FFIEC y gestión de riesgos de terceros
ElConsejo Federal de Inspección de Instituciones Financieras (FFIEC)es un organismo interinstitucional facultado para establecer directrices y principios y normas uniformes para la inspección federal de las instituciones financieras. El FFIEC ha elaborado una serie de folletos sobre temas específicos de interés para los inspectores sobre el terreno, en los que se establecen principios y normas uniformes para las instituciones financieras.
La FFIEC ofrece un conjunto de manuales o folletos para uso de los inspectores de prácticas de TI de instituciones financieras. Los manuales abarcan muchos temas, entre ellos auditoría, planificación de la continuidad del negocio (BCP), seguridad de la información, externalización de servicios tecnológicos y otros.
Los folletos sobre TI de la FFIEC exigen una gestión y un seguimiento rigurosos de la planificación de la continuidad del negocio (BCP) y los riesgos de seguridad de TI de los proveedores externos. Elfolleto sobre continuidad del negocio de la FFIECincluye unapéndice Jque aborda la necesidad de reforzar la resiliencia de los servicios tecnológicos externalizados, y elfolleto sobre seguridad de la informaciónincluye una sección específica sobrela supervisión de los proveedores de servicios externos.
El objetivo del Manual de inspección de TI de la FFIEC es aumentar la concienciación sobre la ciberseguridad en el sector financiero y destacar la importancia derealizar evaluaciones precisasde la ciberseguridad, incluidas las de los proveedores de servicios tecnológicos. El cumplimiento de estas directrices requiere la implementación de un conjunto completo de controles en toda la organización del proveedor.
Orientación pertinente
- Debe existir una política para gestionar los riesgos.
- La política debe codificarse en los acuerdos con los proveedores.
- Se debe aplicar la debida diligencia pertinente al elegir a terceros.
- Los proveedores deben gestionarse y auditarse de acuerdo con los requisitos acordados.
Cumplimiento de las directrices TPRM de la FFIEC
Así es como Prevalent puede ayudarle a cumplir las directrices de gestión de riesgos de terceros de la FFIEC:
Orientación
Cómo ayuda Prevalent
Folleto sobre planificación de la continuidad del negocio Apéndice J: Fortalecimiento de la resiliencia de los servicios tecnológicos externalizados
Gestión de terceros
«Establecer una relación bien definida con los proveedores de servicios tecnológicos (TSP) es esencial para la resiliencia empresarial.El programa de gestión de terceros de una institución financiera debe centrarse en los riesgos y proporcionar una supervisión y unos controlesacordes con el nivel de riesgo que presenta el acuerdo de externalización. Para garantizar la resiliencia empresarial,el programa debe incluir las actividades externalizadas que son fundamentales para las operaciones continuadas de la institución financiera».
La plataforma Prevalent TPRM permite realizar evaluaciones basadas en controles internos (basadas en cuestionarios estándar del sector y/o cuestionarios personalizados). Esta selección permite a una organización ajustar los requisitos de la evaluación al nivel de riesgo que presenta la relación.
Además, la plataforma incluye capacidades de flujo de trabajo integradas que permiten a los evaluadores interactuar de manera eficiente con terceros durante los períodos de recopilación y revisión de la diligencia debida.
Gestión de terceros: diligencia debida
«Como parte de su diligencia debida,una institución financiera debe evaluar la eficacia del programa de continuidad del negocio de un TSP,haciendo especial hincapié en las capacidades y la capacidad de recuperación. Además,una institución debe comprender el proceso de diligencia debida que el TSP utiliza para sus subcontratistas y proveedores de servicios.Por otra parte, la institución financiera debe revisar el programa BCP del TSP y su alineación con el propio programa de la institución financiera, incluida una evaluación de la estrategia y los resultados de las pruebas del BCP del TSP para garantizar que cumplen los requisitos de la institución financiera y promueven la resiliencia».
Los cuestionarios personalizados y basados en estándares de Prevalent se centran en la planificación de la continuidad del negocio, incluyendo el análisis de impacto, la evaluación de riesgos operativos y la gestión de la recuperación del negocio. El servicio de evaluación de Prevalent examina el riesgo que plantean tanto los proveedores de servicios tecnológicos como sus subcontratistas.
Gestión de terceros: contratos
«Derecho de auditoría: Los acuerdos deben prever el derecho de la institución financiera o sus representantes a auditar al TSP y/o a tener acceso a los informes de auditoría. Una institución financiera debe revisar los informes de auditoría disponibles que aborden las capacidades de resiliencia y las interdependencias de los TSP (por ejemplo, subcontratistas), las pruebas del BCP y los esfuerzos de remediación, y evaluar el impacto, si lo hubiera, en el BCP de la institución financiera».
