Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Por qué la administración de riesgos TIC es ahora una prioridad para el consejo directivo de los bancos del Reino Unido

Por qué la administración de riesgos TIC es ahora una prioridad para el consejo directivo de los bancos del Reino Unido

by Danielle Barbour updated abril 10, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 10 minutes

Los bancos del Reino Unido operan en un entorno donde las fallas en tecnologías de la información y comunicaciones, los ciberataques y la dependencia de terceros pueden desencadenar interrupciones sistémicas, escrutinio regulatorio y daños reputacionales en cuestión de horas. La gestión de riesgos TIC ha evolucionado de ser una función técnica supervisada por equipos de TI a una responsabilidad de gobernanza a nivel de junta directiva que afecta directamente la toma de decisiones estratégicas, el cumplimiento de datos y la resiliencia institucional.

Este cambio refleja las expectativas regulatorias de que las juntas deben comprender, cuestionar y supervisar cómo los riesgos tecnológicos se propagan en toda la institución, especialmente cuando los servicios críticos dependen de proveedores de nube, desarrolladores de software y operadores de infraestructura de pagos. Ahora, los directores necesitan visibilidad sobre las capacidades de recuperación, los controles de protección de datos y la preparación para la respuesta a incidentes, con el mismo rigor que se aplica al riesgo crediticio o la suficiencia de capital.

Este artículo explica por qué la gestión de riesgos TIC exige atención a nivel de junta directiva en la banca del Reino Unido, qué factores regulatorios y operativos impulsan esta prioridad y cómo las instituciones financieras pueden operacionalizar estructuras de gobernanza que traduzcan los riesgos técnicos en supervisión estratégica.

Resumen Ejecutivo

La participación de la junta directiva en la gestión de riesgos TIC es ahora un requisito regulatorio y una necesidad operativa para los bancos del Reino Unido. Los directores deben comprender cómo las dependencias tecnológicas afectan funciones críticas, cuestionar a la dirección sobre resiliencia cibernética y controles de terceros, y asegurar que las capacidades del plan de respuesta a incidentes estén alineadas con los objetivos de tiempo de recuperación. Este cambio en la gobernanza refleja las expectativas regulatorias de liderazgo sénior responsable, el impacto sistémico de las fallas tecnológicas y el riesgo de concentración inherente a la dependencia de un pequeño número de proveedores de servicios críticos. Una supervisión efectiva de la junta requiere informes estructurados sobre el apetito de riesgo TIC, resultados de pruebas de recuperación, aseguramiento de terceros y protección de datos sensibles, respaldados por experiencia técnica y métricas operativas que permitan un cuestionamiento informado y la toma de decisiones estratégicas.

Puntos Clave

  1. Responsabilidad a Nivel de Junta Directiva Esencial. Las juntas de los bancos del Reino Unido deben asumir responsabilidad directa sobre la gobernanza de riesgos TIC, comprendiendo las dependencias tecnológicas y asegurando el cumplimiento regulatorio mediante supervisión estratégica.
  2. Impacto Sistémico de las Fallas Tecnológicas. Las interrupciones tecnológicas en la banca pueden desencadenar efectos en cascada, afectando operaciones críticas como pagos y seguridad de datos, lo que exige que las juntas prioricen la resiliencia cibernética y las capacidades de recuperación.
  3. Riesgos de Concentración de Terceros. La dependencia de pocos proveedores clave para servicios en la nube y de pagos introduce riesgos sistémicos, lo que requiere que la junta supervise la diversificación, la debida diligencia y los controles de protección de datos.
  4. Protección de Datos como Prioridad. Las juntas deben garantizar cifrado robusto y controles de acceso para datos sensibles en todos los entornos internos y de terceros, respaldados por registros de auditoría inviolables para defensa regulatoria.

