En respuesta al creciente número de ciberataques que ponen a prueba la resiliencia del sistema financiero europeo, el Parlamento de la Unión Europea (UE) aprobó en 2022 una ley para reforzar la seguridad informática de entidades financieras como bancos, compañías de seguros y sociedades de inversión. La Ley de Resiliencia Operativa Digital (DORA) tiene por objeto garantizar que el sector financiero europeo sea capaz de mantener su resiliencia durante perturbaciones operativas graves.
La ley DORA crea un marco regulatorio para la resiliencia operativa digital en el sector financiero, por el cual todas las empresas deben confirmar que pueden soportar, responder y recuperarse de una amplia gama de interrupciones de las TIC y amenazas cibernéticas. La ley establece requisitos uniformes para la seguridad de las redes y los sistemas de información. En el capítulo V se detallan los requisitos para terceros críticos que prestan servicios de tecnologías de la información y la comunicación (TIC), como plataformas en la nube o servicios de análisis de datos, al sector de los servicios financieros.
Este artículo examina los artículos clave de la DORA relacionados con terceros e identifica las mejores prácticas que pueden utilizarse para cumplir los requisitos del capítulo V de la DORA.
DORA Capítulo V: Gestión de riesgos de terceros en las TIC
El capítulo V de la DORA revisa los controles y procesos requeridos en la sección I y los mecanismos de supervisión para un régimen regulatorio en la sección II.
Sección I: Principios clave para una gestión adecuada de los riesgos de terceros en las TIC
La Sección I: Principios clave para una gestión adecuada de los riesgos de terceros en materia de TIC tiene por objeto garantizar que las entidades financieras gestionen y mitiguen adecuadamente los riesgos derivados del uso de los servicios de TIC prestados por terceros. A continuación se incluye un resumen de estos requisitos.
Marco de gestión de riesgos
Las entidades financieras deben evaluar los riesgos relacionados con los proveedores externos de TIC. Esto incluye evaluar los posibles riesgos operativos, los riesgos de concentración y los riesgos sistémicos. Las organizaciones deben tener en cuenta la importancia crítica de los servicios prestados. Se espera que el grado de gestión y supervisión de los riesgos sea proporcional a la importancia crítica y al impacto potencial del servicio de TIC externo en la entidad financiera. Esto se conoce como el principio de proporcionalidad.
Diligencia debida
Las entidades financieras deben llevar a cabo una diligencia debida exhaustiva antes de celebrar contratos con proveedores externos de servicios TIC. Esta evaluación debe incluir la capacidad del proveedor para prestar servicios de forma fiable, segura y acorde con las expectativas normativas. Una vez firmado el contrato, es necesario realizar un seguimiento continuo para garantizar que los proveedores externos mantengan el nivel esperado de resiliencia operativa, incluido el cumplimiento de las normas de seguridad.
Requisitos contractuales
Los contratos entre entidades financieras y terceros proveedores de servicios TIC deben incluir disposiciones detalladas sobre la gestión de riesgos, garantizando la responsabilidad del proveedor en la mitigación de riesgos y la continuidad operativa. Los contratos también deben incluir cláusulas sobre derechos de rescisión, que permitan a la entidad financiera rescindir la relación si el tercero incumple los requisitos normativos o de resiliencia operativa. Las entidades financieras deben disponer de estrategias de salida documentadas y ensayadas para los servicios TIC críticos, que les permitan mantener la resiliencia operativa si un proveedor de servicios clave deja de estar disponible.
Gestión del riesgo de concentración y la dependencia
Las entidades financieras deben supervisar los riesgos de concentración relacionados con los proveedores externos de TIC, especialmente cuando solo unos pocos proveedores dominan el mercado. Las organizaciones deben desarrollar planes de contingencia para hacer frente a las posibles interrupciones causadas por dicha concentración. Para mitigar los riesgos de concentración, se anima a las entidades a diversificar sus proveedores de servicios de TIC siempre que sea posible.
Registro de riesgos de terceros en materia de TIC
Las entidades financieras deben mantener un registro de todos los proveedores y servicios externos de TIC, que incluya detalles sobre los contratos, la importancia crítica de los servicios y las evaluaciones de riesgos. Este registro debe actualizarse periódicamente y ponerse a disposición para las revisiones reglamentarias.
