La gestión eficaz del riesgo de los proveedores sigue siendo un reto para las empresas

Al analizar los recientes incidentes de seguridad ocurridos en varios bancos de Nueva York, un artículo publicado el 21 de octubre en el New York Times1 se centraba en un tema recurrente: la necesidad de examinar de cerca la seguridad informática que ofrecen los proveedores de una entidad financiera para proteger el acceso a datos y sistemas. Aunque el tema en sí no es nuevo, la [...]

Personal de Mitratech
Personal de Mitratech Octubre 23, 2014 3 min leer

Al analizar los recientes incidentes de seguridad ocurridos en varios bancos de Nueva York, un artículo publicado el 21 de octubre en el New York Times1 se centraba en un tema recurrente: la necesidad de examinar de cerca la seguridad informática que ofrecen los proveedores de una entidad financiera para proteger el acceso a datos y sistemas. Aunque el tema en sí no es nuevo, el artículo revelaba que el Departamento del Tesoro está llevando a cabo un "amplio esfuerzo "1 para exigir a los bancos que aumenten sus procedimientos para determinar si los proveedores protegen adecuadamente sus datos y el acceso a sus sistemas.

Los debates sobre la necesidad de mejorar los procedimientos de riesgo de proveedores comenzaron en serio el otoño pasado, cuando la OCC publicó su última guía sobre el riesgo de terceros (Boletín 2013-29 de la OCC). En ese Boletín, la OCC introdujo el concepto de gestión del riesgo a lo largo de todo el ciclo de vida del proveedor, y subrayó la importancia de la "participación proactiva" de la alta dirección en todas las fases del ciclo de vida del proveedor. Dado que muchos de los requisitos detallados en el OCC 2013-29 se hacen eco de las mejores prácticas actuales en materia de diligencia debida con los proveedores, es razonable preguntarse por qué el riesgo de los proveedores sigue siendo un tema tan visible.

Retos de la evaluación de proveedores

Tal vez la razón más convincente para el debate es que seguir las mejores prácticas de diligencia debida con los proveedores puede ser una actividad muy costosa y que requiere muchos recursos, una actividad que sólo las instituciones financieras más grandes tienen la capacidad de abordar. Esto deja a la mayoría de las instituciones financieras en la posición de ser incapaces de supervisar y abordar adecuadamente el riesgo de los proveedores.

Además, muchas empresas no comprenden realmente la amplitud de su población de proveedores y los riesgos que plantean. Hasta que se produjo la filtración de Target, cabe suponer que pocas empresas tenían en cuenta la capacidad de sus proveedores de HVAC para plantear un riesgo sustancial para los datos de los clientes y los sistemas de la empresa.

Por último, como señala el Times en el artículo del martes, muchas empresas confían en las cláusulas contractuales que exigen a los proveedores una protección sustancial de la seguridad informática, sin llevar a cabo la diligencia debida necesaria para determinar si los proveedores pueden, de hecho, proporcionar el nivel de protección requerido. Por desgracia, muchos proveedores carecen de los recursos necesarios para implantar y mantener una seguridad informática sofisticada, por lo que la confianza en las cláusulas contractuales no es un buen sustituto de las evaluaciones de los proveedores.

Mejorar la evaluación de proveedores

Afortunadamente, hay formas de mejorar la diligencia debida de los proveedores a pesar de estos retos. Elimine al máximo el esfuerzo manual del proceso estandarizando la diligencia debida y automatizando la recogida de pruebas y el flujo de trabajo/tareas. Esto mejora la precisión y la velocidad con la que se realizan las evaluaciones, permitiendo que el mismo número de personal lleve a cabo un número sustancialmente mayor de evaluaciones.

Asegúrese de que dispone de un inventario preciso y actualizado de sus proveedores, incluidos los datos y sistemas a los que pueden acceder. Igualmente importante es establecer procedimientos para garantizar que la lista (y la información y los sistemas a los que acceden) se mantienen actualizados.

Vaya más allá de la confianza en las disposiciones contractuales para proteger sus datos. Califique el riesgo de sus proveedores en función de las actividades que realicen y, a continuación, evalúe su capacidad para cumplir esas obligaciones contractuales mediante una diligencia debida eficaz.

