Cumplimiento de la directriz B-13 de la OSFI de Canadá

Contactar con un experto

Volver a todos los casos de uso

Directriz B-13 y resiliencia empresarial de terceros

La OSFI B-13 es una directriz emitida por la Oficina del Superintendente de Instituciones Financieras (OSFI) de Canadá que describe los requisitos de gestión de riesgos para desarrollar una mayor resiliencia ante los riesgos tecnológicos y cibernéticos, incluidos los publicados por terceros.

Publicada originalmente en julio de 2022,la Directriz B-13se organiza en tres ámbitos, cada uno de los cuales tiene un resultado deseado que contribuye a la resiliencia frente a los riesgos tecnológicos y cibernéticos. Los resultados se basan en 17 principios que, a su vez, se apoyan en directrices individuales.

En lo que respecta ala gestión de riesgos de terceros, la Directriz B-13 hace hincapié en la necesidad de que las instituciones financieras implementen estrategias integrales para gestionar los riesgos asociados con la subcontratación y las relaciones con terceros.

Requisitos pertinentes

  • Los riesgos tecnológicos y cibernéticos se gestionan mediante responsabilidades y estructuras claras, así como estrategias y marcos integrales.

  • Una postura tecnológica segura que mantiene la confidencialidad, integridad y disponibilidad de los activos tecnológicos de la FRFI.

  • Un entorno tecnológico estable, escalable y resistente. El entorno se mantiene actualizado y respaldado por procesos operativos y de recuperación tecnológicos robustos y sostenibles.

Cumplimiento de la Directriz B-13 de la OSFI

La directriz B-13 presenta 17 principios para que las FRFI estructuren sus programas de gestión de riesgos. Estos principios tienen por objeto contribuir a la resiliencia operativa de las FRFI. La tabla resumen que figura a continuación relaciona las capacidades de las plataformas de gestión de riesgos de terceros más habituales con los principios más relevantes.

NOTA: Esta tabla no debe considerarse una guía exhaustiva y definitiva. Consulte a su auditor para obtener una lista completa de los requisitos y consulte laguía completa de la OSFI.

Principios Mejores prácticas de TPRM

Ámbito:Gobernanza y gestión de riesgos

Este ámbito establece las expectativas de la OSFI en materia de responsabilidad formal, liderazgo, estructura organizativa y marco utilizado para respaldar la gestión de riesgos y la supervisión de la tecnología y la ciberseguridad.

Resultado:Los riesgos tecnológicos y cibernéticos se gestionan mediante responsabilidades y estructuras claras, así como estrategias y marcos integrales.

Principio 1:La alta dirección debe asignar la responsabilidad de gestionar los riesgos tecnológicos y cibernéticos a los altos cargos. También debe garantizar que se disponga de una estructura organizativa adecuada y de los recursos necesarios para gestionar los riesgos tecnológicos y cibernéticos en toda la FRFI.

Principio 2:Las FRFI deben definir, documentar, aprobar e implementar uno o varios planes estratégicos tecnológicos y cibernéticos. Los planes deben estar alineados con la estrategia empresarial y establecer metas y objetivos que sean medibles y evolucionen con los cambios en el entorno tecnológico y cibernético de la FRFI.

Los expertosde Prevalent colaboran con su equipo en la definición e implementación de procesos y soluciones de TPRM en el contexto de su enfoque general de gestión de riesgos; en la selección de cuestionarios y marcos de evaluación de riesgos; y en la optimización de su programa para abordar todo el ciclo de vida del riesgo de terceros, desde la contratación y la diligencia debida hasta la rescisión y la salida.

Como parte de este proceso, Prevalent le ayuda a definir:

  • Funciones y responsabilidades claras (por ejemplo, RACI).
  • Inventarios de terceros.
  • Puntuación de riesgos y umbrales basados en la tolerancia al riesgo de su organización.
  • Metodologías de evaluación y supervisión basadas en la criticidad de terceros.
  • Mapeo de cuartos para comprender el riesgo en su ecosistema de proveedores ampliado.
  • Fuentes de datos de supervisión continua (cibernética, empresarial, reputacional, financiera).
  • Indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI).
  • Políticas, normas, sistemas y procesos de gobierno para proteger los datos.
  • Requisitos de cumplimiento y presentación de informes contractuales en relación con los niveles de servicio.
  • Requisitos de respuesta ante incidentes.
  • Informes sobre riesgos y partes interesadas internas.
  • Estrategias de mitigación y remediación de riesgos.
Principio 3:Las FRFI deben establecer un marco de gestión de riesgos tecnológicos y cibernéticos (RMF). El marco debe establecer una tolerancia al riesgo para los riesgos tecnológicos y cibernéticos y definir los procesos y requisitos de las FRFI para identificar, evaluar, gestionar, supervisar y comunicar los riesgos tecnológicos y cibernéticos. La plataforma Prevalent TPRM cuenta con unaamplia biblioteca de evaluaciones de riesgos específicas para cada marco, como ISO, NIST u otros. Aproveche las evaluaciones de riesgos específicas para cada marco y ya predefinidas para simplificar la asignación de controles y la generación de informes. El marco elegido debe ajustarse a los requisitos de gestión de riesgos a nivel empresarial.

Ámbito:Operaciones tecnológicas y resiliencia

Este ámbito establece las expectativas de la OSFI en materia de «gestión y supervisión de los riesgos relacionados con el diseño, la implementación, la gestión y la recuperación de los activos y servicios tecnológicos».

Resultado:Un entorno tecnológico estable, escalable y resistente. El entorno se mantiene actualizado y respaldado por procesos operativos y de recuperación tecnológicos robustos y sostenibles.
Principio 7:Las FRFI deben implementar un marco de ciclo de vida de desarrollo de sistemas (SDLC) para el desarrollo, la adquisición y el mantenimiento seguros de sistemas tecnológicos que funcionen según lo previsto en apoyo de los objetivos empresariales. Como parte del proceso de diligencia debida, Prevalent puede ayudar a su equipo a analizarlas listas de materiales de software (SBOM)de productos de software de terceros. Esto le ayudará a identificar cualquier posible vulnerabilidad o problema de licencia que pueda afectar a la seguridad y el cumplimiento normativo de su organización.
Principio 10:Las FRFI deben detectar, registrar, gestionar, resolver, supervisar y notificar de manera eficaz los incidentes tecnológicos y minimizar sus repercusiones.

Prevalent realiza un seguimiento y análisis continuos delas amenazas externas a terceros. Como parte de ello, Prevalent supervisa Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Las fuentes de supervisión incluyen:

  • Foros criminales; páginas onion; foros de acceso especial a la web oscura; fuentes de amenazas; y sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
  • Bases de datos que contienen varios años de historial de violaciones de datos de miles de empresas de todo el mundo.

Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes, las medidas correctivas y las iniciativas de respuesta.

Una vez que todos los datos de evaluación y supervisión se correlacionan en un registro central de riesgos, Prevalent aplica una puntuación y priorización de riesgos según un modelo de probabilidad e impacto. Este modelo debe enmarcar los riesgos en una matriz, de modo que se puedan ver fácilmente los riesgos de mayor impacto y se puedan priorizar las medidas correctivas para ellos.

Por último, con Prevalent puede asignar propietarios y realizar un seguimiento de los riesgos y las soluciones hasta alcanzar un nivel aceptable para la empresa.
Principio 11:Las FRFI deben desarrollar normas y procesos de servicio y capacidad para supervisar la gestión operativa de la tecnología, garantizando que se satisfagan las necesidades empresariales. Con Prevalent, puede evaluar continuamente la eficacia de su programa TPRM en función de las necesidades y prioridades cambiantes de la empresa, midiendolos indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI)de los proveedores externos a lo largo del ciclo de vida de la relación.

Ámbito:Ciberseguridad

Este ámbito establece las expectativas de la OSFI en materia de «gestión y supervisión del riesgo cibernético».

Resultado:Una postura tecnológica segura que mantiene la confidencialidad, integridad y disponibilidad de los activos tecnológicos de la FRFI.
Principio 14:Las FRFI deben mantener una serie de prácticas, capacidades, procesos y herramientas para identificar y evaluar la ciberseguridad en busca de debilidades que puedan ser explotadas por agentes externos e internos que representen una amenaza. La plataforma TPRM Prevalent cuenta con una amplia biblioteca de plantillas prediseñadas para evaluaciones de riesgos de tercerosLas evaluaciones deben realizarse en el momento de la incorporación del proveedor, la renovación del contrato o con la frecuencia necesaria (por ejemplo, trimestral o anualmente), en función de los cambios significativos que se produzcan en la relación.
Las evaluaciones deben gestionarse de forma centralizada y estar respaldadas por funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas para garantizar que su equipo tenga visibilidad de los riesgos de terceros a lo largo de todo el ciclo de vida de la relación.

Es importante destacar que Prevalent incluye recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que sus terceros aborden los riesgos de manera oportuna y satisfactoria y puedan proporcionar las pruebas adecuadas a los auditores.

Como parte de este proceso, Prevalent realiza un seguimiento y análisis continuos delas amenazas externas a terceros. Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, lo que agiliza las iniciativas de revisión, notificación, corrección y respuesta ante riesgos.
Principio 17:Las FRFI deben responder, contener, recuperarse y aprender de los incidentes de ciberseguridad que afecten a sus activos tecnológicos, incluidos los incidentes originados en proveedores externos.

Como parte de suestrategia generalde gestión de incidentes, Prevalent garantiza que su programa de respuesta a incidentes de terceros permita a su equipo identificar, responder, informar y mitigar rápidamente el impacto delos incidentes de seguridad de proveedores externos.

Las capacidades clave de un servicio de respuesta a incidentes de terceros incluyen:

  • Cuestionarios de gestión de eventos e incidentes continuamente actualizados y personalizables.
  • Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario.
  • Se definieron los responsables del riesgo con recordatorios automáticos para mantener las encuestas dentro del calendario previsto.
  • Informes proactivos de proveedores.
  • Vistas consolidadas de las calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor.
  • Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos según su impacto potencial en el negocio.
  • Plantillas de informes integradas para partes interesadas internas y externas.
  • Orientación a partir de recomendaciones de remediación integradas para reducir el riesgo.
  • Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceros, cuartos o enésimos para visualizar las rutas de información y revelar los datos en riesgo.

Además, Prevalent aprovecha bases de datos que contienen varios años de historial de violaciones de datos de miles de empresas de todo el mundo, incluyendo tipos y cantidades de datos robados, cuestiones de cumplimiento normativo y regulatorio, y notificaciones en tiempo real de violaciones de datos de proveedores.

Con esta información, su equipo podrá comprender mejor el alcance y el impacto del incidente, qué datos se vieron afectados, si las operaciones de terceros se vieron afectadas y cuándo se completaron las medidas correctivas, todo ello gracias a la ayuda de los expertos de Prevalent.

Recursos adicionales

Blog

La PDPA y la gestión de riesgos de terceros

Blog

Lista de verificación del cumplimiento del RGPD para la gestión de riesgos de terceros

Blog

Lista de verificación de cumplimiento de la CCPA y la CPRA para la gestión de riesgos de terceros

Guía

Alinee su programa TPRM con la CCPA, el RGPD, la HIPAA y otras normativas.

Ver más recursos

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.