La FFIEC y la gestión de riesgos de terceros
El Consejo Federal de Examen de las Instituciones Financieras (FFIEC) es un organismo interinstitucional facultado para establecer directrices y principios y normas uniformes para el examen federal de las instituciones financieras. El FFIEC es autor de una serie de folletos sobre temas específicos de interés para los examinadores de campo que prescriben principios y normas uniformes para las instituciones financieras.
La FFIEC ofrece una serie de manuales o folletos para uso de los examinadores de las prácticas informáticas de las entidades financieras. Los manuales abarcan muchos temas, como la auditoría, la planificación de la continuidad de las actividades, la seguridad de la información, la subcontratación de servicios tecnológicos y otros.
Los folletos de TI de la FFIEC exigen una gestión y un seguimiento sólidos de la planificación de la continuidad del negocio (BCP) de los proveedores externos y del riesgo de seguridad de TI. El folleto de Continuidad de Negocio de la FFIEC incluye un Apéndice J que aborda la necesidad de reforzar la resistencia de los servicios tecnológicos subcontratados, y el folleto de Seguridad de la Información incluye una sección específica sobre Supervisión de Proveedores de Servicios de Terceros.
El objetivo del Manual de examen de TI de la FFIEC es aumentar la concienciación sobre la ciberseguridad en el sector financiero y subrayar la importancia de realizar evaluaciones de ciberseguridad precisas, incluidas las de los proveedores de servicios tecnológicos. La adhesión a estas directrices requiere un conjunto completo de controles implementados en toda la organización del proveedor.
Orientaciones pertinentes
- Debe existir una política de gestión de riesgos
- La política debe codificarse en los acuerdos con los proveedores
- Debe aplicarse la diligencia debida en la elección de terceros
- Los proveedores deben ser gestionados y auditados de acuerdo con los requisitos acordados.
Cumplimiento de las directrices TPRM de la FFIEC
A continuación le explicamos cómo Prevalent puede ayudarle a cumplir las directrices de gestión de riesgos de terceros de la FFIEC:
Orientación
Cómo ayuda Prevalent
Folleto sobre planificación de la continuidad de las actividades Apéndice J: Refuerzo de la resistencia de los servicios tecnológicos externalizados
Gestión de terceros
"Establecer una relación bien definida con los proveedores de servicios tecnológicos (TSP) es esencial para la resiliencia del negocio. El programa de gestión de terceros de una institución financiera debe centrarse en el riesgo y proporcionar supervisión y controles proporcionales al nivel de riesgo que presenta el acuerdo de externalización. Para garantizar la resistencia del negocio, el programa debe incluir las actividades subcontratadas que son críticas para las operaciones en curso de la institución financiera."
La plataforma Prevalent TPRM permite realizar evaluaciones basadas en el control interno (basadas en cuestionarios marco estándar del sector y/o cuestionarios personalizados). Esta selección permite a una organización ajustar los requisitos de la evaluación al nivel de riesgo que presenta la relación.
Además, la plataforma incluye funciones de flujo de trabajo integradas que permiten a los asesores interactuar eficazmente con terceros durante los periodos de recopilación y revisión de la diligencia debida.
Gestión de terceros - Diligencia debida
"Como parte de su diligencia debida, una institución financiera debe evaluar la eficacia del programa de continuidad de negocio de un TSP, con especial énfasis en la capacidad de recuperación. Además, una institución debe entender el proceso de diligencia debida que el TSP utiliza para sus subcontratistas y proveedores de servicios. Además, la institución financiera debería revisar el programa BCP del TSP y su alineación con el propio programa de la institución financiera, incluyendo una evaluación de la estrategia y los resultados de las pruebas BCP del TSP para garantizar que cumplen los requisitos de la institución financiera y promueven la resiliencia."
Los cuestionarios personalizados y basados en estándares de Prevalent se centran en la planificación de la continuidad del negocio, incluido el análisis de impacto, la evaluación del riesgo operativo y la gestión de la recuperación del negocio. El servicio de evaluación de Prevalent examina el riesgo que plantean tanto los proveedores de servicios tecnológicos como sus subcontratistas.
Gestión de terceros - Contratos
"Derecho de auditoría: Los acuerdos deben contemplar el derecho de la institución financiera o de sus representantes a auditar al TSP y/o a tener acceso a los informes de auditoría. Una institución financiera debe revisar los informes de auditoría disponibles que aborden las capacidades de resiliencia de los TSP y las interdependencias (por ejemplo, subcontratistas), las pruebas del BCP y los esfuerzos de remediación, y evaluar el impacto, en su caso, en el BCP de la institución financiera."
