Nota del editor: En la edición de esta semana de nuestra serie de blogs, Gestión de riesgos de terceros: cómo mantenerse fuera del radar regulatorio, analizamos el Manual de inspección de TI de la FFIEC como mecanismo para prepararse para una auditoría relacionada con terceros. Asegúrese de revisar todos los blogs de esta serie y descargue el libro blanco para obtener un análisis completo de los requisitos.
El Consejo Federal de Inspección de Instituciones Financieras (FFIEC) es un organismo interinstitucional oficial de los Estados Unidos facultado para establecer directrices y principios y normas uniformes para la inspección federal de las instituciones financieras por parte de cinco organismos miembros, entre los que se incluyen:
- Junta de Gobernadores del Sistema de la Reserva Federal (FRB)
- Corporación Federal de Seguros de Depósitos (FDIC)
- Administración Nacional de Cooperativas de Crédito (NCUA)
- Oficina del Contralor de la Moneda (OCC)
- Oficina para la Protección Financiera del Consumidor (CFPB)
La FFIEC ha creado una serie de manuales o folletos para que los inspectores los usen al revisar las prácticas de TI de una institución y, como tal, ofrecen pautas para esas prácticas. Para muchas instituciones, es interesante la orientación que brindan sobre cómo manejar el riesgo asociado con los proveedores externos. El folleto sobre continuidad del negocio incluye el apéndice J, que aborda la necesidad de reforzar la resiliencia de los servicios tecnológicos externalizados. El folleto sobre seguridad de la información incluye una sección específica sobre la supervisión de los proveedores de servicios externos.
Estos folletos de TI requieren una gestión y un seguimiento rigurosos de la planificación de la continuidad del negocio (BCP) y los riesgos de seguridad de TI de los proveedores externos. Especifican que debe existir una política de gestión de riesgos, que debe aplicarse la debida diligencia en la selección de terceros y que dicha política debe codificarse en los acuerdos con los proveedores. Además, los proveedores deben gestionarse y auditarse de acuerdo con los requisitos acordados.
Cumplimiento de las directrices de la FFIEC para terceros mediante el uso de la plataforma Prevalent
Prevalent puede ayudar a cumplir los requisitos de terceros recomendados tanto en el apéndice J del folleto sobre continuidad del negocio como en la sección «Supervisión de proveedores de servicios externos» del folleto sobre seguridad de la información.
Para abordar las recomendaciones de la FFIEC, Prevalent:
- Permite realizar evaluaciones basadas en controles internos (basadas en marcos estándar del sector o cuestionarios personalizados) para ajustar los requisitos al nivel de riesgo que presenta la relación, de acuerdo con las recomendaciones del folleto del BCP, Apéndice J, con el fin de establecer una relación bien definida con los proveedores de servicios tecnológicos (TSP) para garantizar la resiliencia empresarial.
- Centra las preguntas en la planificación de la continuidad del negocio, incluyendo el análisis de impacto, la evaluación del riesgo operativo y la gestión de la recuperación del negocio, según las recomendaciones de la sección «Diligencia debida» del folleto sobre la planificación de la continuidad del negocio, apéndice J. Prevalent examina el riesgo que plantean tanto los proveedores de servicios tecnológicos como sus subcontratistas.
- Proporciona informes para satisfacer los requisitos de auditoría y cumplimiento, así como para presentar las conclusiones a la junta directiva y a la alta dirección con el fin de respaldar las recomendaciones de la sección «Contratos» del folleto del BCP, apéndice J.
- Proporciona una solución completa para realizar evaluaciones, incluyendo cuestionarios; un entorno para incluir y gestionar pruebas documentadas en respuesta; flujos de trabajo para gestionar la revisión y abordar los resultados; y informes sólidos para proporcionar a cada nivel de gestión la información que necesita para revisar adecuadamente el rendimiento de terceros y abordar la sección de supervisión continua del folleto del BCP, apéndice J.
- Proporciona supervisión instantánea y continua de los proveedores para la notificación inmediata de problemas de alto riesgo, la priorización y las recomendaciones de corrección para abordar la sección sobre resiliencia cibernética del folleto del BCP, Apéndice J.
- Automatiza la recopilación y el análisis de encuestas a proveedores mediante cuestionarios estándar del sector y personalizados, flujos de trabajo bidireccionales y sólidas funciones de generación de informes y auditoría completa para verificar que los proveedores de servicios externos implementan y mantienen controles suficientes para mitigar adecuadamente los riesgos , de acuerdo con el Folleto de seguridad de la información, II.C.20 Supervisión de proveedores de servicios externos.
Próximos pasos
Aunque no lo exige la ley, la FFIEC ofrece una orientación sólida a las organizaciones financieras que se enfrentan a una auditoría de gestión de riesgos de terceros . Prevalent ayuda a las organizaciones a abordar estas recomendaciones del Manual de TI de la FFIEC con un marco para identificar, medir, supervisar y mitigar los riesgos asociados a la externalización. Póngase en contacto con nosotros hoy mismo para solicitar una demostración y ver cómo funciona.
Nuestra serie continúa...
El blog de la próxima semana analiza las normas ISO para la seguridad de la información.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
