Directriz B-13 de la OSFI: Cumplimiento y gestión de riesgos de terceros

La OSFI B-13 es una directriz emitida por la Oficina del Superintendente de Instituciones Financieras (OSFI) de Canadá que describe los requisitos de gestión de riesgos para desarrollar una mayor resiliencia ante los riesgos tecnológicos y cibernéticos, incluidos los publicados por terceros. Al igual que la Directriz B-10, que aborda la externalización, la Directriz B-13 se aplica a todas las instituciones financieras reguladas a nivel federal (FRFI), incluidas las sucursales de bancos extranjeros y las sucursales de compañías de seguros extranjeras que operan en Canadá.

Publicada inicialmente en julio de 2022, la Directriz B-13 se organiza en tres ámbitos, cada uno con un resultado deseado que contribuye a la resiliencia frente a los riesgos tecnológicos y cibernéticos. Los resultados se basan en 17 principios, que a su vez se apoyan en directrices individuales.

OSFI B-13 y gestión de riesgos de terceros

En lo que respecta a la gestión de riesgos de terceros, la Directriz B-13 hace hincapié en la necesidad de que las instituciones financieras implementen estrategias integrales para gestionar los riesgos asociados con la subcontratación y las relaciones con terceros. La tabla siguiente resume las directrices específicas de la B-13 relativas a la gestión de riesgos de terceros y ofrece recomendaciones sobre las mejores prácticas para cumplir los requisitos.

NOTA: Esta tabla resume únicamente los requisitos específicos sobre riesgos de terceros. Para obtener una lista completa de todos los requisitos y principios, consulte las directrices completas de la OSFI.

Principios	Mejores prácticas de TPRM
Dominio: Gobernanza y gestión de riesgos Este ámbito establece las expectativas de la OSFI en materia de responsabilidad formal, liderazgo, estructura organizativa y marco utilizado para respaldar la gestión de riesgos y la supervisión de la tecnología y la ciberseguridad. Resultado: Los riesgos tecnológicos y cibernéticos se gestionan mediante responsabilidades y estructuras claras, así como estrategias y marcos integrales.
Principio 1: La alta dirección debe asignar la responsabilidad de gestionar los riesgos tecnológicos y cibernéticos a los altos cargos. También debe garantizar que se disponga de una estructura organizativa adecuada y de los recursos necesarios para gestionar los riesgos tecnológicos y cibernéticos en toda la FRFI. Principio 2: Las FRFI deben definir, documentar, aprobar e implementar uno o varios planes estratégicos tecnológicos y cibernéticos. Los planes deben estar alineados con la estrategia empresarial y establecer metas y objetivos que sean medibles y evolucionen con los cambios en el entorno tecnológico y cibernético de la FRFI.	Buscar expertos colaborar con su equipo en la definición e implementación de procesos y soluciones de TPRM en el contexto de su enfoque general de gestión de riesgos; seleccionar cuestionarios y marcos de evaluación de riesgos; y optimizar su programa para abordar todo el ciclo de vida del riesgo de terceros, desde la contratación y la diligencia debida hasta la rescisión y la salida de la empresa. Como parte de este proceso, debe definir: * Funciones y responsabilidades claras (por ejemplo, RACI). * Inventarios de terceros. * Puntuación y umbrales de riesgo basados en la tolerancia al riesgo de su organización. * Metodologías de evaluación y supervisión basadas en la criticidad de terceros. * Mapeo de cuartos para comprender el riesgo en su ecosistema de proveedores ampliado. * Fuentes de datos de supervisión continua (cibernética, empresarial, reputacional, financiera). * Indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI). * Políticas, normas, sistemas y procesos de gobierno para proteger los datos. * Requisitos de cumplimiento y de presentación de informes contractuales en relación con los niveles de servicio. * Requisitos de respuesta ante incidentes. * Informes sobre riesgos y partes interesadas internas. * Estrategias de mitigación y corrección de riesgos.
Principio 3: Las FRFI deben establecer un marco de gestión de riesgos tecnológicos y cibernéticos (RMF). El marco debe establecer una tolerancia al riesgo para los riesgos tecnológicos y cibernéticos y definir los procesos y requisitos de las FRFI para identificar, evaluar, gestionar, supervisar y comunicar los riesgos tecnológicos y cibernéticos.	Busque una solución de gestión de riesgos que cuente con una amplia biblioteca de evaluaciones de riesgos específicas para cada marco, como ISO, NIST u otros. Aproveche las evaluaciones de riesgos específicas para cada marco y ya predefinidas para simplificar la asignación de controles y la generación de informes. El marco elegido debe ajustarse a los requisitos de gestión de riesgos a nivel empresarial. Mejores prácticas para abordar los requisitos de la directriz OSFI B-13.
Dominio: Operaciones tecnológicas y resiliencia Este ámbito establece las expectativas de la OSFI en materia de «gestión y supervisión de los riesgos relacionados con el diseño, la implementación, la gestión y la recuperación de los activos y servicios tecnológicos». Resultado: Un entorno tecnológico estable, escalable y resistente. El entorno se mantiene actualizado y respaldado por procesos operativos y de recuperación tecnológicos robustos y sostenibles.
Principio 7: Las FRFI deben implementar un marco de ciclo de vida de desarrollo de sistemas (SDLC) para el desarrollo, la adquisición y el mantenimiento seguros de sistemas tecnológicos que funcionen según lo previsto en apoyo de los objetivos empresariales.	Como parte del proceso de diligencia debida, solicite a los proveedores que proporcionen listas de materiales de software (SBOM) actualizadas para sus productos de software. Esto le ayudará a identificar cualquier posible vulnerabilidad o problema de licencia que pueda afectar a la seguridad y el cumplimiento normativo de su organización.
Principio 10: Las FRFI deben detectar, registrar, gestionar, resolver, supervisar y notificar de manera eficaz los incidentes tecnológicos y minimizar sus repercusiones.	Realizar un seguimiento y análisis continuos. amenazas externas a terceros. Como parte de ello, supervisar Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones e información financiera. Las fuentes de supervisión deben incluir: * Foros criminales; páginas onion; foros de acceso especial a la web oscura; fuentes de amenazas; y sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades. * Bases de datos que contienen varios años de historial de violaciones de datos de miles de empresas de todo el mundo. Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes, las medidas correctivas y las iniciativas de respuesta. Una vez que todos los datos de evaluación y supervisión se hayan correlacionado en un registro central de riesgos, aplique una puntuación y priorización de riesgos según un modelo de probabilidad e impacto. Este modelo debe enmarcar los riesgos en una matriz, de modo que pueda ver fácilmente los riesgos de mayor impacto y priorizar las medidas correctivas para ellos. Asignar propietarios y realizar un seguimiento de los riesgos y las medidas correctivas hasta alcanzar un nivel aceptable para la empresa.
Principio 11: Las FRFI deben desarrollar normas y procesos de servicio y capacidad para supervisar la gestión operativa de la tecnología, garantizando que se satisfagan las necesidades empresariales.	Evalúe continuamente la eficacia de su programa TPRM en función de las necesidades y prioridades cambiantes de la empresa, midiendo los indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI) de los proveedores externos a lo largo del ciclo de vida de la relación.
Dominio: Ciberseguridad Este ámbito establece las expectativas de la OSFI en materia de «gestión y supervisión del riesgo cibernético». Resultado: Una postura tecnológica segura que mantiene la confidencialidad, integridad y disponibilidad de los activos tecnológicos de la FRFI.
Principio 14: Las FRFI deben mantener una serie de prácticas, capacidades, procesos y herramientas para identificar y evaluar la ciberseguridad en busca de debilidades que puedan ser explotadas por agentes externos e internos que representen una amenaza.	Busque soluciones que cuenten con una amplia biblioteca de plantillas prediseñadas para evaluaciones de riesgos de terceros. Las evaluaciones deben realizarse en el momento de la incorporación del proveedor, la renovación del contrato o con la frecuencia necesaria (por ejemplo, trimestral o anualmente), en función de los cambios significativos que se produzcan en la relación. Las evaluaciones deben gestionarse de forma centralizada y estar respaldadas por funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas para garantizar que su equipo tenga visibilidad de los riesgos de terceros a lo largo del ciclo de vida de la relación. Es importante destacar que una solución TPRM debe incluir recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que sus terceros aborden los riesgos de manera oportuna y satisfactoria y puedan proporcionar las pruebas adecuadas a los auditores. Como parte de este proceso, realice un seguimiento y análisis continuo de las amenazas externas a terceros. Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, lo que agiliza las iniciativas de revisión, notificación, corrección y respuesta de riesgos. Los requisitos de la directriz B-13 forman parte de un marco más amplio destinado a garantizar que las instituciones financieras gestionen eficazmente los riesgos tecnológicos y cibernéticos, especialmente en un panorama en el que se utilizan cada vez más los servicios de terceros. Comience su camino hacia el cumplimiento con estas prácticas:
Principio 17: Las FRFI deben responder, contener, recuperarse y aprender de los incidentes de ciberseguridad que afecten a sus activos tecnológicos, incluidos los incidentes originados en proveedores externos.	Como parte de su visión más amplia estrategia de gestión de incidentes Asegúrese de que su programa de respuesta a incidentes de terceros permita a su equipo identificar, responder, informar y mitigar rápidamente el impacto de incidentes de seguridad de proveedores externos. Las capacidades clave de un servicio de respuesta a incidentes de terceros incluyen: * Cuestionarios de gestión de eventos e incidentes continuamente actualizados y personalizables * Seguimiento en tiempo real del progreso de la cumplimentación de los cuestionarios * Responsables de riesgos definidos con recordatorios automáticos para mantener las encuestas dentro del calendario previsto * Informes proactivos de los proveedores * Vistas consolidadas de las calificaciones de riesgo, recuentos, puntuaciones y respuestas señaladas para cada proveedor * Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos según su impacto potencial en el negocio * Plantillas de informes integradas para las partes interesadas internas y externas * Orientación a partir de recomendaciones de corrección integradas para reducir el riesgo * Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceros, cuartos o enésimos para visualizar las rutas de información y revelar los datos en riesgo Además, considere la posibilidad de aprovechar las bases de datos que contienen varios años de historial de violaciones de datos de miles de empresas de todo el mundo, incluyendo los tipos y cantidades de datos robados, cuestiones de cumplimiento y normativas, y notificaciones en tiempo real de violaciones de datos de proveedores. Con esta información, su equipo podrá comprender mejor el alcance y el impacto del incidente, qué datos se vieron afectados, si las operaciones de terceros se vieron afectadas y cuándo se completaron las medidas correctivas, todo ello gracias a la ayuda de expertos. Diligencia debida: Realice una diligencia debida exhaustiva antes de celebrar contratos con terceros. Esto incluye evaluar la estabilidad financiera, la reputación y la idoneidad de las medidas de ciberseguridad del tercero.

