Cumplimiento del Manual de examen de TI de la FFIEC

Contactar con un experto

Volver a todos los casos de uso

FFIEC y gestión de riesgos de terceros

ElConsejo Federal de Inspección de Instituciones Financieras (FFIEC)es un organismo interinstitucional facultado para establecer directrices y principios y normas uniformes para la inspección federal de las instituciones financieras. El FFIEC ha elaborado una serie de folletos sobre temas específicos de interés para los inspectores sobre el terreno, en los que se establecen principios y normas uniformes para las instituciones financieras.

La FFIEC ofrece un conjunto de manuales o folletos para uso de los inspectores de prácticas de TI de instituciones financieras. Los manuales abarcan muchos temas, entre ellos auditoría, planificación de la continuidad del negocio (BCP), seguridad de la información, externalización de servicios tecnológicos y otros.

Los folletos sobre TI de la FFIEC exigen una gestión y un seguimiento rigurosos de la planificación de la continuidad del negocio (BCP) y los riesgos de seguridad de TI de los proveedores externos. Elfolleto sobre continuidad del negocio de la FFIECincluye unapéndice Jque aborda la necesidad de reforzar la resiliencia de los servicios tecnológicos externalizados, y elfolleto sobre seguridad de la informaciónincluye una sección específica sobrela supervisión de los proveedores de servicios externos.

El objetivo del Manual de inspección de TI de la FFIEC es aumentar la concienciación sobre la ciberseguridad en el sector financiero y destacar la importancia derealizar evaluaciones precisasde la ciberseguridad, incluidas las de los proveedores de servicios tecnológicos. El cumplimiento de estas directrices requiere la implementación de un conjunto completo de controles en toda la organización del proveedor.

Requisitos pertinentes

  • Debe existir una política para gestionar los riesgos.

  • Se debe aplicar la debida diligencia pertinente al elegir a terceros.

  • La política debe codificarse en los acuerdos con los proveedores.

  • Los proveedores deben gestionarse y auditarse de acuerdo con los requisitos acordados.

Cumplimiento de las directrices TPRM de la FFIEC

Así es como Prevalent puede ayudarle a cumplir las directrices de gestión de riesgos de terceros de la FFIEC:

Orientación Cómo ayuda Prevalent
Folleto sobre planificación de la continuidad del negocio Apéndice J: Fortalecimiento de la resiliencia de los servicios tecnológicos externalizados

Gestión de terceros

«Establecer una relación bien definida con los proveedores de servicios tecnológicos (TSP) es esencial para la resiliencia empresarial.El programa de gestión de terceros de una institución financiera debe centrarse en los riesgos y proporcionar una supervisión y unos controlesacordes con el nivel de riesgo que presenta el acuerdo de externalización. Para garantizar la resiliencia empresarial,el programa debe incluir las actividades externalizadas que son fundamentales para las operaciones continuadas de la institución financiera».

La plataforma Prevalent TPRM permite realizar evaluaciones basadas en controles internos (basadas en cuestionarios estándar del sector y/o cuestionarios personalizados). Esta selección permite a una organización ajustar los requisitos de la evaluación al nivel de riesgo que presenta la relación.

Además, la plataforma incluye capacidades de flujo de trabajo integradas que permiten a los evaluadores interactuar de manera eficiente con terceros durante los períodos de recopilación y revisión de la diligencia debida.

Gestión de terceros: diligencia debida

«Como parte de su diligencia debida,una institución financiera debe evaluar la eficacia del programa de continuidad del negocio de un TSP,haciendo especial hincapié en las capacidades y la capacidad de recuperación. Además,una institución debe comprender el proceso de diligencia debida que el TSP utiliza para sus subcontratistas y proveedores de servicios.Por otra parte, la institución financiera debe revisar el programa BCP del TSP y su alineación con el propio programa de la institución financiera, incluida una evaluación de la estrategia y los resultados de las pruebas del BCP del TSP para garantizar que cumplen los requisitos de la institución financiera y promueven la resiliencia».

 Los cuestionarios personalizados y basados en estándares de Prevalent se centran en la planificación de la continuidad del negocio, incluyendo el análisis de impacto, la evaluación de riesgos operativos y la gestión de la recuperación del negocio. El servicio de evaluación de Prevalent examina el riesgo que plantean tanto los proveedores de servicios tecnológicos como sus subcontratistas.

Gestión de terceros: contratos

«Derecho de auditoría: Los acuerdos deben prever el derecho de la institución financiera o sus representantes a auditar al TSP y/o a tener acceso a los informes de auditoría. Una institución financiera debe revisar los informes de auditoría disponibles que aborden las capacidades de resiliencia y las interdependencias de los TSP (por ejemplo, subcontratistas), las pruebas del BCP y los esfuerzos de remediación, y evaluar el impacto, si lo hubiera, en el BCP de la institución financiera».