Expectativas Regulatorias sobre la Responsabilidad de la Junta en Riesgos TIC

Los reguladores financieros del Reino Unido ahora exigen que las juntas demuestren responsabilidad directa sobre la gobernanza de riesgos TIC, yendo más allá de la delegación a comités de TI o de riesgos. Esta expectativa surge del reconocimiento de que la tecnología sustenta todas las funciones bancarias críticas, desde el procesamiento de pagos y autenticación de clientes hasta la gestión de liquidez y los reportes regulatorios.

Los directores deben comprender las dependencias de la institución en plataformas tecnológicas específicas, servicios en la nube y proveedores externos, y evaluar si esas dependencias introducen riesgos de concentración, fragilidad operativa o vulnerabilidades en la protección de datos. Los marcos regulatorios establecen que las juntas deben definir el apetito de riesgo TIC, aprobar los planes de continuidad de negocio y recuperación ante desastres, y recibir informes periódicos sobre incidentes cibernéticos, gestión de vulnerabilidades y resultados de pruebas de recuperación.

Esta responsabilidad no puede ser externalizada. Los reguladores esperan que los directores cuestionen a la dirección sobre la viabilidad de los objetivos de tiempo de recuperación, la suficiencia de los sistemas de respaldo y la integridad de las evaluaciones de administración de riesgos de terceros (TPRM). Cuando ocurren fallas TIC, las juntas deben demostrar que ejercieron la debida diligencia, hicieron preguntas informadas y aseguraron que los controles fueran proporcionales a los riesgos identificados.

Qué Deben Supervisar las Juntas en la Gobernanza de Riesgos TIC

Una supervisión efectiva de la junta requiere informes estructurados sobre varios dominios operativos. Las juntas necesitan visibilidad sobre cómo la institución clasifica las funciones críticas, qué sistemas tecnológicos y servicios de terceros respaldan esas funciones y qué capacidades de recuperación existen si esos sistemas fallan.

Los directores deben recibir informes sobre la frecuencia y gravedad de los incidentes cibernéticos, la efectividad de las capacidades de detección y respuesta, y si los planes de respuesta a incidentes se prueban en escenarios realistas. Las juntas deben comprender la exposición de la institución a ataques de ransomware, ataques DDoS y compromisos en la cadena de suministro, y evaluar si los controles de seguridad disminuyen la probabilidad e impacto de esas amenazas.

La administración de riesgos de terceros requiere atención de la junta porque externalizar funciones críticas no transfiere la responsabilidad regulatoria. Los directores deben cuestionar si la institución mantiene suficiente diligencia sobre proveedores de nube, procesadores de pagos y desarrolladores de plataformas bancarias principales, incluyendo derechos de auditoría, estrategias de salida y cláusulas contractuales para la protección de datos y notificación de incidentes.

Impacto Sistémico de las Fallas Tecnológicas en las Operaciones Bancarias

Las fallas tecnológicas en la banca no permanecen como incidentes aislados. Una interrupción en el procesamiento de pagos afecta el acceso de los clientes a fondos, la gestión de liquidez y la compensación interbancaria. Una filtración de datos compromete la privacidad del cliente, desencadena investigaciones regulatorias y daña la reputación institucional. Un ataque de ransomware puede paralizar sistemas críticos, retrasar reportes regulatorios y forzar la dependencia de procesos manuales que introducen errores operativos.

La naturaleza sistémica de estas fallas significa que las juntas no pueden tratar el riesgo TIC como un asunto técnico limitado. Cuando un proveedor de servicios en la nube experimenta una caída, varios bancos que dependen de ese proveedor pueden perder acceso a aplicaciones de cara al cliente simultáneamente. Cuando se divulga una vulnerabilidad de software en plataformas ampliamente implementadas, las instituciones deben evaluar su exposición, priorizar la aplicación de parches y probar si las mitigaciones introducen nuevos riesgos.

Las juntas necesitan comprender qué tan rápido la institución puede detectar anomalías, aislar sistemas comprometidos y restaurar funciones críticas. El tiempo medio de detección y el tiempo medio de remediación son métricas operativas que revelan si las operaciones de seguridad pueden identificar amenazas antes de que escalen y si los equipos de respuesta a incidentes pueden ejecutar los planes de recuperación bajo presión.

