APRA CPS 234 Cumplimiento de la seguridad de la información

Contactar con un experto

Volver a todos los casos de uso

Evaluar a terceros para garantizar la resiliencia empresarial

La Autoridad Australiana de Regulación Prudencial (APRA)implementó la norma regulatoriaCPS 234en julio de 2019 en respuesta a la constante amenaza de ciberataques dirigidos a las organizaciones de servicios financieros.

La norma CPS 234 exige a todas las organizaciones de servicios financieros de Australia que «adopten medidas para ser resilientes frente a incidentes de seguridad de la información (incluidos los ciberataques) manteniendo una capacidad de seguridad de la información acorde con las vulnerabilidades y amenazas a la seguridad de la información».

Uno de los objetivos clave de la norma es minimizar el impacto de los incidentes de seguridad de la información en la confidencialidad, integridad y disponibilidad de los activos y datos gestionados por terceros. LaplataformaPrevalentThird-Party Risk Managementayuda a las organizaciones a crear y gestionar sus programas de TPRM de acuerdo con los requisitos de la APRA.

Requisitos pertinentes

  • Definir las funciones y responsabilidades relacionadas con la seguridad de la información que corresponden al consejo de administración, la alta dirección, los órganos rectores y las personas físicas.
  • Implementar controles para proteger sus activos de información según su importancia y confidencialidad, y comprobar sistemáticamente la eficacia de dichos controles.
  • Mantener una capacidad de seguridad de la información que permita la resiliencia operativa y sea acorde con el alcance de las amenazas a sus activos de información.
  • Notificar a la APRA los incidentes importantes relacionados con la seguridad de la información.

 

Cumplimiento de los requisitos de gestión de riesgos de terceros de APRA CPS 234

Esta sección compara las capacidades de la plataforma de gestión de riesgos de terceros Prevalent con determinados artículos de la norma CPS 234 sobre seguridad de la información de la Autoridad Australiana de Regulación Prudencial (APRA).

NOTA: Éste es sólo un resumen de los artículos más relevantes, y no debe considerarse una guía exhaustiva y definitiva. Para obtener una lista completa de artículos, por favor revise el documento completo en detalle y consulte a su auditor.

Requisitos

Cómo ayudamos

Funciones y responsabilidades

13.El consejo de administración de una entidad regulada por la APRA (el «consejo») es el responsable último de la seguridad de la información de la entidad. El consejo debe garantizar que la entidad mantenga la seguridad de la información de manera acorde con la magnitud y el alcance de las amenazas a sus activos de información, y que permita el funcionamiento sólido y continuado de la entidad.

14.Una entidad regulada por la APRA debe definir claramente las funciones y responsabilidades relacionadas con la seguridad de la información del consejo de administración, la alta dirección, los órganos rectores y las personas responsables de la toma de decisiones, la aprobación, la supervisión, las operaciones y otras funciones relacionadas con la seguridad de la información.

Prevalent se asocia con usted para crear un programa integral de gestión de riesgos de terceros (TPRM) en consonancia con sus programas más amplios de seguridad de la información y gobernanza, riesgo y cumplimiento, basándose en las mejores prácticas probadas y en una amplia experiencia en el mundo real.

Nuestros expertos colaboran con su equipo en la definición e implantación de procesos y soluciones de GTRC; la selección de cuestionarios y marcos de evaluación de riesgos; y la optimización de su programa para abordar todo el ciclo de vida del riesgo de terceros -desde el abastecimiento y la diligencia debida, hasta la rescisión y la baja- de acuerdo con el apetito de riesgo de su organización.

Como parte de este proceso, Prevalent puede ayudarle a definir:

  • Funciones y responsabilidades claras (por ejemplo, RACI)
  • Inventarios de terceros
  • Puntuación y umbrales de riesgo basados en la tolerancia al riesgo de su organización
  • Metodologías de evaluación y supervisión basadas en la criticidad de terceros
  • Cartografía de cuarta parte
  • Fuentes de datos de supervisión continua (cibernética, empresarial, de reputación, financiera)
  • Indicadores clave de resultados (KPI) e indicadores clave de riesgo (KRI)
  • Políticas, normas, sistemas y procesos para proteger los datos
  • Cumplimiento y presentación de informes contractuales sobre los niveles de servicio
  • Requisitos de respuesta a incidentes
  • Información sobre riesgos y partes interesadas internas
  • Estrategias de mitigación y corrección de riesgos

Capacidad de seguridad de la información

15.Una entidad regulada por la APRA debe mantener una capacidad de seguridad de la información acorde con el tamaño y el alcance de las amenazas a sus activos de información, y que permita el funcionamiento continuo y adecuado de la entidad.

