Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Mejores prácticas para la administración de riesgos de terceros en servicios financieros del Reino Unido

Mejores prácticas para la administración de riesgos de terceros en servicios financieros del Reino Unido

by Tim Freestone updated abril 17, 2026 Riesgo de Terceros
Reading Time: 9 minutes

Las instituciones financieras operan a través de amplias redes de proveedores, procesadores, proveedores de servicios en la nube y socios de servicios. Cada tercero con acceso a datos de clientes, sistemas de pago o infraestructura central introduce una posible exposición a filtraciones de datos, fallos operativos y escrutinio regulatorio. La administración de riesgos de terceros en los servicios financieros del Reino Unido exige una gobernanza rigurosa, monitoreo continuo y controles exigibles que vayan más allá de las obligaciones contractuales y se apliquen en la realidad operativa.

El reto no es identificar riesgos de forma aislada. Es mantener visibilidad sobre cientos de relaciones con proveedores, aplicar estándares de seguridad consistentes y demostrar una supervisión defendible cuando los reguladores pregunten cómo proteges los datos sensibles que se mueven entre tu organización y socios externos. Este artículo explica cómo los líderes de seguridad empresarial pueden construir un enfoque estructurado y auditable para gestionar el riesgo de terceros mientras protegen los datos sensibles en movimiento.

Resumen Ejecutivo

La administración de riesgos de terceros en los servicios financieros del Reino Unido requiere más que cuestionarios a proveedores y revisiones anuales. Los programas efectivos combinan una debida diligencia rigurosa, monitoreo continuo, controles contractuales y mecanismos técnicos de aplicación que protegen los datos sensibles durante todo su ciclo de vida. Las instituciones financieras deben clasificar a los proveedores por nivel de riesgo, aplicar principios de arquitectura de confianza cero para el acceso a datos, mantener registros auditables e inviolables de todos los intercambios de datos con terceros e integrar señales de riesgo de proveedores en las operaciones de seguridad empresarial. Este artículo ofrece recomendaciones prácticas para líderes de seguridad responsables de operacionalizar programas de riesgo de terceros que cumplan con las expectativas de la FCA, PRA y el RGPD del Reino Unido, mientras reducen la exposición real a filtraciones, interrupciones de servicio y fallos de cumplimiento.

Aspectos Clave

  1. La gobernanza estructurada es esencial. La administración de riesgos de terceros en los servicios financieros del Reino Unido requiere gobernanza rigurosa, monitoreo continuo y controles exigibles para cumplir con las expectativas de la FCA, PRA y el RGPD del Reino Unido, protegiendo los datos sensibles.
  2. Clasificación de proveedores basada en riesgos. Clasificar a los proveedores por nivel de riesgo según el acceso a datos y la criticidad asegura una supervisión proporcional, dirigiendo recursos a relaciones de alto riesgo con evaluaciones de seguridad integrales.
  3. Controles técnicos para la protección de datos. Implementar principios de confianza cero y controles conscientes de los datos para los intercambios con terceros previene accesos no autorizados y asegura el cumplimiento mediante cifrado y restricciones de acceso.
  4. Monitoreo continuo y registros auditables. La visibilidad constante del riesgo de proveedores a través de inteligencia de amenazas y registros auditables e inviolables es crucial para la defensa regulatoria y la respuesta rápida a incidentes en instituciones financieras.

Por Qué la Administración de Riesgos de Terceros Requiere Gobernanza Estructurada en los Servicios Financieros

Los terceros representan una de las partes más grandes y menos controladas de la superficie de ataque empresarial. Un procesador de pagos con acceso a datos de tarjetas, un proveedor de análisis en la nube que maneja historiales de transacciones o una plataforma de marketing que almacena información personal identificable, cada uno crea posibles vías para accesos no autorizados, exfiltración de datos o incumplimiento regulatorio.

En el Reino Unido, las instituciones financieras enfrentan un mayor escrutinio regulatorio porque la Autoridad de Conducta Financiera (FCA) y la Autoridad de Regulación Prudencial (PRA) exigen explícitamente que las empresas gestionen el riesgo de terceros con el mismo rigor que aplican a las operaciones internas. La declaración supervisora SS2/21 de la PRA sobre subcontratación y riesgo de terceros establece expectativas detalladas para la gobernanza, la planificación de salida y la resiliencia operativa. Bajo el RGPD del Reino Unido, las organizaciones no pueden externalizar la responsabilidad de la protección de datos: nombrar a un procesador externo transfiere tareas operativas pero no la responsabilidad legal sobre los derechos de los titulares de los datos. Las empresas británicas con operaciones en la UE también deben considerar DORA (la Ley de Resiliencia Operativa Digital), que impone requisitos prescriptivos sobre la gestión de riesgos de terceros TIC para entidades financieras.