 La plataforma Prevalent TPRM incluye informes eficaces para satisfacer los requisitos de auditoría y cumplimiento, así como para presentar los resultados al consejo de administración y a la alta dirección. El perfil de riesgo completo se puede consultar en la consola de informes centralizada en tiempo real, y los informes se pueden descargar y exportar para determinar el estado de cumplimiento. Las funciones avanzadas de generación de informes incluyen filtros y gráficos interactivos en los que se puede hacer clic. La solución incluye un repositorio completo de toda la documentación recopilada y revisada durante el proceso de diligencia debida.

Gestión de terceros: supervisión continua

«Una supervisión continua eficaz ayuda a la institución financiera a garantizar la resiliencia de los servicios tecnológicos externalizados.La institución financiera debe realizar evaluaciones periódicas y exhaustivas del entorno de control del proveedor de servicios tecnológicos,incluido el plan de continuidad del negocio, mediante la revisión de las actividades de prueba del plan de continuidad del negocio del proveedor de servicios, evaluaciones independientes y/o de terceros para evaluar el impacto potencial en la resiliencia del negocio de la institución financiera. La institución financiera debe asegurarse de que los resultados de dichas revisiones sean documentados y comunicados por el TSP al comité de supervisión de la dirección o al consejo de administración correspondiente, y que se utilicen para determinar cualquier cambio necesario en el BCP de la institución financiera y, si se justifica, en el contrato del proveedor de servicios».

 La plataforma Prevalent Third-Party Risk Management ofrece una solución completa para realizar evaluaciones, incluyendo cuestionarios; un entorno para incluir y gestionar pruebas documentadas en respuesta; flujos de trabajo para gestionar la revisión y abordar los resultados; y sólidos informes para proporcionar a cada nivel de gestión la información que necesita para revisar adecuadamente el rendimiento de terceros.

Ciberresiliencia

«Las amenazas cibernéticas seguirán poniendo a prueba la preparación para la continuidad del negocio.Las instituciones financieras y los proveedores de servicios tecnológicos deben mantenerse al tanto de las amenazas y los escenarios cibernéticos emergentes y considerar su posible impacto en la resiliencia operativa.Dado que el impacto de cada tipo de incidente cibernético variará, la preparación es clave para prevenir o mitigar los efectos de dicho incidente».

El servicio Prevalent Cyber & Business Monitoring proporciona supervisión instantánea y continua de los proveedores para notificar de forma inmediata los problemas de alto riesgo, establecer prioridades y ofrecer recomendaciones para su resolución. La supervisión de la seguridad de los datos y los riesgos empresariales le permite ir más allá del estado táctico de los proveedores y obtener una visión más estratégica del riesgo global de seguridad de la información de un proveedor.

Prevalent es única en el sentido de que ofrece un servicio de supervisión de riesgos empresariales que aprovecha los conocimientos de analistas humanos para interpretar los posibles riesgos operativos, de marca, normativos, legales y financieros.

Entre los ejemplos de información comercial recopilada durante el análisis se incluyen:

  • Actividad de fusiones y adquisiciones
  • Despidos
  • Demandas judiciales
  • Filtraciones de datos
  • Retiradas de productos
  • Quiebra
  • Operaciones de capital: deuda, capital social
Folleto sobre seguridad de la información

II.C.20 Supervisión de proveedores de servicios externos

«La dirección debeverificar que los proveedores de servicios externos implementen y mantengan controles suficientes para mitigar adecuadamente los riesgos.Los contratos de la institución deben cumplir lo siguiente:

Incluir normas mínimas de control y notificación
Establecer el derecho a exigir cambios en las normas a medida que cambian los entornos externos e internos
Especificar que la institución o un auditor independiente tiene acceso al proveedor de servicios para realizar evaluaciones del rendimiento del proveedor de servicios con respecto a las normas de seguridad de la información.

 El servicio Prevalent Assessment simplifica el cumplimiento normativo y reduce el riesgo mediante la recopilación y el análisis automatizados de encuestas a proveedores utilizando cuestionarios estándar del sector y personalizados. Los flujos de trabajo bidireccionales permiten una comunicación fluida con los proveedores de servicios tecnológicos para abordar los resultados y las medidas correctivas. Las sólidas funciones de generación de informes y auditoría completa agilizan la revisión adecuada del rendimiento. El acceso a las evaluaciones y auditorías completadas se puede delegar a los auditores a través de las funciones RBAC estándar de la plataforma.

Recursos adicionales

Blog

La PDPA y la gestión de riesgos de terceros

Blog

Lista de verificación del cumplimiento del RGPD para la gestión de riesgos de terceros

Blog

Lista de verificación de cumplimiento de la CCPA y la CPRA para la gestión de riesgos de terceros

Guía

Alinee su programa TPRM con la CCPA, el RGPD, la HIPAA y otras normativas.