Véase Funciones y responsabilidades (13 y 14) más arriba.

16.Cuando los activos de información sean gestionados por una parte relacionada o un tercero, la entidad regulada por la APRA deberá evaluar la capacidad de seguridad de la información de dicha parte, en consonancia con las posibles consecuencias de un incidente de seguridad de la información que afecte a dichos activos.

Prevalent ofrece una biblioteca con más de 750 plantillas prediseñadas para evaluaciones de riesgos de terceros. Las evaluaciones pueden realizarse en el momento de la incorporación, la renovación del contrato o con la frecuencia que sea necesaria (por ejemplo, trimestral o anualmente).

Las evaluaciones se gestionan de forma centralizada en la plataforma Prevalent. Cuentan con el respaldo de funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas para permitir la visibilidad de los riesgos de terceros a lo largo de la relación con el proveedor.

Es importante destacar que Prevalent ofrece recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que los terceros aborden los riesgos de manera oportuna y satisfactoria.

Para las organizaciones con recursos y experiencia limitados, Prevalent puede gestionar el ciclo de vida del riesgo de terceros en su nombre, desde la incorporación de proveedores y la recopilación de pruebas hasta la orientación sobre medidas correctivas y la presentación de informes sobre los acuerdos de nivel de servicio (SLA) de los contratos. Como resultado, se reduce el riesgo de los proveedores y se simplifica el cumplimiento normativo sin sobrecargar al personal interno.

17.Una entidad regulada por la APRA debe mantener activamente su capacidad de seguridad de la información con respecto a los cambios en las vulnerabilidades y amenazas, incluidos los resultantes de cambios en los activos de información o en su entorno empresarial.

Prevalent rastrea y analiza continuamente las amenazas externas a terceros. La solución vigila Internet y la dark web en busca de ciberamenazas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Todos los datos de supervisión se correlacionan con los resultados de la evaluación (indicados en el punto 16 anterior) y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes y las iniciativas de respuesta.

Las fuentes de seguimiento incluyen:

  • Más de 1.500 foros de delincuentes; miles de páginas cebolla; más de 80 foros de acceso especial a la web oscura; más de 65 fuentes de amenazas; y más de 50 sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades que abarcan 550.000 empresas.
  • Una base de datos con más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo.

Dado que no todas las amenazas son ciberataques directos, Prevalent también incorpora datos de las siguientes fuentes para añadir contexto a los hallazgos cibernéticos:

  • 550.000 fuentes públicas y privadas de información sobre reputación, como fusiones y adquisiciones, noticias empresariales, noticias negativas, información reglamentaria y jurídica, actualizaciones operativas, etc.
  • Una red mundial de 2 millones de empresas con 5 años de cambios organizativos y resultados financieros, incluidos volumen de negocio, pérdidas y ganancias, fondos de accionistas, etc.
  • 30.000 fuentes de noticias de todo el mundo
  • Una base de datos con más de 1,8 millones de perfiles de personas políticamente expuestas
  • Listas mundiales de sanciones y más de 1.000 listas y expedientes judiciales de aplicación de la normativa mundial

Marco normativo

18.Las entidades reguladas por la APRA deben mantener un marco de políticas de seguridad de la información acorde con su exposición a vulnerabilidades y amenazas.

19.El marco de políticas de seguridad de la información de una entidad regulada por la APRA debe proporcionar orientación sobre las responsabilidades de todas las partes que tienen la obligación de mantener la seguridad de la información.

La plataforma Prevalent cuenta con una biblioteca de más de 750 plantillas prediseñadas para evaluaciones de riesgos de terceros, incluidas aquellas que se ajustan a los principales marcos de gobernanza de la seguridad de la información, comoISO.

La generación de informes le permite visualizar y abordar los requisitos de cumplimiento mediante la asignación automática de los resultados de las evaluaciones y los datos a los requisitos y marcos normativos.
Las vistas específicas para cada función garantizan que las partes interesadas puedan identificar los riesgos y actuar en consecuencia, con recomendaciones de corrección integradas.

Evalúa el rendimiento de proveedores y socios comerciales - La entidad evalúa periódicamente el rendimiento de proveedores y socios comerciales.

La plataforma Prevalent permite a los equipos de gestión de proveedores establecer requisitos de seguimiento y centralizar los informes de SLA y rendimiento en función de dichos requisitos a través de un único panel de informes y análisis.

Identificación y clasificación de activos de información

20.Una entidad regulada por la APRA debe clasificar sus activos de información, incluidos los gestionados por partes relacionadas y terceros, según su importancia y sensibilidad. Esta clasificación debe reflejar el grado en que un incidente de seguridad de la información que afecte a un activo de información puede afectar, financiera o no financieramente, a la entidad o a los intereses de los depositantes, asegurados, beneficiarios u otros clientes.

Prevalent le permite evaluar y supervisar a terceros en función del alcance de las amenazas a sus activos de información mediante la captura, el seguimiento y la cuantificación de los riesgos inherentes. Los criterios utilizados para calcularel riesgo inherentepara la clasificación de terceros incluyen:

  • Tipo de contenido necesario para validar los controles
  • Importancia crítica para el rendimiento y las operaciones de la empresa
  • Ubicación(es) y consideraciones legales o reglamentarias relacionadas
  • Nivel de dependencia de cuartas partes (para evitar el riesgo de concentración)
  • Experiencia en procesos operativos o de cara al cliente
  • Interacción con datos protegidos
  • Situación económica y salud
  • Reputación

A partir de esta evaluación de riesgos inherentes, su equipo puede clasificar automáticamente a los proveedores, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones continuas.
La lógica de clasificación basada en reglas permite categorizar a los proveedores utilizando una serie de consideraciones relacionadas con la interacción de datos, las finanzas, la normativa y la reputación.

Implementación de controles

21.Las entidades reguladas por la APRA deben contar con controles de seguridad de la información para proteger sus activos de información, incluidos los gestionados por partes relacionadas y terceros, que se implementen de manera oportuna y que sean proporcionales a:

(a) vulnerabilidades y amenazas para los activos de información;

(b) la importancia y sensibilidad de los activos de información;

(c) la etapa en la que se encuentran los activos de información dentro de su ciclo de vida; y

(d) las posibles consecuencias de un incidente de seguridad de la información.

Prevalent automatiza las evaluaciones de riesgos para ampliar la visibilidad, eficacia y escala de su programa de gestión de riesgos de terceros en cada etapa del ciclo de vida de terceros.

Con una biblioteca de más de 750 evaluaciones estandarizadas, capacidades de personalización y flujo de trabajo y corrección integrados, la solución automatiza todo, desde la recopilación y el análisis de encuestas hasta la calificación de riesgos y la generación de informes.

Con Prevalent, puede recopilar y correlacionar fácilmente inteligencia sobre una amplia gama de controles de proveedores para determinar las amenazas a la gestión de la información, en función de la criticidad del tercero según lo determinado por la evaluación de riesgos inherente.

Los resultados de las evaluaciones y la supervisión continua se cotejan en un único registro de riesgos con informes de mapas de calor que miden y clasifican los riesgos en función de su probabilidad e impacto. Con esta información, los equipos pueden ver fácilmente las consecuencias de un riesgo y disponer de recomendaciones preparadas para terceros con el fin de mitigar los riesgos.

22.Cuando los activos de información de una entidad regulada por la APRA sean gestionados por una parte relacionada o un tercero, la entidad regulada por la APRA deberá evaluar el diseño de los controles de seguridad de la información de dicha parte que protegen los activos de información de la entidad regulada por la APRA.

El Servicio de Validación de Controles Prevalentes revisa las respuestas y la documentación de las evaluaciones de terceros comparándolas con los protocolos de pruebas establecidos para validar que se aplican los controles indicados.

Los expertos de Prevalent revisan primero las respuestas de las evaluaciones, ya sean de cuestionarios personalizados o estandarizados. A continuación, asignamos las respuestas a SIG, SCA, ISO, SOC II, AITECH y/u otros marcos de control. Por último, trabajamos con usted para desarrollar planes de corrección y realizar un seguimiento hasta su finalización. Con opciones remotas disponibles, Prevalent le ofrece su experiencia para ayudarle a reducir el riesgo con sus recursos existentes.

