¿Qué es el riesgo de terceros?
El riesgo de cuartos es cualquier riesgo potencial que plantean los «proveedores de sus proveedores», muchos de los cuales la organización contratante puede ni siquiera conocer. Incluso si su empresa cuenta con un programa de seguridad de la información bien desarrollado, los cuartos y enésimos desconocidos pueden causar importantes interrupciones en su cadena de suministro.
Tomemos, por ejemplo, el ataque de ransomware contra Colonial Gas Pipeline. Las gasolineras de toda la costa este de Estados Unidos se quedaron sin combustible y millones de consumidores se preguntaron cómo iban a llegar al trabajo. En muchos casos, es posible que las gasolineras individuales ni siquiera hubieran oído hablar de Colonial Pipeline, y mucho menos se hubieran dado cuenta de que un ciberataque podría paralizarla y, por extensión, su cadena de suministro.
Un programa eficaz de gestión de riesgos en la cadena de suministro puede ayudarle a identificar, remediar y gestionar los riesgos de todos los proveedores, ya sean terceros, cuartos o de otro tipo. En este artículo se explica cómo se clasifican los proveedores y se ofrecen consejos para gestionar eficazmente los riesgos en todos los niveles de la cadena de suministro. Vamos a tratar los siguientes temas:
- Identificación de proveedores críticos y niveles de tolerancia
- Mapeo de las relaciones con proveedores externos
- Obtener visibilidad y control sobre los riesgos de terceros y de enésimos terceros.
¿Cuál es la diferencia entre proveedores externos, proveedores de cuarto nivel y proveedores de enésimo nivel?
Los proveedores externos son empresas con las que su organización trabaja directamente. Las cuartas partes son empresas que contratan a sus terceros. Por ejemplo, si su empresa contrata a un proveedor de poliéster, ese proveedor se clasificaría como tercero. Si su proveedor de poliéster utiliza un fabricante en Vietnam, el fabricante es una cuarta parte. Ahora bien, si ese fabricante contrata a un proveedor de materias primas de Camboya, ese proveedor de materias primas sería un quinto proveedor. Si las leyes camboyanas cambiaran y encarecieran la producción de etileno, un ingrediente clave del poliéster, podría producirse un efecto dominó en toda su cadena de suministro. Comprender estas relaciones le ayuda a mitigar los riesgos en toda su cadena de suministro.

A veces, cuanto más alejada está la parte N de la organización contratante, menor es el impacto que causa una interrupción, pero no siempre es así. Colonial Pipeline es un ejemplo claro de cómo un ciberataque a un proveedor puede paralizar las empresas de toda la cadena de suministro. Estos riesgos son especialmente graves cuando su organización depende en gran medida de un proveedor que no puede sustituirse fácilmente. Cuanta más visibilidad tenga sobre los proveedores de su organización y los proveedores de sus proveedores, mejor comprenderá y mitigará de forma eficaz los riesgos inaceptables.
Contabilización del riesgo de terceros en su programa de gestión de riesgos de proveedores
La gestión del riesgo de los proveedores (VRM) se ha convertido en un aspecto fundamental para organizaciones de todos los tamaños. Sin embargo, muchas empresas se limitan a los terceros a la hora de considerar el riesgo de los proveedores. Las cadenas de suministro modernas son cada vez más globales y dependen de cientos o miles de proveedores de cuarto y enésimo nivel. Es posible que una organización no sea consciente de su dependencia de un proveedor de enésimo nivel hasta que se produzca una interrupción significativa. A continuación se ofrecen algunas pautas que le ayudarán a tener en cuenta a los proveedores de cuarto y enésimo nivel en su programa de VRM más amplio.
Identificación de proveedores críticos y determinación de la tolerancia al riesgo
Es fundamental identificar a los cuartos proveedores que trabajan con sus proveedores críticos para la misión. Si un cuarto proveedor crucial sufre una brecha de seguridad, un problema en la cadena de suministro u otra interrupción, es probable que su empresa se enfrente a consecuencias. Para mitigar el riesgo y planificar adecuadamente, necesita saber quiénes son sus cuartos proveedores. Examine su cartera de proveedores para detectar cualquier cuarto proveedor compartido por varios proveedores, como Amazon Web Services u otro proveedor común.