Cuando un proveedor sufre una filtración, las autoridades regulatorias evalúan si la institución financiera realizó la debida diligencia adecuada, aplicó controles contractuales y mantuvo una supervisión continua. El desafío de la gobernanza proviene de la escala y la complejidad. Las grandes instituciones financieras mantienen relaciones con cientos o miles de terceros, cada uno con perfiles de riesgo diferentes. Una gestión de riesgos de terceros efectiva comienza con una clasificación estructurada que dirige los recursos hacia las relaciones más relevantes.

Establecer un Marco de Clasificación de Proveedores Basado en Riesgos

La clasificación basada en riesgos permite a las organizaciones aplicar una supervisión proporcional sin crear una carga administrativa insostenible. El marco debe evaluar a cada proveedor en varias dimensiones: acceso a datos sensibles, criticidad para las operaciones, alcance regulatorio y postura de seguridad inherente.

Los proveedores con acceso directo a datos financieros de clientes, información de tarjetas de pago o credenciales de autenticación requieren el nivel de escrutinio más alto. Estas relaciones exigen evaluaciones de seguridad integrales, obligaciones contractuales de protección de datos, monitoreo continuo y coordinación formal de respuesta a incidentes. Los proveedores de nivel medio pueden incluir proveedores tecnológicos con acceso indirecto a datos o servicios no críticos que manejan conjuntos de datos limitados. Estas relaciones requieren cuestionarios de seguridad estándar, reevaluaciones periódicas y protecciones contractuales. Los proveedores de bajo nivel que ofrecen servicios básicos sin acceso a datos requieren términos contractuales mínimos y monitoreo continuo limitado.

La clasificación no debe permanecer estática. Los perfiles de riesgo de los proveedores cambian cuando adoptan nuevas tecnologías, experimentan incidentes de seguridad, amplían el acceso a datos o modifican sus modelos de prestación de servicios. Una gobernanza efectiva incluye desencadenantes para reclasificar según cambios en las circunstancias del proveedor o en el uso que tu organización hace de sus servicios.

Realizar una Debida Diligencia que Vaya Más Allá de la Simulación de Cumplimiento

Muchas organizaciones tratan la debida diligencia de proveedores como un trámite. Los proveedores completan cuestionarios estandarizados, entregan cartas de atestación y presentan certificaciones. Los equipos de seguridad revisan las respuestas, identifican brechas y aceptan el riesgo residual o negocian remediaciones. El proceso cumple los requisitos de auditoría pero a menudo no detecta riesgos materiales.

Una debida diligencia efectiva combina múltiples fuentes de información para construir una visión precisa del riesgo. Los cuestionarios autodeclarados ofrecen información básica pero requieren validación mediante evaluación independiente. Para proveedores de alto riesgo, las organizaciones deben solicitar documentación detallada de arquitectura, revisar resultados de pruebas de penetración, examinar capacidades de respuesta a incidentes y evaluar procedimientos de recuperación ante desastres.

Las certificaciones y atestaciones de terceros ofrecen señales útiles pero requieren interpretación cuidadosa. Un certificado ISO 27001 confirma que un proveedor opera un sistema de gestión que logró la certificación en un momento determinado, pero no garantiza controles de seguridad específicos relevantes para tus datos. Los informes SOC 2 Tipo II ofrecen una visión más granular de los controles operativos, pero las organizaciones deben revisar el informe real en lugar de confiar solo en cartas genéricas de atestación.

La debida diligencia debe abordar específicamente cómo los proveedores protegen los datos sensibles que comparte tu organización. Esta evaluación examina controles específicos para los datos: cifrado en reposo y en tránsito, controles de acceso, retención y destrucción de datos, segregación entre entornos de clientes y registro de eventos de acceso a datos. Los proveedores deben demostrar mecanismos técnicos de aplicación y no solo declaraciones de políticas. Los requisitos de residencia y soberanía de datos exigen especial atención en los servicios financieros del Reino Unido, donde el RGPD restringe las transferencias internacionales de datos personales. Los proveedores deben documentar claramente dónde residen los datos, cómo se mueven en los entornos de procesamiento y qué controles previenen transferencias no autorizadas.