La plataforma Prevalent TPRM incluye informes eficaces para satisfacer los requisitos de auditoría y cumplimiento, así como para presentar los resultados al consejo de administración y a la alta dirección. El perfil de riesgo completo se puede consultar en la consola de informes centralizada en tiempo real, y los informes se pueden descargar y exportar para determinar el estado de cumplimiento. Las funciones avanzadas de generación de informes incluyen filtros y gráficos interactivos en los que se puede hacer clic. La solución incluye un repositorio completo de toda la documentación recopilada y revisada durante el proceso de diligencia debida.
Gestión de terceros: supervisión continua
«Una supervisión continua eficaz ayuda a la institución financiera a garantizar la resiliencia de los servicios tecnológicos externalizados.La institución financiera debe realizar evaluaciones periódicas y exhaustivas del entorno de control del proveedor de servicios tecnológicos,incluido el plan de continuidad del negocio, mediante la revisión de las actividades de prueba del plan de continuidad del negocio del proveedor de servicios, evaluaciones independientes y/o de terceros para evaluar el impacto potencial en la resiliencia del negocio de la institución financiera. La institución financiera debe asegurarse de que los resultados de dichas revisiones sean documentados y comunicados por el TSP al comité de supervisión de la dirección o al consejo de administración correspondiente, y que se utilicen para determinar cualquier cambio necesario en el BCP de la institución financiera y, si se justifica, en el contrato del proveedor de servicios».
La plataforma Prevalent Third-Party Risk Management ofrece una solución completa para realizar evaluaciones, incluyendo cuestionarios; un entorno para incluir y gestionar pruebas documentadas en respuesta; flujos de trabajo para gestionar la revisión y abordar los resultados; y sólidos informes para proporcionar a cada nivel de gestión la información que necesita para revisar adecuadamente el rendimiento de terceros.
Ciberresiliencia
«Las amenazas cibernéticas seguirán poniendo a prueba la preparación para la continuidad del negocio.Las instituciones financieras y los proveedores de servicios tecnológicos deben mantenerse al tanto de las amenazas y los escenarios cibernéticos emergentes y considerar su posible impacto en la resiliencia operativa.Dado que el impacto de cada tipo de incidente cibernético variará, la preparación es clave para prevenir o mitigar los efectos de dicho incidente».
El servicio Prevalent Cyber & Business Monitoring proporciona supervisión instantánea y continua de los proveedores para notificar de forma inmediata los problemas de alto riesgo, establecer prioridades y ofrecer recomendaciones para su resolución. La supervisión de la seguridad de los datos y los riesgos empresariales le permite ir más allá del estado táctico de los proveedores y obtener una visión más estratégica del riesgo global de seguridad de la información de un proveedor.
Prevalent es única en el sentido de que ofrece un servicio de supervisión de riesgos empresariales que aprovecha los conocimientos de analistas humanos para interpretar los posibles riesgos operativos, de marca, normativos, legales y financieros.
Entre los ejemplos de información comercial recopilada durante el análisis se incluyen:
- Actividad de fusiones y adquisiciones
- Despidos
- Demandas judiciales
- Filtraciones de datos
- Retiradas de productos
- Quiebra
- Operaciones de capital: deuda, capital social
Folleto sobre seguridad de la información
II.C.20 Supervisión de proveedores de servicios externos
«La dirección debeverificar que los proveedores de servicios externos implementen y mantengan controles suficientes para mitigar adecuadamente los riesgos.Los contratos de la institución deben cumplir lo siguiente:
Incluir normas mínimas de control y notificación
Establecer el derecho a exigir cambios en las normas a medida que cambian los entornos externos e internos
Especificar que la institución o un auditor independiente tiene acceso al proveedor de servicios para realizar evaluaciones del rendimiento del proveedor de servicios con respecto a las normas de seguridad de la información.
El servicio Prevalent Assessment simplifica el cumplimiento normativo y reduce el riesgo mediante la recopilación y el análisis automatizados de encuestas a proveedores utilizando cuestionarios estándar del sector y personalizados. Los flujos de trabajo bidireccionales permiten una comunicación fluida con los proveedores de servicios tecnológicos para abordar los resultados y las medidas correctivas. Las sólidas funciones de generación de informes y auditoría completa agilizan la revisión adecuada del rendimiento. El acceso a las evaluaciones y auditorías completadas se puede delegar a los auditores a través de las funciones RBAC estándar de la plataforma.