Riesgo de Concentración por Dependencias de Terceros y Nube

Los bancos del Reino Unido dependen cada vez más de un pequeño número de proveedores de nube, operadores de infraestructura de pagos y desarrolladores de software para ofrecer funciones críticas. Esta concentración introduce riesgo sistémico porque una falla en un solo proveedor puede interrumpir múltiples instituciones simultáneamente, saturando los recursos de respuesta a incidentes y complicando la coordinación con los reguladores.

Las juntas deben evaluar si las dependencias de terceros de la institución están diversificadas, si existen proveedores alternativos o sistemas de respaldo que puedan mantener funciones críticas y si los acuerdos contractuales proporcionan derechos de auditoría, mecanismos de salida y garantías de nivel de servicio. La debida diligencia sobre terceros incluye evaluar su propia gestión de riesgos TIC, resiliencia cibernética y controles de protección de datos.

El riesgo de concentración también afecta la protección de datos. Cuando datos sensibles de clientes, registros de transacciones o reportes regulatorios son procesados o almacenados por terceros, las juntas deben asegurar que los controles orientados a los datos apliquen las mejores prácticas de cifrado, restricciones de acceso y registros de auditoría en todos los entornos. Si un tercero sufre una filtración de datos, la institución sigue siendo responsable ante reguladores y clientes.

Resiliencia Cibernética y Capacidades de Recuperación Bajo la Supervisión de la Junta

La resiliencia cibernética abarca la capacidad de la institución para prevenir, detectar, responder y recuperarse de incidentes cibernéticos. Las juntas deben supervisar si la postura de resiliencia de la institución está alineada con su apetito de riesgo, si las capacidades de recuperación se prueban en escenarios realistas y si las lecciones de las pruebas se incorporan en los planes operativos.

Los objetivos de tiempo de recuperación y de punto de recuperación definen qué tan rápido deben restaurarse las funciones críticas y cuánta pérdida de datos es aceptable. Las juntas deben cuestionar si estos objetivos son alcanzables considerando los sistemas de respaldo de la institución, la infraestructura redundante y los recursos de respuesta a incidentes. Probar estas capacidades mediante simulaciones y ejercicios de recuperación ante desastres proporciona evidencia de que los planes de recuperación son ejecutables bajo presión.

La preparación para la respuesta a incidentes requiere coordinación entre operaciones de TI, equipos de seguridad, legal, cumplimiento, comunicaciones y liderazgo ejecutivo. Las juntas deben asegurar que los planes de respuesta a incidentes definan roles, umbrales de escalamiento, protocolos de comunicación y autoridades de toma de decisiones, y que esos planes se practiquen regularmente.

Informes a Nivel de Junta sobre Incidentes Cibernéticos y Gestión de Vulnerabilidades

Las juntas necesitan informes oportunos y precisos sobre incidentes cibernéticos, incluyendo la naturaleza del ataque, los sistemas afectados, los datos comprometidos, la efectividad de la detección y contención, y el estado de los esfuerzos de recuperación. Los informes deben distinguir entre eventos de seguridad menores e incidentes materiales que requieren notificación a la junta, divulgación regulatoria o comunicación a clientes.

Los informes de gestión de vulnerabilidades deben informar a las juntas sobre la exposición de la institución a vulnerabilidades de software conocidas, el tiempo requerido para aplicar parches a sistemas críticos y si los sistemas heredados introducen riesgos no mitigados. Las juntas deben comprender si la institución mantiene un inventario de activos tecnológicos, clasifica las vulnerabilidades por gravedad y prioriza la remediación según el riesgo.

Los centros de operaciones de seguridad generan grandes cantidades de telemetría, pero las juntas necesitan información sintetizada que permita tomar decisiones informadas. Métricas como el número de vulnerabilidades críticas pendientes más allá de los plazos de remediación, el porcentaje de sistemas con parches actualizados y la frecuencia de intentos exitosos de phishing proporcionan indicadores accionables sobre la postura de seguridad de la institución.