Traducir la Evaluación de Riesgos de Proveedores en Términos Contractuales Exigibles

La debida diligencia identifica riesgos; los contratos asignan responsabilidad y crean mecanismos de aplicación. Los contratos efectivos con proveedores incluyen obligaciones de seguridad específicas, derechos de auditoría, requisitos de notificación de incidentes y consecuencias por incumplimiento.

Las obligaciones de seguridad deben referenciar controles concretos identificados durante la debida diligencia y no solo compromisos vagos de mantener una seguridad estándar del sector. Los contratos deben especificar requisitos de cifrado, estándares de control de acceso, expectativas de registro y monitoreo, y procedimientos de respuesta a incidentes. Bajo SS2/21 y las reglas de subcontratación de la FCA, los contratos con terceros relevantes también deben incluir disposiciones sobre continuidad de negocio, derechos de terminación y acceso para los reguladores.

Los derechos de auditoría son fundamentales para la supervisión continua. Los contratos deben otorgar a la institución financiera el derecho de auditar los controles de seguridad del proveedor, ya sea directamente o mediante evaluadores independientes. Este derecho debe incluir la revisión de registros, pruebas de controles y examen de sistemas que procesan los datos de la institución.

Incorporar Requisitos de Respuesta a Incidentes y Notificación en los Acuerdos con Proveedores

Los requisitos de notificación de incidentes en los contratos con proveedores deben superar las obligaciones legales mínimas. Los reguladores esperan que las instituciones financieras se enteren de los incidentes de los proveedores lo suficientemente rápido como para evaluar el impacto en los clientes, contener la exposición y notificar a las autoridades cuando sea necesario. El RGPD del Reino Unido impone un plazo de notificación de 72 horas a la ICO para filtraciones de datos personales calificadas; los contratos con proveedores deben garantizar que la institución financiera se entere de los incidentes mucho antes de ese plazo.

Los contratos efectivos especifican la notificación en cuestión de horas, no días, desde la detección del incidente. Definen los incidentes de forma amplia para incluir intentos de acceso no autorizado, compromisos de sistemas que afectan infraestructura compartida y sospechas de exfiltración de datos. Las obligaciones de notificación deben exigir a los proveedores detalles específicos: qué sistemas se vieron afectados, qué datos pudieron exponerse, qué técnicas de ataque se observaron y qué acciones de contención se tomaron.

Los requisitos de coordinación de respuesta a incidentes aseguran la cooperación de los proveedores durante incidentes activos. Los contratos deben establecer procedimientos conjuntos de respuesta, protocolos de comunicación y mecanismos de coordinación técnica. Los proveedores deben comprometerse a preservar evidencias, facilitar el acceso para investigaciones forenses e implementar medidas de remediación en plazos aceptables.

Implementar Monitoreo Continuo y Controles Técnicos

Las revisiones anuales de proveedores crean puntos ciegos peligrosos. La postura de seguridad de un proveedor puede deteriorarse significativamente entre evaluaciones formales debido a rotación de personal, cambios tecnológicos, estrés financiero o incidentes de seguridad. El monitoreo continuo ofrece visibilidad constante del riesgo de proveedores mediante señales automatizadas, inteligencia de amenazas y métricas de desempeño.

El monitoreo continuo comienza con fuentes externas de inteligencia de amenazas que rastrean incidentes de seguridad de proveedores, filtraciones de datos, divulgaciones de vulnerabilidades y exposición en la dark web. Los servicios de calificación de seguridad ofrecen puntuaciones de riesgo cuantitativas basadas en la postura de seguridad observable. Las métricas de desempeño operativo ofrecen indicadores tempranos de estabilidad del proveedor. El aumento de interrupciones de servicio, tiempos de respuesta degradados o acumulación de solicitudes de soporte pueden indicar sobrecarga de infraestructura, problemas de personal o dificultades financieras.

El monitoreo de riesgos de proveedores solo genera valor cuando se integra en las operaciones de seguridad empresarial. Las alertas sobre filtraciones de proveedores, divulgaciones de vulnerabilidades o cambios en la postura de seguridad deben llegar a los centros de operaciones de seguridad junto con los eventos internos. Esta integración permite a los equipos de seguridad evaluar el impacto potencial, ajustar el monitoreo e implementar controles compensatorios.