Contratos con terceros: Incluya términos específicos en los contratos con terceros que aborden los riesgos tecnológicos y cibernéticos. Esto incluye cláusulas relacionadas con la protección de datos, el derecho a realizar auditorías, el cumplimiento de los indicadores clave de rendimiento y los umbrales clave de riesgo, y los requisitos de respuesta ante incidentes.
Evaluaciones de riesgos: Realizar evaluaciones de riesgos periódicas
para comprender los riesgos potenciales que pueden plantear los terceros, principalmente en relación con la tecnología y la ciberseguridad. Esto debe incluir la evaluación de cómo los terceros manejan los datos y el impacto potencial de las interrupciones o violaciones de datos.
Supervisión y presentación de informes: Supervisar continuamente los riesgos cibernéticos, el rendimiento de terceros y el cumplimiento de los acuerdos contractuales. Deben contar con procesos para informar y abordar con prontitud cualquier problema o incumplimiento.
Gestión y respuesta ante incidentes: Asegúrese de que los terceros cuenten con planes adecuados de gestión y respuesta ante incidentes. Esto incluye canales de comunicación claros y protocolos para responder a incidentes cibernéticos.
Continuidad del negocio y planes de contingencia:
Asegúrese de que los terceros cuenten con planes sólidos de continuidad del negocio que se ajusten a los planes de contingencia de la institución. Esto ayuda a garantizar la continuidad de los servicios críticos en caso de interrupciones.
Estrategias de rescisión y salida: Establezca estrategias y procedimientos claros para rescindir las relaciones con terceros y garantizar una transición fluida sin comprometer la seguridad ni la continuidad del servicio.

Próximos pasos para el cumplimiento de la norma OSFI B-13

La directriz B-13 de la OSFI proporciona un marco integral para garantizar la resiliencia frente a los riesgos tecnológicos y cibernéticos, incluidos los que plantean terceros. Si su organización está examinando sus prácticas de resiliencia empresarial, descargue nuestra lista de verificación de cumplimiento de la OSFI B-13o póngase en contacto con Prevalent para solicitar una demostración.

Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.