Protección de Datos y Gobernanza de Terceros como Imperativos de la Junta

La protección de datos sensibles es un requisito regulatorio y un tema clave de confianza del cliente que exige supervisión de la junta. Los bancos del Reino Unido gestionan información financiera personal, registros de transacciones, evaluaciones crediticias y comunicaciones empresariales confidenciales, todo lo cual debe protegerse de extremo a extremo tanto en sistemas internos como en comunicaciones externas. Las juntas deben asegurar que la institución aplique cifrado AES-256 para datos en reposo y TLS 1.3 para datos en tránsito como estándares mínimos, y que estos protocolos se apliquen de manera consistente en todos los sistemas internos y entornos de terceros.

Las juntas deben asegurar que la institución implemente controles orientados a los datos que apliquen cifrado, controles de acceso y registros de auditoría según la sensibilidad y clasificación de los datos. Las tecnologías de prevención de pérdida de datos (DLP), las plataformas de gestión de identidades de acceso (IAM) y las soluciones de transferencia segura de archivos forman parte de una defensa en capas, pero las juntas necesitan garantías de que estas herramientas están configuradas correctamente, monitoreadas de forma continua e integradas con los flujos de trabajo de respuesta a incidentes.

Cuando los bancos del Reino Unido comparten datos sensibles con proveedores de servicios externos, las juntas deben asegurar que las obligaciones contractuales, los controles técnicos y los derechos de auditoría sean suficientes para proteger esos datos. Las evaluaciones de riesgos de terceros deben evaluar si los proveedores implementan cifrado, controles de acceso y registros de auditoría equivalentes a los estándares de la propia institución.

Las juntas deben cuestionar si la institución realiza revisiones periódicas de las prácticas de seguridad de terceros, si los proveedores notifican a la institución sobre incidentes de seguridad que afectan datos compartidos y si los contratos permiten a la institución terminar relaciones si los proveedores no cumplen con las obligaciones de protección de datos.

La gobernanza de la protección de datos se extiende al correo electrónico, uso compartido de archivos, transferencia de archivos gestionada (MFT) y las interfaces de programación de aplicaciones utilizadas para intercambiar datos con partes externas. Las juntas necesitan garantías de que estos canales de comunicación aplican controles orientados a los datos, previenen el acceso no autorizado o la exfiltración y generan registros de auditoría inviolables que respalden los reportes regulatorios e investigaciones forenses.

Desarrollando Conocimientos Técnicos y Capacidad de Cuestionamiento en la Junta

Una supervisión efectiva de los riesgos TIC por parte de la junta requiere que los directores posean conocimientos técnicos suficientes para cuestionar a la dirección, comprender compensaciones de riesgo y tomar decisiones estratégicas informadas. Muchas juntas reclutan directores con experiencia en ciberseguridad, tecnología o riesgos operativos, o brindan programas de formación que desarrollan competencias básicas en toda la junta.

No es necesario que los directores sean expertos técnicos, pero sí deben comprender conceptos fundamentales como cifrado, autenticación multifactor (MFA), arquitectura de confianza cero e incident response. Este conocimiento permite a las juntas hacer preguntas informadas sobre si los controles de la institución son suficientes, si las evaluaciones de riesgos de la dirección son realistas y si la inversión en capacidades de resiliencia es proporcional a las amenazas identificadas.

El cuestionamiento de la junta es más efectivo cuando los directores preguntan por los supuestos que sustentan las evaluaciones de riesgos y los planes de resiliencia de la dirección. Por ejemplo, si la dirección afirma que los sistemas críticos pueden recuperarse en cuatro horas, las juntas deben preguntar qué dependencias, procesos manuales o requisitos de coordinación asume esa estimación y si esos supuestos han sido validados mediante pruebas.

Las juntas deben cuestionar si el apetito de riesgo de la institución para interrupciones TIC está alineado con las expectativas de los clientes, los requisitos regulatorios y el posicionamiento competitivo. El cuestionamiento también aplica a las decisiones de inversión. Las juntas deben examinar si las inversiones tecnológicas propuestas reducen el riesgo, mejoran la resiliencia o simplemente añaden complejidad.