Aplicar Controles Técnicos para los Intercambios de Datos con Terceros

Las obligaciones contractuales y el monitoreo proporcionan supervisión de gobernanza, pero los controles técnicos aplican la seguridad en el punto donde los datos se mueven entre tu organización y los terceros. Cada transferencia de archivos, llamada API, intercambio de correos electrónicos o sesión de colaboración con un proveedor crea una oportunidad para filtraciones de datos, accesos no autorizados o incumplimientos.

La aplicación técnica comienza con el inventario y la clasificación de todos los canales de intercambio de datos con terceros. Las organizaciones deben identificar cada método por el cual los datos sensibles salen de su entorno: protocolos de transferencia de archivos, correo electrónico, uso compartido en la nube, integraciones API y portales de socios. Cada canal requiere controles apropiados según la sensibilidad de los datos y los requisitos regulatorios.

Los principios de confianza cero deben regir el acceso de terceros. Los proveedores no deben recibir acceso amplio a la red ni credenciales permanentes. El acceso debe otorgarse por transacción o sesión, limitado a los datos específicos requeridos para el propósito comercial y validado continuamente mediante autenticación.

Los controles conscientes de los datos inspeccionan el contenido en movimiento para aplicar políticas según la información que realmente aparece en archivos, mensajes o cargas útiles de API. La inspección consciente de los datos identifica tipos de información sensible como números de tarjetas de pago, credenciales de cuentas, información personal identificable o registros financieros confidenciales. Cuando los usuarios intentan compartir datos sensibles con terceros, los controles pueden aplicar cifrado, requerir aprobación adicional, aplicar gestión de derechos digitales o bloquear la transmisión según la política.

Mantener Registros Auditables e Inviolables para la Defensa Regulatoria

Los reguladores que evalúan la administración de riesgos de terceros esperan pruebas que demuestren que los controles funcionan en la práctica. Esta evidencia toma la forma de registros auditables que documentan evaluaciones de proveedores, decisiones de riesgo, intercambios de datos, eventos de acceso y respuestas a incidentes.

Los registros auditables deben cumplir estándares de calidad específicos para satisfacer el escrutinio de la FCA y la PRA. Deben ser completos, capturando todos los eventos relevantes sin omisiones. Deben ser detallados, registrando quién realizó acciones, qué datos se vieron afectados, cuándo ocurrieron los eventos y qué sistemas estuvieron involucrados. Deben ser inviolables, evitando modificaciones posteriores que puedan ocultar fallos de control o violaciones de políticas.

La integridad requiere registro automatizado en todos los puntos de interacción con terceros. El registro manual falla porque las personas olvidan, omiten pasos en situaciones urgentes o carecen de visibilidad sobre procesos automatizados. Cada transferencia de archivos a un proveedor, cada llamada API desde sistemas de socios, cada concesión de acceso y cada excepción de política requiere la generación automática de un registro auditable.

Los registros auditables generan valor cuando están estructurados para responder preguntas regulatorias específicas. Cada entrada debe incluir metadatos que identifiquen los marcos relevantes, objetivos de control y requisitos de política. Las políticas de retención para los registros auditables de terceros deben considerar los requisitos regulatorios y el riesgo de litigio. Las regulaciones de servicios financieros del Reino Unido suelen exigir la retención de registros durante varios años para demostrar decisiones de administración de riesgos de seguridad y funcionamiento de controles.

Conclusión

Las instituciones financieras del Reino Unido enfrentan un mandato regulatorio claro: la FCA, PRA y el RGPD del Reino Unido responsabilizan a las empresas por las prácticas de seguridad de cada tercero relevante con el que trabajan. Cumplir con ese mandato exige programas aplicados técnicamente —no listas de verificación reactivas— que extiendan los principios de confianza cero, controles conscientes de los datos y registros auditables e inviolables a cada intercambio de datos con proveedores. La sofisticación de las amenazas actuales y las expectativas de los reguladores británicos no dejan espacio para marcos de gobernanza que existan solo en el papel.

Protección de Datos Sensibles a lo Largo de las Relaciones con Terceros

La administración de riesgos de terceros combina gobernanza, contratos, monitoreo y controles técnicos en un programa unificado. Sin embargo, estos componentes solo reducen el riesgo si las organizaciones pueden aplicar la protección de datos sensibles mientras se mueven hacia, a través de y desde entornos de terceros.