En un mundo ideal, usted podría asegurarse de que todas las empresas con las que trabaja apliquen los mismos estándares que usted a sus proveedores. Sin embargo, esto no siempre es así, y aun así usted necesita trabajar con cuartos, quintos y enésimos intermediarios para que su organización funcione con éxito. Por eso es esencial determinar la tolerancia al riesgo de su empresa en relación con las cuartas y enésimas partes y crear procesos para evaluar sus riesgos inherentes y residuales (es decir, los niveles de riesgo antes y después de aplicar los controles, respectivamente). Recomendamos clasificar a todos los proveedores e incluir el riesgo inherente como factor clave para establecer los requisitos de control para cada nivel de servicio. Por ejemplo, el proveedor de servicios en la nube de su proveedor estará sujeto a requisitos más estrictos que su contratista de limpieza.
También es fundamental armonizar los contratos con los proveedores en lo que respecta a la responsabilidad civil y la rendición de cuentas. Comience por documentar las prácticas de gestión de las relaciones con las unidades de negocio de las partes interesadas más importantes e identifique los puntos de contacto con los socios a lo largo de la cadena de suministro. A continuación, incorpore acuerdos de nivel de servicio y requisitos de control en los contratos en función del servicio, el nivel o la categoría de cada proveedor, e implemente la gestión del cambio para abordar cualquier cambio en el alcance. Por último, asegúrese de que se cumplan los requisitos mediante prácticas continuas de gestión del rendimiento y del acuerdo de nivel de servicio (SLA) de los proveedores.
Mapeo de relaciones con terceros
Dado que no interactúa directamente con terceros, es fundamental contar con una estrategia sólida para identificarlos durante el proceso de adquisición y diligencia debida. Si está llevando a cabo un procedimiento de licitación competitiva con posibles terceros, su solicitud de propuesta (RFP) debe incluir una pregunta sobre los cuartos. Una vez que haya reducido la lista a un finalista, debe hacer preguntas adicionales durante la fase de incorporación del proveedor. Además de identificar a los cuartos que utilizará su proveedor, debe hacer las siguientes preguntas sobre cada uno de ellos:
- ¿Tratarán directamente con sus clientes, socios o empleados?
- ¿Qué tipo de diligencia debida ha realizado con respecto a ellos en los últimos 12 meses?
- ¿Hubo algún descubrimiento digno de mención? En caso afirmativo, ¿cuáles fueron y cómo se abordaron?
- ¿Tienes un contrato con ellos en este momento?
- ¿A qué tipo de información de los clientes tienen acceso?
- ¿Se prestará alguno de los servicios del proveedor en otro país?
- ¿Requiere certificaciones de seguridad de la información para terceros?
Tomar el control con una plataforma de gestión de riesgos de proveedores
Es posible que se sienta un poco abrumado al considerar el amplio alcance de su cadena de suministro, comenzar a identificar a los proveedores de cuarto y enésimo nivel, y comprender el riesgo que pueden suponer para su negocio. Por eso, las empresas con grandes ecosistemas de proveedores y cadenas de suministro profundas suelen implementar una plataforma centralizada de gestión de riesgos de proveedores para obtener una mayor visibilidad y control sobre su población de proveedores.
Una plataforma de gestión de riesgos de proveedores puede ser un repositorio central para sus datos de terceros, cuartos y enésimos. Aunque estas plataformas se conocen como soluciones de gestión de riesgosde terceros (TPRM), muchas ofrecen sólidas capacidades para gestionar y reducir los riesgos de cuartos y enésimos. El proceso comienza con la gestión de sus terceros y, a continuación, el aprovechamiento de la solución para ampliar su visibilidad a los niveles cuarto, quinto y enésimo. Para empezar, puede aprovechar las fuentes de inteligencia de proveedores para crear un perfil completo de proveedores que incluya información sobre el sector y el negocio, así como la propiedad, e identifique las relaciones con cuartos.