La plataforma Prevalent TPRM incluye informes eficaces para satisfacer los requisitos de auditoría y cumplimiento, así como para presentar las conclusiones al consejo de administración y a la alta dirección. El perfil de riesgo completo puede visualizarse en la consola centralizada de informes en tiempo real, y los informes pueden descargarse y exportarse para determinar el estado de cumplimiento. Los informes detallados incluyen filtros y gráficos interactivos. La solución incluye un repositorio completo de toda la documentación recopilada y revisada durante el proceso de diligencia.
Gestión de terceros - Supervisión continua
"Una supervisión continua eficaz ayuda a la institución financiera a garantizar la resistencia de los servicios tecnológicos externalizados. La institución financiera debería realizar evaluaciones periódicas en profundidad del entorno de control del TSP, incluido el BCP, a través de la revisión de las actividades de prueba del plan de continuidad del negocio del proveedor de servicios, evaluaciones independientes y/o de terceros para evaluar el impacto potencial en la resistencia del negocio de la institución financiera. La institución financiera debe asegurarse de que los resultados de dichas revisiones sean documentados e informados por el TSP al comité de supervisión de gestión o al consejo de administración correspondiente y utilizados para determinar cualquier cambio necesario en el BCP de la institución financiera y, si se justifica, en el contrato del proveedor de servicios."
La plataforma de gestión de riesgos de terceros de Prevalent ofrece una solución completa para realizar evaluaciones que incluye cuestionarios; un entorno para incluir y gestionar pruebas documentadas en respuesta; flujos de trabajo para gestionar la revisión y abordar las conclusiones; y sólidos informes para proporcionar a cada nivel de gestión la información que necesita para revisar adecuadamente el rendimiento del tercero.
Ciberresiliencia
"Las ciberamenazas seguirán siendo un reto para la preparación de la continuidad de negocio. Las instituciones financieras y los TSP deben permanecer atentos a las ciberamenazas y escenarios emergentes y considerar su impacto potencial en la resistencia operativa. Dado que el impacto de cada tipo de evento cibernético variará, la preparación es la clave para prevenir o mitigar los efectos de un evento de este tipo."
El servicio Prevalent Cyber & Business Monitoring proporciona supervisión de proveedores tanto instantánea como continua para la notificación inmediata de problemas de alto riesgo, priorización y recomendaciones de corrección. La supervisión de la seguridad de los datos y los riesgos empresariales le permite ver más allá de la salud táctica del proveedor para obtener una visión más estratégica del riesgo general de la seguridad de la información de un proveedor.
Prevalent es único en el sentido de que ofrece una supervisión del riesgo empresarial que aprovecha a los analistas humanos para interpretar los posibles riesgos operativos, de marca, normativos, jurídicos y financieros.
Entre los ejemplos de información empresarial recopilada durante el análisis se incluyen:
- Fusiones y adquisiciones
- Despidos
- Demandas judiciales
- Filtraciones de datos
- Retirada de productos
- Quiebra
- Operaciones de capital: deuda, acciones
Folleto sobre seguridad de la información
II.C.20 Supervisión de terceros proveedores de servicios
"La dirección debe verificar que los terceros proveedores de servicios implantan y mantienen controles suficientes para mitigar adecuadamente los riesgos. Los contratos de la entidad deben hacer lo siguiente:
Incluir normas mínimas de control e información
prever el derecho a exigir cambios en las normas a medida que cambien los entornos externos e internos
Especificar que la institución o un auditor independiente tenga acceso al proveedor de servicios para realizar evaluaciones del rendimiento del proveedor de servicios con respecto a las normas de seguridad de la información."
El servicio de evaluación de prevalencia simplifica el cumplimiento y reduce el riesgo con la recopilación y el análisis automatizados de encuestas a proveedores mediante cuestionarios estándar del sector y personalizados. Los flujos de trabajo bidireccionales proporcionan una comunicación de ida y vuelta con los proveedores de servicios tecnológicos para abordar las conclusiones y los esfuerzos de corrección. Los sólidos informes y las completas capacidades de auditoría agilizan la adecuada revisión del rendimiento. El acceso a las evaluaciones y auditorías completadas puede delegarse a los auditores a través de las capacidades RBAC estándar de la plataforma.
