sobre ciberamenazas para ofrecer una visión profunda de los ciberriesgos de los proveedores de servicios. Además, Prevalent es único en el sentido de que ofrece una supervisión de los riesgos empresariales que aprovecha a los analistas humanos para interpretar los posibles riesgos operativos, de marca, normativos, legales y financieros.
Estas funciones están centralizadas en la plataforma de gestión de riesgos de terceros de Prevalent, que incluye informes eficaces para satisfacer los requisitos de auditoría y cumplimiento, así como para presentar las conclusiones al consejo de administración y a la alta dirección. El perfil de riesgo completo puede visualizarse en la consola centralizada de informes en tiempo real, y los informes pueden descargarse y exportarse para determinar el estado de cumplimiento. Los informes detallados incluyen filtros y gráficos interactivos. La solución incluye un repositorio completo de toda la documentación recopilada y revisada durante el proceso de diligencia.
La plataforma de Gestión de Riesgos de Terceros de Prevalent proporciona un marco completo para implementar la gestión de políticas, la auditoría y la elaboración de informes, tal y como se exige en la Guía FG 16/5 de la FCA.
Póngase en contacto con nosotros hoy mismo para solicitar una demostración.
Nuestra serie continúa...
El blog de la próxima semana examina las consideraciones de gestión de riesgos de terceros inherentes al Reglamento General de Protección de Datos (RGPD).
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