La Red de Datos Privados de Kiteworks ofrece a las instituciones financieras una plataforma unificada para controlar los intercambios de datos sensibles con terceros. En lugar de gestionar los flujos de datos de proveedores a través de sistemas de correo electrónico, herramientas de transferencia de archivos y plataformas de colaboración dispersas, las organizaciones consolidan las comunicaciones con terceros en una única red gobernada que abarca uso compartido y transferencia de archivos, monitoreo y protección de correo electrónico, formularios web y gobernanza avanzada. Esta consolidación permite la aplicación consistente de políticas, registros auditables integrales e integración con las operaciones de seguridad empresarial.

Kiteworks aplica protección de datos de confianza cero y controles conscientes de los datos en el punto de intercambio. Cuando los usuarios comparten archivos con proveedores, la plataforma inspecciona automáticamente el contenido, valida los destinatarios en listas de proveedores aprobados, aplica cifrado y restricciones de acceso, y registra toda la actividad en registros auditables e inviolables. Las políticas pueden requerir aprobación de múltiples partes para compartir ciertos tipos de datos, restringir descargas desde dispositivos no gestionados o aplicar fechas de expiración al contenido compartido.

Kiteworks aplica TLS 1.3 para todos los datos en tránsito y cifrado validado FIPS 140-3 en reposo. La plataforma cuenta con la Autorización FedRAMP de impacto moderado y está lista para FedRAMP de alto impacto, y posee certificaciones ISO 27001, ISO 27017 e ISO 27018. Para organizaciones de servicios financieros del Reino Unido, Kiteworks también cuenta con Cyber Essentials Plus, la certificación respaldada por el gobierno británico que demuestra controles técnicos de seguridad básicos —una credencial relevante para empresas reguladas por la FCA que evalúan la postura de seguridad de sus proveedores.

La plataforma se integra con herramientas SIEM, SOAR e ITSM para llevar los eventos de intercambio de datos con terceros a las operaciones de seguridad empresarial. Los equipos de seguridad obtienen visibilidad del movimiento de datos de terceros junto con los eventos internos, permitiendo correlación y respuesta unificada. Kiteworks facilita el cumplimiento de los requisitos de subcontratación de la FCA, PRA SS2/21 y el RGPD del Reino Unido mediante mapeos integrados que conectan los controles de la plataforma con obligaciones regulatorias específicas.

Las instituciones financieras que implementan una administración integral de riesgos de terceros necesitan una aplicación técnica que esté a la altura de sus objetivos de gobernanza.

Solicita una demo personalizada

Preguntas Frecuentes

La administración de riesgos de terceros es crítica para las instituciones financieras del Reino Unido debido a las extensas redes de proveedores y socios que acceden a datos sensibles e infraestructura. Cada tercero introduce riesgos potenciales como filtraciones de datos y escrutinio regulatorio. Organismos como la FCA y la PRA exigen que las empresas gestionen estos riesgos con el mismo rigor que las operaciones internas, responsabilizando a las instituciones por las prácticas de seguridad de los proveedores bajo marcos como el RGPD del Reino Unido y la SS2/21 de la PRA.

Las instituciones financieras deben usar un marco de clasificación basado en riesgos para priorizar la supervisión. Los proveedores se evalúan según el acceso a datos sensibles, la criticidad para las operaciones, el alcance regulatorio y la postura de seguridad. Los proveedores de alto riesgo con acceso a datos de clientes requieren un escrutinio intenso, incluidas evaluaciones integrales y monitoreo continuo, mientras que los proveedores de nivel medio y bajo reciben una supervisión proporcional según su perfil de riesgo, que debe reevaluarse si cambian las circunstancias.

La debida diligencia efectiva va más allá del cumplimiento al combinar múltiples fuentes de información para una visión integral del riesgo. Incluye validar los cuestionarios de proveedores con evaluaciones independientes, revisar documentación de arquitectura, resultados de pruebas de penetración y capacidades de respuesta a incidentes para proveedores de alto riesgo. También se enfoca en controles específicos de protección de datos como cifrado, controles de acceso y residencia de datos para asegurar la protección de la información sensible, en lugar de depender solo de certificaciones o atestaciones.

Los controles técnicos son esenciales para los intercambios de datos con terceros porque aplican la seguridad en el punto de movimiento de los datos, evitando filtraciones o accesos no autorizados. Incluyen el inventario de canales de intercambio de datos, la aplicación de principios de confianza cero para el acceso y el uso de controles conscientes de los datos para inspeccionar y proteger el contenido sensible. Estos controles aseguran el cumplimiento normativo y protegen los datos durante transferencias de archivos, llamadas API y otras interacciones con proveedores.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks