Si ha asistido a algún seminario o simposio sobre gestión de riesgos de proveedores externos (TPVRM) durante el último año, la frase supervisión continua se ha mencionado con regularidad como un requisito emergente.
La supervisión continua es un paso más allá de los requisitos de supervisión permanente. En parte, los reguladores quieren ver que su programa de revisión de proveedores tiene la capacidad de identificar un problema con un proveedor que pueda ocurrir o conocerse fuera de un ciclo de revisión periódica. La aparición de amenazas a la ciberseguridad derivadas de las relaciones con terceros está impulsando el paso de la supervisión continua a la permanente.
Seguimiento continuo
La supervisión continua se ha convertido en la base histórica de los programas eficaces de gestión de riesgos de terceros (TPRM). A menudo comenzando en el momento de la incorporación de un nuevo proveedor o basándose en un programa de revisión periódica indexado a la exposición al riesgo de la relación, la supervisión continua garantizaba una visibilidad continua de la relación con el proveedor con el fin de detectar posibles problemas.
La supervisión continua de una relación con un proveedor ha incluido la familiarización con sus finanzas empresariales, auditorías de control, planes y pruebas de continuidad y resistencia, coberturas de seguros y su postura en materia de seguridad de la información. La supervisión continua también incluye el seguimiento del rendimiento específico en relación con la satisfacción general de su organización con un proveedor y el cumplimiento de los niveles de servicio definidos para la entrega de productos o servicios.
El reto de la seguridad de la información
Históricamente, con una supervisión continua, la verificación de una disciplina de seguridad de la información bien estructurada con un proveedor que posee datos confidenciales de la organización o de los clientes, que podría incluir cuestionarios e incluso certificaciones, se ha aceptado como diligencia debida adecuada de que se ha mitigado cualquier exposición al riesgo.
Una estrategia de supervisión continua aplicada a la seguridad de la información, por otra parte, sube la apuesta, y probablemente su compromiso con el proveedor. Del mismo modo que las noticias y las alertas noticiosas que las incluyen permiten identificar amenazas de riesgo de terceros fuera del ciclo de revisión, se necesita un proceso similar para supervisar y alertar a su organización de una amenaza de riesgo para sus datos sensibles en confianza con otro tercero, o incluso mantenidos por la infraestructura de TI de su organización.
Creemos que la supervisión continua de la ciberseguridad de su propia infraestructura de TI y de las relaciones críticas con los proveedores es la mejor práctica actual del sector, y se convertirá en un requisito de facto, si no en una norma, en los próximos 24 meses.
Además de ser la mejor práctica, es simplemente prudente para cualquier marco de gestión de riesgos. Es toda una predicción, pero dada la amplitud de los malos actores y la exposición y los costes de una violación de la seguridad de la información, es una conclusión lógica, pero sólo si se dispusiera de un medio eficaz de supervisión y fuera asequible, como creemos que es ahora el caso.
La capacidad de seguir el ritmo del entorno dinámico que exige la empresa actual está definiendo soluciones, requisitos y responsabilidades ampliadas para todos. Para satisfacer esta necesidad inminente, debe contemplar la adopción de una potente solución de gestión de riesgos de proveedores (VRM) con las herramientas de supervisión continua que necesitará hoy y en el futuro.
Defiéndase contra los riesgos de proveedores y empresas
Conozca nuestras soluciones VRM/ERM, las mejores de su categoría.