Gestión de incidentes

23.Las entidades reguladas por la APRA deben contar con mecanismos sólidos para detectar y responder a los incidentes de seguridad de la información de manera oportuna.

24.Las entidades reguladas por la APRA deben mantener planes para responder a los incidentes de seguridad de la información que consideren que podrían ocurrir de manera plausible (planes de respuesta a incidentes de seguridad de la información).

25.Los planes de respuesta de seguridad de la información de una entidad regulada por la APRA deben incluir los mecanismos establecidos para:

(a) gestionar todas las etapas relevantes de un incidente, desde su detección hasta la revisión posterior al incidente; y

(b) la escalada y notificación de incidentes de seguridad de la información al Consejo, otros órganos rectores y personas responsables de la gestión y supervisión de incidentes de seguridad de la información, según proceda.

26.Las entidades reguladas por la APRA deben revisar y probar anualmente sus planes de respuesta en materia de seguridad de la información para garantizar que sigan siendo eficaces y adecuados para su finalidad.

Prevalent permite a su equipo identificar, responder, informar y mitigar rápidamente el impacto de los incidentes de proveedores externos mediante la gestión centralizada de proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados, la correlación con la supervisión cibernética continua y el acceso a la orientación para la corrección. Entre las funciones clave se incluyen:

  • Cuestionarios de gestión de sucesos e incidentes continuamente actualizados y personalizables
  • Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario
  • Definición de los propietarios de los riesgos con recordatorios de persecución automatizados para mantener las encuestas dentro de los plazos previstos.
  • Informes proactivos sobre proveedores
  • Vistas consolidadas de las calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor.
  • Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos en función de su impacto potencial para la empresa.
  • Orientación de las recomendaciones de corrección incorporadas para reducir el riesgo
  • Plantillas de informes integradas
  • Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceros con el fin de visualizar las rutas de la información y determinar los datos de riesgo.

Comprobación de la eficacia del control

27.Una entidad regulada por la APRA debe comprobar la eficacia de sus controles de seguridad de la información mediante un programa de pruebas sistemáticas. La naturaleza y la frecuencia de las pruebas sistemáticas deben ser proporcionales a:

(a) la velocidad a la que cambian las vulnerabilidades y las amenazas;

(b) la importancia y sensibilidad de los activos de información;

(c) las consecuencias de un incidente de seguridad de la información;

(d) los riesgos asociados a la exposición a entornos en los que la entidad regulada por la APRA no puede hacer cumplir sus políticas de seguridad de la información; y

(e) la importancia y frecuencia de los cambios en los activos de información.

28.Cuando los activos de información de una entidad regulada por la APRA sean gestionados por una parte relacionada o un tercero, y la entidad regulada por la APRA dependa de las pruebas de control de la seguridad de la información realizadas por dicha parte, la entidad regulada por la APRA deberá evaluar si la naturaleza y la frecuencia de las pruebas de los controles relativos a dichos activos de información se ajustan a lo dispuesto en los apartados 27(a) a 27€ de la presente Norma Prudencial.

Véase «Aplicación de controles» (22), más arriba.

29.Una entidad regulada por la APRA debe escalar y comunicar al Consejo o a la alta dirección cualquier resultado de pruebas que identifique deficiencias en los controles de seguridad de la información que no puedan subsanarse de manera oportuna.

Prevalent le ayuda a revelar tendencias de riesgo, el estado de riesgo de terceros y excepciones al comportamiento habitual con información integrada de aprendizaje automático (ML) y vistas de informes personalizables basadas en roles.

Además, Prevalent ayuda a medir de forma centralizadalos KRI de tercerospara reducir los riesgos derivados de las deficiencias en la supervisión de los proveedores, proporcionando un marco para medir el cumplimiento de los requisitos.

Con esta capacidad, puede identificar rápidamente los valores atípicos que requieren una investigación más profunda, proporcionar los datos adecuados a las personas adecuadas y determinar de manera eficiente la aceptabilidad de los riesgos.

30.Las entidades reguladas por la APRA deben garantizar que las pruebas sean realizadas por especialistas con la formación adecuada y funcionalmente independientes.