Durante la incorporación de terceros y periódicamente después de eso, puede aprovechar una solución de gestión de riesgos de proveedores (o terceros) para automatizar las evaluaciones de riesgos basadas en cuestionarios diseñadas para recopilar información sobre las relaciones de cada tercero con los proveedores. La solución de Prevalent también incluye capacidades de mapeo de relaciones que le permiten identificar conexiones entre su organización y terceros, cuartos y enésimos para descubrir dependencias y riesgos en su ecosistema de proveedores extendido.
Una vez que obtenga visibilidad sobre las cuartas y enésimas partes que afectan a su negocio, puede utilizar la supervisión continua de proveedores para supervisar a los proveedores críticos. La supervisión continua de fuentes privadas y públicas de inteligencia sobre amenazas de proveedores puede proporcionar una alerta temprana de eventos y exposiciones cibernéticas, comerciales y financieras que, en última instancia, podrían afectar a sus operaciones. Todo el contenido de evaluación y supervisión debe correlacionarse y asignarse a los perfiles de proveedores de su solución VRM.
Puede ampliar la gestión de riesgos de terceros, cuartos y enésimos proveedores aprovechando las redes de inteligencia de proveedores que contienen evaluaciones completadas, datos de supervisión y puntuaciones de riesgo estandarizadas sobre miles de proveedores. Las organizaciones con recursos internos limitados también deberían considerar la posibilidad de aprovechar los servicios gestionados de evaluación de riesgos de proveedores para ampliar sus iniciativas de recopilación, análisis y corrección de datos de proveedores.
Por último, dado que una gestión eficaz del riesgo de los proveedores se basa en la colaboración entre los departamentos de seguridad informática, compras, gestión de riesgos, jurídico y otras partes interesadas, asegúrese de que su plataforma VRM ofrezca funciones de acceso basado en roles, gestión del flujo de trabajo y gestión de tareas.
Un enfoque programático para la gestión de riesgos de terceros
Un programa eficaz de gestión de riesgos de cuartos es no un proyecto único, sino un aspecto integral de su estrategia de gestión de proveedores. El riesgo de cuartos debe identificarse como una categoría de riesgo que gestionar en su política de gestión de proveedores, y las evaluaciones y la supervisión de cuartos deben integrarse en sus procedimientos operativos estándar. La gestión de riesgos de proveedores debe ser un proceso continuo y programático que tenga en cuenta el riesgo en todos los niveles de la cadena de suministro.
Prevalent puede ayudarle a crear un programa integral de gestión de riesgos con una visibilidad, eficiencia y escala sin igual, independientemente de cuál sea su situación actual. Trabajaremos con usted para encontrar la combinación de servicios gestionados, membresía de red y/o acceso a la plataforma TPRM que mejor se adapte a su organización. Obtendrá un rápido retorno de la inversión, estará preparado para tomar decisiones basadas en la inteligencia y reducirá de forma cuantificable los riesgos relacionados con los proveedores, todo ello con menos dolores de cabeza para usted y su equipo.
Próximos pasos para gestionar el riesgo de terceros
Con las recientes violaciones de seguridad y las interrupciones en la cadena de suministro, comprender los riesgos descendentes es más importante que nunca. Las empresas suelen ignorar la gestión de riesgos de cuartos, ya que dan por sentado que sus terceros aplican la misma diligencia debida a sus terceros. Tanto si cuenta con un equipo interno, como si utiliza una plataforma de gestión de riesgos de proveedores o servicios gestionados, debe evaluar a todos los cuartos que afectan a su negocio.
Descubra cómo Prevalent puede ayudarle a identificar y mitigar los riesgos de cuarta y enésima parte en su cadena de suministro. Solicite una demostración hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