Pruebas de resistencia
La DORA exige a las entidades financieras que comprueben la capacidad de resiliencia operativa de sus proveedores externos de TIC. Esto implica realizar simulaciones o pruebas de resistencia para evaluar la capacidad de dichos proveedores para gestionar una interrupción grave o un ciberataque.
Subcontratación
Si un proveedor externo de TIC subcontrata partes del servicio, la entidad financiera debe asegurarse de que el subcontratista también esté sujeto a las mismas normas de diligencia debida, supervisión y gestión de riesgos.
Escenarios de riesgo de terceros
Se anima a las entidades financieras a analizar diferentes escenarios de riesgo de terceros, como ciberataques o interrupciones a gran escala, y a desarrollar planes de recuperación y contingencia para tales eventos.
Sección II: Marco de supervisión de proveedores de servicios externos críticos de TIC
La Sección II: Marco de supervisión de proveedores de servicios críticos de TIC establece normas y requisitos relativos a la supervisión y el control regulatorio de los proveedores de servicios críticos de TIC (CTPP). Incluye el nombramiento de un supervisor principal para supervisar las prácticas de gestión de riesgos y resiliencia del proveedor, la autoridad para realizar inspecciones y pruebas de resiliencia, y los requisitos para informar de incidentes y medidas correctivas.
La DORA introduce mecanismos de supervisión directa para los proveedores externos de TIC críticos, exigiéndoles que cumplan con normas adicionales en materia de información y resiliencia operativa. El objetivo es garantizar que estos proveedores críticos de TIC mantengan altos estándares de resiliencia operativa y contribuyan a la estabilidad general del sistema financiero.
Cómo Prevalent puede ayudar a simplificar el cumplimiento normativo en materia de gestión de riesgos de terceros según la DORA
El capítulo V, sección I, artículos 28-30, de la Ley de Resiliencia Operativa Digital (DORA) establece varios requisitos destinados a garantizar que las entidades financieras gestionen y mitiguen adecuadamente los riesgos derivados del uso de los servicios de tecnología de la información y la comunicación (TIC) prestados por terceros. Estas son las prácticas que los profesionales de TPRM tendrían que aplicar para cumplir los requisitos de supervisión reglamentaria de la sección II.
Sin embargo, es imposible evaluar adecuadamente, supervisar de forma continua y gestionar el cumplimiento de los requisitos de la DORA por parte de terceros utilizando métodos manuales de evaluación de riesgos basados en hojas de cálculo. Prevalent puede ayudar.
La plataforma Prevalent Third-Party Risk Management (TPRM)
es una solución centralizada y automatizada para evaluar, supervisar y gestionar el riesgo de los proveedores de servicios externos en consonancia con su programa más amplio de ciberseguridad y gestión de riesgos empresariales. Con Prevalent, su equipo puede:
- Centralice la distribución, discusión, retención y revisión de los contratos con proveedores de servicios externos para garantizar que se incluyan, acuerden y apliquen los requisitos clave con indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI). Prevalent Contract Essentials cuenta con un flujo de trabajo que traslada automáticamente a los proveedores contratados a un proceso formal de diligencia debida.
- Cree un inventario completo de todos los proveedores de servicios externos y las dependencias y concentraciones de cuarta y enésima parte como un único registro externo de referencia para las partes interesadas de la empresa.
- Evaluar el riesgo inherente para informar la elaboración de perfiles, la clasificación y la categorización de los proveedores de servicios, y para determinar el alcance y la frecuencia adecuados de las actividades de diligencia debida en curso.
- Automatice el proceso de evaluación y corrección de riesgos de resiliencia en todas las etapas del ciclo de vida de terceros utilizando una amplia biblioteca de más de 750 plantillas de cuestionarios adaptadas a múltiples marcos de mejores prácticas y con orientación de corrección integrada.
- Realizar un seguimiento y análisis continuos de las amenazas externas a terceros mediante la supervisión de Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, e incorporar esa información para validar los controles de los proveedores de servicios externos.
- Automatice la respuesta a incidentes de terceros con supervisión programática, evaluaciones y gestión de respuestas.
- Automatice las evaluaciones de contratos y los procedimientos de baja para reducir el riesgo de exposición de su organización tras la finalización del contrato.
Para obtener más información sobre cómo Prevalent puede simplificar el cumplimiento de la normativa DORA en materia de gestión de riesgos de terceros, descargue nuestra lista de verificación completa sobre gestión de riesgos de terceros según la normativa DORA o solicite una demostración hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