31.Una entidad regulada por la APRA debe revisar la suficiencia del programa de pruebas al menos una vez al año o cuando se produzca un cambio significativo en los activos de información o en el entorno empresarial.

Véase «Aplicación de controles» (22) más arriba.

Auditoría interna

32.Las actividades de auditoría interna de una entidad regulada por la APRA deben incluir una revisión del diseño y la eficacia operativa de los controles de seguridad de la información, incluidos los mantenidos por partes relacionadas y terceros (garantía del control de la seguridad de la información).

Prevalent estandariza las evaluaciones segúnSOC 2, Cyber Essentials,ISO y otros marcos de control de seguridad de la información, proporcionando a los equipos de auditoría interna y seguridad de TI una plataforma central para medir y demostrar el cumplimiento de los mandatos de control interno de TI. Estas mismas evaluaciones también se utilizan para evaluar los controles de seguridad de la información de terceros, lo que ofrece una visión consolidada y completa de la seguridad de la información.

33.Una entidad regulada por la APRA debe garantizar que el control de la seguridad de la información sea proporcionado por personal debidamente cualificado para ello.

Véase «Aplicación de controles» (22) más arriba.

34.La función de auditoría interna de una entidad regulada por la APRA debe evaluar la garantía de control de la seguridad de la información proporcionada por una parte relacionada o un tercero cuando:

(a) un incidente de seguridad de la información que afecte a los activos de información tiene el potencial de afectar de manera significativa, financiera o no financiera, a la entidad o a los intereses de los depositantes, asegurados, beneficiarios u otros clientes; y

(b) la auditoría interna tiene la intención de basarse en la garantía de control de la seguridad de la información proporcionada por la parte relacionada o un tercero.

La plataforma Prevalent incluye un motor de automatización y reglas que sugiere automáticamente acciones o cambia las puntuaciones de riesgo basándose en los resultados de las evaluaciones y en fuentes de datos externas. Con esta capacidad, puede crear automáticamente tareas basadas en eventos y asignarlas a los responsables para que hagan un seguimiento de los problemas hasta su resolución. Esto ayuda a acelerar los plazos de reducción de riesgos.

Prevalent tambiénsupervisa continuamentelos cambios en materia de ciberseguridad, negocios, reputación y finanzas que pueden afectar de manera significativa a las relaciones con terceros. Los resultados se correlacionan con las evaluaciones de terceros para obtener un enfoque integral y validado de la gestión de riesgos de terceros.

Notificación ARPA

35.Una entidad regulada por la APRA debe notificar a la APRA lo antes posible y, en cualquier caso, en un plazo máximo de 72 horas, tras tener conocimiento de un incidente de seguridad de la información que:

(a) afectara de manera significativa, o tuviera el potencial de afectar de manera significativa, financiera o no financiera, a la entidad o a los intereses de los depositantes, asegurados, beneficiarios u otros clientes; o

(b) se ha notificado a otros organismos reguladores, ya sea en Australia o en otras jurisdicciones.

36.Una entidad regulada por la APRA debe notificar a la APRA lo antes posible y, en cualquier caso, en un plazo máximo de 10 días hábiles, tras tener conocimiento de una deficiencia significativa en el control de la seguridad de la información que la entidad prevé que no podrá subsanar a tiempo.

Prevalent revela tendencias de riesgo, el estado de los riesgos de terceros y las excepciones al comportamiento habitual con información integrada de aprendizaje automático (ML) y vistas de informes personalizables en función del rol.

Con Prevalent, puede visualizar y abordar los requisitos de cumplimiento mediante la asignación automática de los resultados de las evaluaciones a los marcos normativos y sectoriales. También puede generar informes específicos sobre normativa en una fracción del tiempo que normalmente se dedica a los procesos manuales de evaluación de riesgos basados en hojas de cálculo.

Recursos adicionales

Blog

APRA CPS 234: Mejores prácticas para cumplir los requisitos de gestión de riesgos de terceros

Blog

Normas de divulgación de ciberseguridad de la SEC: 9 preguntas clave que se deben plantear a terceros

Blog

Cumplimiento de los requisitos PRA SS2/21 para la gestión de riesgos de terceros

Guía

Adapte su programa TPRM a 14 normas del sector

Ver más recursos

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.