Ver más recursos

SP 800-53 r5 Control de gestión de riesgos de la cadena de suministro (SR)

La siguiente tabla incluye un extracto del control de gestión de riesgos de la cadena de suministro SP 800-53 r5 y cómo la plataforma Prevalent aborda los requisitos. Para obtener una descripción completa, descargue laguía completa del NIST.

SP 800-53 r5 Control de gestión de riesgos de la cadena de suministro (SR) Cómo ayudamos
Política y procedimientos SR-1 Los servicios de diseño de programas prevalentesdefinen y documentan su programa de gestión de riesgos de terceros. Obtendrá un plan claro que tiene en cuenta sus necesidades específicas e incorpora las mejores prácticas para una gestión integral de los riesgos de terceros.
SR-2 Plan de gestión de riesgos de la cadena de suministro Los servicios de optimización de programas de Prevalentle ayudan a mejorar continuamente la implementación de la plataforma Prevalent, garantizando que su programa TPRM mantenga la flexibilidad y agilidad necesarias para satisfacer los requisitos empresariales y normativos en constante evolución.
SR-3 Controles y procesos de la cadena de suministro Los servicios de diseño de programas prevalentesdefinen y documentan su programa de gestión de riesgos de terceros. Obtendrá un plan claro que tiene en cuenta sus necesidades específicas e incorpora las mejores prácticas para una gestión integral de los riesgos de terceros.
Estrategias, herramientas y métodos de adquisición SR-5

Prevalent ayuda a los equipos de compras a reducir los costes, la complejidad y la exposición al riesgo durante la selección de proveedores. Nuestra soluciónRFx Essentialsproporciona distribución, comparación y gestión centralizadas de las solicitudes de propuestas y solicitudes de información. También le ayuda a adelantarse alos posibles riesgos de los proveedorescon puntuaciones demográficas, de cuartos y ESG, además de información opcional sobre riesgos empresariales, reputacionales y financieros. Como resultado, podrá dar un importante primer paso para abordar los riesgos en el ciclo de vida de los terceros.

Una vez completada la selección de proveedores, PrevalentContract Essentialscentraliza la distribución, discusión, retención y revisión de los contratos con los proveedores. También incluye capacidades de flujo de trabajo para automatizar el ciclo de vida del contrato, desde la incorporación hasta la salida. Con Contract Essentials, los equipos de compras y jurídicos disponen de una solución única para gestionar los contratos con los proveedores, simplificar la gestión y la revisión, y reducir los costes y los riesgos.
SR-6 Evaluaciones y revisiones de proveedores

La plataforma Prevalent incluye más de 600 plantillas estandarizadas para encuestasde evaluación de riesgos, entre las que se incluyen las de NIST, ISO y muchas otras, un asistente para la creación de encuestas personalizadas y un cuestionario que asigna las respuestas a cualquier normativa o marco de cumplimiento. Todas las evaluaciones se basan en los estándares del sector y abordan todos los temas relacionados con la seguridad de la información en lo que respecta a los controles de seguridad de los socios de la cadena de suministro y la resiliencia empresarial.

PrevalentVendor Threat Monitorrealiza un seguimiento y análisis continuos de las amenazas observables externamente para proveedores y otros terceros. El servicio complementa y valida los datos de control de seguridad comunicados por los proveedores desde la plataforma Prevalent mediante la supervisión de Internet y la web oscura en busca de ciberamenazas y vulnerabilidades, y correlaciona los resultados de la evaluación con la investigación sobre riesgos operativos, financieros, legales y de marca en un registro de riesgos unificado que permite la clasificación y respuesta centralizadas de los riesgos.
Acuerdos de notificación SR-8 Con la plataforma Prevalent, puede colaborar en documentos, acuerdos y certificaciones, como acuerdos de confidencialidad, acuerdos de nivel de servicio, declaraciones de trabajo y contratos, con control de versiones integrado, asignación de tareas y cadencia de revisión automática. También puede gestionar todos los documentos a lo largo del ciclo de vida del proveedor en perfiles de proveedor centralizados.
Inventario de proveedores SR-13

Prevalent ofrece uncuestionario de evaluación de riesgos inherentescon una puntuación clara basada en ocho criterios para capturar, rastrear y cuantificar los riesgos de todos los terceros. Los criterios de evaluación incluyen:

  • Tipo de contenido necesario para validar los controles
  • Importancia crítica para el rendimiento y las operaciones empresariales
  • Ubicación(es) y consideraciones legales o normativas relacionadas
  • Nivel de dependencia de terceros (para evitar el riesgo de concentración)
  • Exposición a procesos operativos o de atención al cliente
  • Interacción con datos protegidos
  • Situación financiera y salud
  • Reputación

Mediante la evaluación de riesgos inherentes, puede clasificar automáticamente a los proveedores, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones periódicas posteriores.

La lógica de clasificación basada en reglas permite categorizar a los proveedores en función de una serie de consideraciones relacionadas con la interacción de datos, las finanzas, la normativa y la reputación.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.