1http://dealbook.nytimes.com/2014/10/21/after-jpmorgan-cyberattack-a-push-to-fortify-wall-street-banks/

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.

Al analizar los recientes incidentes de seguridad ocurridos en varios bancos de Nueva York, un artículo publicado el 21 de octubre en el New York Times1 se centraba en un tema recurrente: la necesidad de examinar de cerca la seguridad informática que ofrecen los proveedores de una entidad financiera para proteger el acceso a datos y sistemas. Aunque el tema en sí no es nuevo, el artículo revelaba que el Departamento del Tesoro está llevando a cabo un "amplio esfuerzo "1 para exigir a los bancos que aumenten sus procedimientos para determinar si los proveedores protegen adecuadamente sus datos y el acceso a sus sistemas.

Los debates sobre la necesidad de mejorar los procedimientos de riesgo de proveedores comenzaron en serio el otoño pasado, cuando la OCC publicó su última guía sobre el riesgo de terceros (Boletín 2013-29 de la OCC). En ese Boletín, la OCC introdujo el concepto de gestión del riesgo a lo largo de todo el ciclo de vida del proveedor, y subrayó la importancia de la "participación proactiva" de la alta dirección en todas las fases del ciclo de vida del proveedor. Dado que muchos de los requisitos detallados en el OCC 2013-29 se hacen eco de las mejores prácticas actuales en materia de diligencia debida con los proveedores, es razonable preguntarse por qué el riesgo de los proveedores sigue siendo un tema tan visible.

Retos de la evaluación de proveedores

Tal vez la razón más convincente para el debate es que seguir las mejores prácticas de diligencia debida con los proveedores puede ser una actividad muy costosa y que requiere muchos recursos, una actividad que sólo las instituciones financieras más grandes tienen la capacidad de abordar. Esto deja a la mayoría de las instituciones financieras en la posición de ser incapaces de supervisar y abordar adecuadamente el riesgo de los proveedores.

Además, muchas empresas no comprenden realmente la amplitud de su población de proveedores y los riesgos que plantean. Hasta que se produjo la filtración de Target, cabe suponer que pocas empresas tenían en cuenta la capacidad de sus proveedores de HVAC para plantear un riesgo sustancial para los datos de los clientes y los sistemas de la empresa.

Por último, como señala el Times en el artículo del martes, muchas empresas confían en las cláusulas contractuales que exigen a los proveedores una protección sustancial de la seguridad informática, sin llevar a cabo la diligencia debida necesaria para determinar si los proveedores pueden, de hecho, proporcionar el nivel de protección requerido. Por desgracia, muchos proveedores carecen de los recursos necesarios para implantar y mantener una seguridad informática sofisticada, por lo que la confianza en las cláusulas contractuales no es un buen sustituto de las evaluaciones de los proveedores.

Mejorar la evaluación de proveedores

Afortunadamente, hay formas de mejorar la diligencia debida de los proveedores a pesar de estos retos. Elimine al máximo el esfuerzo manual del proceso estandarizando la diligencia debida y automatizando la recogida de pruebas y el flujo de trabajo/tareas. Esto mejora la precisión y la velocidad con la que se realizan las evaluaciones, permitiendo que el mismo número de personal lleve a cabo un número sustancialmente mayor de evaluaciones.

Asegúrese de que dispone de un inventario preciso y actualizado de sus proveedores, incluidos los datos y sistemas a los que pueden acceder. Igualmente importante es establecer procedimientos para garantizar que la lista (y la información y los sistemas a los que acceden) se mantienen actualizados.

Vaya más allá de la confianza en las disposiciones contractuales para proteger sus datos. Califique el riesgo de sus proveedores en función de las actividades que realicen y, a continuación, evalúe su capacidad para cumplir esas obligaciones contractuales mediante una diligencia debida eficaz.

1http://dealbook.nytimes.com/2014/10/21/after-jpmorgan-cyberattack-a-push-to-fortify-wall-street-banks/

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.

Potenciar. Automatizar. Elevar. Mitratech

©2025 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2025 Mitratech, Inc. Todos los derechos reservados.