OSFI B-13 es una directriz emitida por la Oficina del Superintendente de Instituciones Financieras (OSFI) de Canadá que describe los requisitos de gestión de riesgos para desarrollar una mayor resistencia a los riesgos tecnológicos y cibernéticos, incluidos los planteados por terceros. Similar a la directriz B-10, que aborda la subcontratación, la directriz B-13 se aplica a todas las instituciones financieras reguladas a nivel federal (FRFI), incluidas las sucursales de bancos extranjeros y las sucursales de compañías de seguros extranjeras que operan en Canadá.
Publicada inicialmente en julio de 2022, la directriz B-13 está organizada en tres ámbitos, cada uno con un resultado deseado que contribuye a la resiliencia frente a los riesgos tecnológicos y cibernéticos. Los resultados se apoyan en 17 Principios, que a su vez se apoyan en directrices individuales.
OSFI B-13 y Gestión de Riesgos de Terceros
En cuanto a la gestión del riesgo de terceros, la directriz B-13 subraya la necesidad de que las instituciones financieras apliquen estrategias integrales para gestionar los riesgos asociados a la externalización y las relaciones con terceros. En el cuadro siguiente se resumen las directrices específicas para la gestión del riesgo de terceros de la directriz B-13 y se ofrecen recomendaciones de buenas prácticas para cumplir los requisitos.
NOTA: Esta tabla resume únicamente los requisitos específicos de riesgo de terceros. Para obtener una lista completa de todos los requisitos y principios, consulte las directrices completas de la OSFI.
| Principios | Buenas prácticas en materia de gestión de las relaciones con los clientes |
|---|---|
| Dominio: Gobernanza y gestión de riesgos
Este dominio establece las expectativas de OSFI para la responsabilidad formal, el liderazgo, la estructura organizativa y el marco utilizado para apoyar la gestión de riesgos y la supervisión de la tecnología y la seguridad cibernética. Resultados: Los riesgos tecnológicos y cibernéticos se gestionan mediante estructuras y responsabilidades claras, y estrategias y marcos integrales. |
|
| Principio 1: La alta dirección deberá asignar la responsabilidad de la gestión de los riesgos tecnológicos y cibernéticos a los altos cargos. También deberá garantizar la existencia de una estructura organizativa adecuada y de recursos suficientes para gestionar los riesgos tecnológicos y cibernéticos en todo el FRFI.
Principio 2: Las IFRA deberán definir, documentar, aprobar y aplicar uno o varios planes estratégicos tecnológicos y cibernéticos. El plan o los planes deberán ajustarse a la estrategia empresarial y establecer metas y objetivos mensurables que evolucionen con los cambios en el entorno tecnológico y cibernético de la IFRC. |
Buscar expertos para colaborar con su equipo en la definición e implantación de procesos y soluciones de GTRC en el contexto de su enfoque global de gestión de riesgos; en la selección de cuestionarios y marcos de evaluación de riesgos; y en la optimización de su programa para abordar todo el ciclo de vida del riesgo de terceros, desde la contratación y la diligencia debida hasta la rescisión y la baja.
Como parte de este proceso, debe definir: * Funciones y responsabilidades claras (por ejemplo, RACI). |
| Principio 3: Las FRFI deberán establecer un marco de gestión de riesgos tecnológicos y cibernéticos (RMF). El marco debe establecer una propensión al riesgo tecnológico y cibernético y definir los procesos y requisitos de las FRFI para identificar, evaluar, gestionar, vigilar e informar sobre los riesgos tecnológicos y cibernéticos. | Busque una solución de gestión de riesgos que cuente con una amplia biblioteca de evaluaciones de riesgos específicas para cada marco, como ISO, NIST u otras. Aproveche las evaluaciones de riesgos específicas del marco predefinidas para simplificar la asignación de controles y la elaboración de informes. Un marco elegido debe alinearse con los requisitos de gestión de riesgos a nivel empresarial. |
| Dominio: Operaciones tecnológicas y resistencia
Este dominio establece las expectativas de OSFI para la "gestión y supervisión de los riesgos relacionados con el diseño, implementación, gestión y recuperación de activos y servicios tecnológicos". Resultados: Un entorno tecnológico estable, escalable y resistente. El entorno se mantiene actualizado y se apoya en procesos operativos y de recuperación tecnológicos sólidos y sostenibles. |
|
| Principio 7: Los FRFI deberán implantar un marco de ciclo de vida de desarrollo de sistemas (SDLC) para el desarrollo, la adquisición y el mantenimiento seguros de sistemas tecnológicos que funcionen como se espera en apoyo de los objetivos empresariales. | Como parte del proceso de diligencia debida, exija a los proveedores que proporcionen listas de materiales de software (SBOM ) actualizadas para sus productos de software. Esto le ayudará a identificar cualquier vulnerabilidad potencial o problemas de licencia que puedan afectar a la seguridad de su organización y al cumplimiento de la normativa. |
| Principio 10: Los FRFI deberán detectar, registrar, gestionar, resolver, supervisar y notificar eficazmente los incidentes tecnológicos y minimizar sus repercusiones. | Seguimiento y análisis continuos amenazas externas a terceros. Como parte de esto, vigile Internet y la web oscura en busca de ciberamenazas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.
Las fuentes de monitorización deben incluir: Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, agilizando las iniciativas de revisión de riesgos, elaboración de informes, corrección y respuesta. Una vez que todos los datos de evaluación y supervisión estén correlacionados en un registro central de riesgos, aplique una puntuación y una priorización de los riesgos según un modelo de probabilidad e impacto. Este modelo debe enmarcar los riesgos en una matriz, de modo que pueda ver fácilmente los riesgos de mayor impacto y priorizar los esfuerzos de corrección en ellos. Asignar propietarios y realizar un seguimiento de los riesgos y las soluciones hasta un nivel aceptable para la empresa. |
| Principio 11: Las IFRC deberán desarrollar normas y procesos de servicio y capacidad para supervisar la gestión operativa de la tecnología, garantizando que se satisfacen las necesidades empresariales. | Evalúe continuamente la eficacia de su programa TPRM en función de las necesidades y prioridades empresariales cambiantes, midiendo los indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI ) de los proveedores externos a lo largo del ciclo de vida de la relación. |
| Dominio: Ciberseguridad
Este dominio establece las expectativas de OSFI para la "gestión y supervisión del riesgo cibernético". Resultado: Una postura tecnológica segura que mantenga la confidencialidad, integridad y disponibilidad de los activos tecnológicos del FRFI. |
|
| Principio 14: Las FRFI deberán mantener una serie de prácticas, capacidades, procesos y herramientas para identificar y evaluar la ciberseguridad en busca de puntos débiles que puedan ser explotados por agentes externos y amenazas internas. | Busque soluciones que ofrezcan una amplia biblioteca de plantillas predefinidas para las evaluaciones de riesgos de terceros. Las evaluaciones deben realizarse en el momento de la incorporación del proveedor, la renovación del contrato o con la frecuencia que se requiera (por ejemplo, trimestral o anualmente) en función de los cambios materiales que se produzcan en la relación. Las evaluaciones deben gestionarse de forma centralizada y estar respaldadas por flujos de trabajo, gestión de tareas y capacidades automatizadas de revisión de pruebas para garantizar que su equipo tiene visibilidad de los riesgos de terceros a lo largo del ciclo de vida de la relación.Es importante destacar que una solución TPRM debe incluir recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que sus terceros abordan los riesgos de manera oportuna y satisfactoria y pueden proporcionar las pruebas adecuadas a los auditores.Como parte de este proceso, realice un seguimiento y análisis continuos de las amenazas externas a terceros. Todos los datos de seguimiento deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, lo que agilizará las iniciativas de revisión de riesgos, elaboración de informes, corrección y respuesta.Los requisitos de la directriz B-13 forman parte de un marco más amplio destinado a garantizar que las instituciones financieras gestionen la tecnología y el ciberriesgo de forma eficaz, especialmente en un panorama en el que cada vez se utilizan más los servicios de terceros. Inicie su camino hacia el cumplimiento con estas prácticas: |
| Principio 17: Las FRFI deberán responder, contener, recuperar y aprender de los incidentes de ciberseguridad que afecten a sus activos tecnológicos, incluidos los incidentes originados en terceros proveedores. | Como parte de su estrategia de gestión de incidentes asegúrese de que su programa de respuesta a incidentes de terceros permite a su equipo identificar rápidamente, responder, informar y mitigar el impacto de incidentes de seguridad con proveedores externos.
Entre las capacidades clave de un servicio de respuesta a incidentes de terceros se incluyen: Asimismo, considere la posibilidad de aprovechar las bases de datos que contienen varios años de historial de filtraciones de datos de miles de empresas de todo el mundo, incluidos los tipos y cantidades de datos robados, cuestiones de cumplimiento y normativas, y notificaciones de filtraciones de datos de proveedores en tiempo real. Con esta información, su equipo puede comprender mejor el alcance y el impacto del incidente, qué datos se han visto afectados, si las operaciones de terceros se han visto afectadas y cuándo se han completado las medidas correctoras, todo ello gracias a la ayuda de expertos. Diligencia debida: Lleve a cabo una diligencia debida previa al contrato antes de entablar relaciones con terceros. Esto incluye evaluar la estabilidad financiera del tercero, su reputación y la idoneidad de sus medidas de ciberseguridad. |
- Contratos con terceros: Incluya cláusulas específicas en los contratos con terceros que aborden los riesgos tecnológicos y cibernéticos. Esto incluye cláusulas relacionadas con la protección de datos, el derecho de auditoría, el cumplimiento de los indicadores clave de rendimiento y los umbrales clave de riesgo, y los requisitos de respuesta ante incidentes.
- Evaluaciones de riesgos: Realizar evaluaciones de riesgos periódicas
para comprender los riesgos potenciales que pueden plantear terceros, principalmente relacionados con la tecnología y la ciberseguridad. Esto debe incluir la evaluación de cómo los terceros manejan los datos y el impacto potencial de las interrupciones o violaciones de datos. - Supervisión e informes: Supervisar continuamente los riesgos cibernéticos, el rendimiento de terceros y el cumplimiento de los acuerdos contractuales. Deben contar con procesos para informar y abordar rápidamente cualquier problema o incumplimiento.
- Gestión y respuesta a incidentes: Asegúrese de que los terceros disponen de planes adecuados de gestión y respuesta a incidentes. Esto incluye canales de comunicación claros y protocolos para responder a incidentes cibernéticos.
- Continuidad de negocio y planes de contingencia:
Asegúrese de que los terceros tienen planes sólidos de continuidad de negocio que se alineen con los planes de contingencia de la institución. Esto ayuda a garantizar la continuidad de los servicios críticos en caso de interrupciones. - Estrategias de terminación y salida: Establezca estrategias y procedimientos claros para poner fin a las relaciones con terceros y garantizar una transición fluida sin comprometer la seguridad ni la continuidad del servicio.
Próximos pasos para el cumplimiento de OSFI B-13
La directriz B-13 de la OSFI proporciona un marco completo para garantizar la resistencia frente a los riesgos tecnológicos y cibernéticos, incluidos los que plantean terceros. Si su organización está examinando sus prácticas de resiliencia empresarial, descargue nuestra lista de comprobación de cumplimiento OSFI B-13o póngase en contacto con Prevalent para solicitar una demostración.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