Operacionalizando la Gobernanza de Riesgos TIC en las Estructuras de la Junta

Traducir la gestión de riesgos TIC en gobernanza a nivel de junta requiere informes estructurados, umbrales claros de escalamiento y marcos de responsabilidad que conecten las operaciones técnicas con la supervisión estratégica. Las juntas deben definir qué constituye un evento material de riesgo TIC, establecer plazos de reporte para incidentes y exigir a la dirección que presente análisis de causa raíz y planes de remediación.

Las declaraciones de apetito de riesgo TIC deben definir niveles aceptables de tiempo de inactividad, pérdida de datos y concentración de terceros, y establecer métricas que midan el desempeño frente a esos umbrales. Las juntas deben revisar el apetito de riesgo anualmente, ajustándolo para reflejar cambios en el panorama de amenazas, expectativas regulatorias o estrategia empresarial.

Métricas operativas como el porcentaje de sistemas con parches actualizados, el número de vulnerabilidades críticas pendientes más allá de los plazos de remediación y la frecuencia de pruebas de recuperación proporcionan indicadores anticipados de la postura de resiliencia de la institución. Las juntas deben hacer seguimiento de estas métricas a lo largo del tiempo, identificando tendencias y cuestionando a la dirección cuando el desempeño se deteriora.

El riesgo TIC no debe gestionarse de forma aislada del riesgo crediticio, de mercado, operativo o de conducta. Las juntas deben asegurar que el riesgo TIC esté integrado en el marco de gestión de riesgos empresariales de la institución, con una asignación clara de responsabilidades, líneas de reporte y protocolos de escalamiento. Esta integración permite a las juntas evaluar cómo las dependencias tecnológicas afectan otras categorías de riesgo. La auditoría interna debe evaluar la efectividad de los controles de riesgos TIC, comprobar si las políticas se implementan de manera consistente y proporcionar aseguramiento independiente a la junta.

Conclusión

La gestión de riesgos TIC se ha convertido en una disciplina de gobernanza a nivel de junta que exige el mismo escrutinio estructurado que se aplica al riesgo crediticio, la suficiencia de capital y la conducta. Las juntas de los bancos del Reino Unido que tratan el riesgo tecnológico como un asunto delegado de TI ahora enfrentan exposición regulatoria, fragilidad operativa y vulnerabilidad reputacional. Una gobernanza efectiva requiere que los directores supervisen las capacidades de resiliencia cibernética, cuestionen la suficiencia de los controles de terceros, aseguren que los estándares de protección de datos se apliquen de extremo a extremo y mantengan capacidades de recuperación que sean probadas, validadas y proporcionales a las dependencias de funciones críticas de la institución.

La trayectoria regulatoria para los bancos del Reino Unido apunta hacia expectativas cada vez más específicas y exigibles sobre resiliencia operativa. A medida que el Reino Unido avanza en su propio marco de resiliencia operativa —basado en principios alineados con la Ley de Resiliencia Operativa Digital (DORA) de la UE— la FCA y la PRA están integrando el riesgo TIC como prioridad de supervisión en sus procesos de evaluación, esperando que las juntas demuestren no solo que existen políticas, sino que se ha ejercido un cuestionamiento activo e informado al más alto nivel. Las juntas que desarrollen una verdadera capacidad de supervisión técnica, integren el riesgo TIC en la gestión de riesgos empresariales e inviertan en pruebas de resiliencia estarán mejor posicionadas para satisfacer el escrutinio regulatorio y proteger la continuidad operativa y la confianza de los clientes.

Protege Datos Sensibles de Extremo a Extremo con Registros de Auditoría Inviolables y Aplicación de Confianza Cero

Los bancos del Reino Unido deben operacionalizar la gobernanza de riesgos TIC implementando controles que protejan los datos sensibles en movimiento, apliquen seguridad de confianza cero y políticas orientadas a los datos, y generen registros de auditoría inviolables que respalden la defensa regulatoria. La Red de Contenido Privado permite a las instituciones proteger el correo electrónico, el uso compartido de archivos, la transferencia de archivos gestionada, los formularios web y las interfaces de programación de aplicaciones a través de una plataforma unificada que aplica cifrado AES-256 para datos en reposo y TLS 1.3 para datos en tránsito de forma consistente en todos los canales de comunicación.

Kiteworks aplica principios de confianza cero validando cada solicitud de acceso, restringiendo permisos según la clasificación de datos y el rol del usuario, y evitando el intercambio o la exfiltración no autorizada. Los controles orientados a los datos analizan la sensibilidad del contenido en tiempo real, aplicando cifrado, marcas de agua o políticas de bloqueo según reglas predefinidas. Este enfoque asegura que los datos sensibles de clientes, reportes regulatorios y comunicaciones empresariales confidenciales permanezcan protegidos, ya sea que se compartan internamente, con terceros o con reguladores.

Los registros de auditoría inviolables capturan cada acceso, modificación y evento de compartición, proporcionando visibilidad forense sobre cómo se mueve la información sensible dentro y fuera de la institución. Estos registros se integran con plataformas de análisis de eventos e información de seguridad (SIEM), orquestación, automatización y respuesta de seguridad (SOAR) y ITSM, permitiendo que los centros de operaciones de seguridad detecten anomalías, investiguen incidentes y automaticen flujos de remediación.

Al consolidar las comunicaciones de datos sensibles en la Red de Contenido Privado de Kiteworks, los bancos del Reino Unido reducen su superficie de ataque, simplifican la gobernanza de riesgos de terceros y brindan a las juntas la seguridad de que los controles de protección de datos se implementan de manera consistente y se monitorean de forma continua. Esta visibilidad respalda el cuestionamiento informado de la junta, la defensa del cumplimiento regulatorio y la resiliencia operativa.

Para descubrir cómo la Red de Contenido Privado de Kiteworks puede fortalecer la gobernanza de riesgos TIC y las capacidades de protección de datos de tu institución, agenda una demo personalizada adaptada a tus requisitos regulatorios y operativos.

Preguntas Frecuentes

La gestión de riesgos TIC es una prioridad de la junta directiva para los bancos del Reino Unido debido a las expectativas regulatorias y al impacto sistémico de las fallas tecnológicas. Ahora las juntas son responsables de supervisar los riesgos tecnológicos que afectan funciones críticas, resiliencia cibernética y dependencias de terceros, ya que estos pueden provocar interrupciones operativas, escrutinio regulatorio y daños reputacionales en cuestión de horas.

Los reguladores financieros del Reino Unido esperan que las juntas demuestren responsabilidad directa sobre la gobernanza de riesgos TIC, en lugar de delegarla a comités de TI o de riesgos. Esto incluye definir el apetito de riesgo TIC, aprobar planes de continuidad de negocio y recuperación ante desastres, y recibir informes periódicos sobre incidentes cibernéticos, gestión de vulnerabilidades y resultados de pruebas de recuperación para asegurar una supervisión informada.

El riesgo de concentración surge de la dependencia de los bancos del Reino Unido en un pequeño número de proveedores externos como servicios en la nube y operadores de pagos. Una falla en un solo proveedor puede interrumpir múltiples instituciones simultáneamente, creando un riesgo sistémico. Las juntas deben evaluar la diversificación, los sistemas de respaldo y las salvaguardas contractuales para reducir este riesgo y mantener la continuidad operativa.

Las juntas deben supervisar la resiliencia cibernética asegurando que la institución pueda prevenir, detectar, responder y recuperarse de incidentes cibernéticos. Esto incluye cuestionar los objetivos de tiempo de recuperación, probar las capacidades de recuperación mediante simulaciones y asegurar que los planes de respuesta a incidentes estén coordinados y practicados entre equipos para alinearse con el apetito de riesgo de la institución y los requisitos regulatorios.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks