Cumplimiento de la directriz B-13 de la OSFI de Canadá

Directriz B-13 y resiliencia empresarial de terceros

La OSFI B-13 es una directriz emitida por la Oficina del Superintendente de Instituciones Financieras (OSFI) de Canadá que describe los requisitos de gestión de riesgos para desarrollar una mayor resiliencia ante los riesgos tecnológicos y cibernéticos, incluidos los publicados por terceros.

Publicada originalmente en julio de 2022,la Directriz B-13se organiza en tres ámbitos, cada uno de los cuales tiene un resultado deseado que contribuye a la resiliencia frente a los riesgos tecnológicos y cibernéticos. Los resultados se basan en 17 principios que, a su vez, se apoyan en directrices individuales.

En lo que respecta ala gestión de riesgos de terceros, la Directriz B-13 hace hincapié en la necesidad de que las instituciones financieras implementen estrategias integrales para gestionar los riesgos asociados con la subcontratación y las relaciones con terceros.

Requisitos pertinentes

Los riesgos tecnológicos y cibernéticos se gestionan mediante responsabilidades y estructuras claras, así como estrategias y marcos integrales.
Una postura tecnológica segura que mantiene la confidencialidad, integridad y disponibilidad de los activos tecnológicos de la FRFI.
Un entorno tecnológico estable, escalable y resistente. El entorno se mantiene actualizado y respaldado por procesos operativos y de recuperación tecnológicos robustos y sostenibles.

Cumplimiento de la Directriz B-13 de la OSFI

La directriz B-13 presenta 17 principios para que las FRFI estructuren sus programas de gestión de riesgos. Estos principios tienen por objeto contribuir a la resiliencia operativa de las FRFI. La tabla resumen que figura a continuación relaciona las capacidades de las plataformas de gestión de riesgos de terceros más habituales con los principios más relevantes.

NOTA: Esta tabla no debe considerarse una guía exhaustiva y definitiva. Consulte a su auditor para obtener una lista completa de los requisitos y consulte laguía completa de la OSFI.

Principios	Mejores prácticas de TPRM
Dominio: Gobernanza y gestión de riesgos Este ámbito establece las expectativas de la OSFI en materia de responsabilidad formal, liderazgo, estructura organizativa y marco utilizado para respaldar la gestión de riesgos y la supervisión de la tecnología y la ciberseguridad. Resultado:Los riesgos tecnológicos y cibernéticos se gestionan mediante responsabilidades y estructuras claras, así como estrategias y marcos integrales.
Principio 1: La alta dirección debe asignar la responsabilidad de gestionar los riesgos tecnológicos y cibernéticos a los altos cargos. También debe garantizar que se disponga de una estructura organizativa adecuada y de los recursos necesarios para gestionar los riesgos tecnológicos y cibernéticos en toda la FRFI. Principio 2:Las FRFI deben definir, documentar, aprobar e implementar uno o varios planes estratégicos tecnológicos y cibernéticos. Los planes deben estar alineados con la estrategia empresarial y establecer metas y objetivos que sean medibles y evolucionen con los cambios en el entorno tecnológico y cibernético de la FRFI.	Prevalente expertos collaborate with your team on defining and implementing TPRM processes and solutions in the context of your overall risk management approach; selecting risk assessment questionnaires and frameworks; and optimizing your program to address the entire third-party risk lifecycle – from sourcing and due diligence to termination and offboarding. Como parte de este proceso, Prevalent le ayuda a definir: Funciones y responsabilidades claras (por ejemplo, RACI). Inventarios de terceros. Puntuación de riesgos y umbrales basados en la tolerancia al riesgo de su organización. Metodologías de evaluación y supervisión basadas en la criticidad de terceros. Mapeo de cuartos para comprender el riesgo en su ecosistema de proveedores ampliado. Fuentes de datos de supervisión continua (cibernética, empresarial, reputacional, financiera). Indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI). Políticas, normas, sistemas y procesos de gobierno para proteger los datos. Requisitos de cumplimiento y presentación de informes contractuales en relación con los niveles de servicio. Requisitos de respuesta ante incidentes. Informes sobre riesgos y partes interesadas internas. Estrategias de mitigación y remediación de riesgos.
Principio 3:Las FRFI deben establecer un marco de gestión de riesgos tecnológicos y cibernéticos (RMF). El marco debe establecer una tolerancia al riesgo para los riesgos tecnológicos y cibernéticos y definir los procesos y requisitos de las FRFI para identificar, evaluar, gestionar, supervisar y comunicar los riesgos tecnológicos y cibernéticos.	La plataforma Prevalent TPRM cuenta con unaamplia biblioteca de evaluaciones de riesgos específicas para cada marco, como ISO, NIST u otros. Aproveche las evaluaciones de riesgos específicas para cada marco y ya predefinidas para simplificar la asignación de controles y la generación de informes. El marco elegido debe ajustarse a los requisitos de gestión de riesgos a nivel empresarial.
Dominio: Operaciones tecnológicas y resiliencia Este ámbito establece las expectativas de la OSFI en materia de «gestión y supervisión de los riesgos relacionados con el diseño, la implementación, la gestión y la recuperación de los activos y servicios tecnológicos». Resultado:Un entorno tecnológico estable, escalable y resistente. El entorno se mantiene actualizado y respaldado por procesos operativos y de recuperación tecnológicos robustos y sostenibles.
Principio 7:Las FRFI deben implementar un marco de ciclo de vida de desarrollo de sistemas (SDLC) para el desarrollo, la adquisición y el mantenimiento seguros de sistemas tecnológicos que funcionen según lo previsto en apoyo de los objetivos empresariales.	Como parte del proceso de diligencia debida, Prevalent puede ayudar a su equipo a analizarlas listas de materiales de software (SBOM)de productos de software de terceros. Esto le ayudará a identificar cualquier posible vulnerabilidad o problema de licencia que pueda afectar a la seguridad y el cumplimiento normativo de su organización.
Principio 10:Las FRFI deben detectar, registrar, gestionar, resolver, supervisar y notificar de manera eficaz los incidentes tecnológicos y minimizar sus repercusiones.	Prevalent continuously track and analyze amenazas externas a terceros. As part of this, Prevalent monitors the Internet and dark web for cyber threats and vulnerabilities, as well as public and private sources of reputational, sanctions and financial information. Las fuentes de supervisión incluyen: Foros criminales; páginas onion; foros de acceso especial a la web oscura; fuentes de amenazas; y sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades. Bases de datos que contienen varios años de historial de violaciones de datos de miles de empresas de todo el mundo. Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes, las medidas correctivas y las iniciativas de respuesta. Una vez que todos los datos de evaluación y supervisión se correlacionan en un registro central de riesgos, Prevalent aplica una puntuación y priorización de riesgos según un modelo de probabilidad e impacto. Este modelo debe enmarcar los riesgos en una matriz, de modo que se puedan ver fácilmente los riesgos de mayor impacto y se puedan priorizar las medidas correctivas para ellos. Por último, con Prevalent puede asignar propietarios y realizar un seguimiento de los riesgos y las soluciones hasta alcanzar un nivel aceptable para la empresa.
Principio 11:Las FRFI deben desarrollar normas y procesos de servicio y capacidad para supervisar la gestión operativa de la tecnología, garantizando que se satisfagan las necesidades empresariales.	Con Prevalent, puede evaluar continuamente la eficacia de su programa TPRM en función de las necesidades y prioridades cambiantes de la empresa, midiendolos indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI)de los proveedores externos a lo largo del ciclo de vida de la relación.
Dominio: Ciberseguridad Este ámbito establece las expectativas de la OSFI en materia de «gestión y supervisión del riesgo cibernético». Resultado:Una postura tecnológica segura que mantiene la confidencialidad, integridad y disponibilidad de los activos tecnológicos de la FRFI.
Principio 14:Las FRFI deben mantener una serie de prácticas, capacidades, procesos y herramientas para identificar y evaluar la ciberseguridad en busca de debilidades que puedan ser explotadas por agentes externos e internos que representen una amenaza.	La plataforma TPRM Prevalent cuenta con una amplia biblioteca de plantillas prediseñadas para evaluaciones de riesgos de tercerosLas evaluaciones deben realizarse en el momento de la incorporación del proveedor, la renovación del contrato o con la frecuencia necesaria (por ejemplo, trimestral o anualmente), en función de los cambios significativos que se produzcan en la relación. Assessments should be managed centrally and be backed by workflow, task management and automated evidence review capabilities to ensure that your team has visibility into third-party risks throughout the relationship lifecycle.Importantly, Prevalent includes built-in remediation recommendations based on risk assessment results to ensure that your third parties address risks in a timely and satisfactory manner and can provide the appropriate evidence to auditors. Como parte de este proceso, Prevalent realiza un seguimiento y análisis continuos delas amenazas externas a terceros. Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, lo que agiliza las iniciativas de revisión, notificación, corrección y respuesta ante riesgos.
Principio 17:Las FRFI deben responder, contener, recuperarse y aprender de los incidentes de ciberseguridad que afecten a sus activos tecnológicos, incluidos los incidentes originados en proveedores externos.	Como parte de su visión más amplia estrategia de gestión de incidentes, Prevalent ensures that your third-party incident response program enables your team to rapidly identify, respond to, report on, and mitigate the impact of incidentes de seguridad de proveedores externos. Las capacidades clave de un servicio de respuesta a incidentes de terceros incluyen: Cuestionarios de gestión de eventos e incidentes continuamente actualizados y personalizables. Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario. Se definieron los responsables del riesgo con recordatorios automáticos para mantener las encuestas dentro del calendario previsto. Informes proactivos de proveedores. Vistas consolidadas de las calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor. Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos según su impacto potencial en el negocio. Plantillas de informes integradas para partes interesadas internas y externas. Orientación a partir de recomendaciones de remediación integradas para reducir el riesgo. Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceros, cuartos o enésimos para visualizar las rutas de información y revelar los datos en riesgo. Además, Prevalent aprovecha bases de datos que contienen varios años de historial de violaciones de datos de miles de empresas de todo el mundo, incluyendo tipos y cantidades de datos robados, cuestiones de cumplimiento normativo y regulatorio, y notificaciones en tiempo real de violaciones de datos de proveedores. Con esta información, su equipo podrá comprender mejor el alcance y el impacto del incidente, qué datos se vieron afectados, si las operaciones de terceros se vieron afectadas y cuándo se completaron las medidas correctivas, todo ello gracias a la ayuda de los expertos de Prevalent.