Los reguladores bursátiles estadounidenses comenzaron el año 2020 haciendo hincapié en la importancia de la gestión del riesgo de los proveedores (VRM).
El 7 de enero, la Oficina de Inspecciones y Exámenes de Cumplimiento (OCIE) de la Comisión de Bolsa y Valores de Estados Unidos (SEC) anunció sus prioridades de examen para 2020. Y el 27 de enero, la OCIE publicó su informe de Observaciones sobre ciberseguridad y resiliencia. Ambos tratan la gestión de proveedores como un área de examen crítica.
En ese momento, los reguladores tenían previsto examinar más detenidamente cómo las empresas gestionan los riesgos de cumplimiento de los proveedores y mejoran la preparación en materia de ciberseguridad y la resiliencia operativa. Por supuesto, la lista de prioridades anuales de la SEC se publicó antes de que el coronavirus (COVID-19) alcanzara niveles de crisis en los Estados Unidos y en la mayor parte del mundo.
Los requisitos normativos no desaparecen durante una pandemia. En todo caso, son más importantes que nunca. ¿Cómo puede cumplir con la normativa y proteger los datos de la empresa y los clientes en estos tiempos difíciles?
Siguiendo las directrices del informe
El Wall Street Journal proporcionó más detalles sobre la lista de prioridades de examen para 2020:
«En lo que respecta a la externalización, tienen previsto vigilar los riesgos derivados de ceder el almacenamiento de datos, la gestión de activos y otras funciones a proveedores externos».
El informe también indica que la SEC se centrará en los proveedores de servicios y las soluciones de red que aprovechan el almacenamiento basado en la nube.
La importancia de la protección de datos se traslada a las Observaciones sobre ciberseguridad y resiliencia. Dicho informe afirma que el programa de gestión de riesgos de proveedores de cualquier organización debe evaluar cómo protegen los proveedores cualquier información accesible de los clientes.
¿Qué puedes hacer para prepararte para los exámenes de la SEC?
Es útil comprender las instrucciones que figuran en los propios informes. A continuación se ofrecen algunas recomendaciones para cumplir con las expectativas de ambos informes:
- Revisar los procedimientos de cumplimiento, especialmente en lo que respecta a la Norma de Salvaguardias de la Ley Gramm-Leach-Bliley (Reglamento S-P) y la Norma sobre Señales de Alerta de Robo de Identidad (Reglamento S-ID).
- Establecer procedimientos para rescindir o sustituir a los proveedores, incluidos los proveedores de servicios basados en la nube, y establecer medidas de seguridad para la eliminación adecuada del hardware retirado que contenga información de clientes y de la red.
- Comprenda los términos del contrato para que tanto usted como su proveedor estén de acuerdo en cómo se abordan los riesgos y las cuestiones de seguridad.
- Supervisar continuamente y evalúe la relación con el proveedor para que este siga cumpliendo los requisitos de seguridad y esté al tanto de los cambios en los servicios o el personal del proveedor.
- Establecer controles sobre el acceso en línea y el acceso a aplicaciones móviles a la información de las cuentas de corretaje de los clientes.
Las directrices de la SEC son para su bien y el de sus clientes. La actual crisis pandémica añade aún más urgencia a la protección de los datos confidenciales y de los clientes, en un momento en el que el teletrabajo ha hecho que muchos sean vulnerables a los ciberataques.
Un sistema VRM es la mejor opción para adelantarse a sus exámenes. Puede modelar su programa de gestión de riesgos de proveedores basándose en una solución que cuenta con potentes funciones y herramientas para garantizar el cumplimiento normativo y proteger los datos importantes.
Defiéndase contra los riesgos de proveedores y empresas
Conozca nuestras soluciones VRM/ERM, las mejores de su categoría.
