He aprendido algunas lecciones valiosas a lo largo de mis 20 años de experiencia en ciberseguridad, privacidad de datos, auditoría, cumplimiento normativo y consultoría. Por ejemplo, al implementar el programa de gestión de riesgos de terceros (TPRM) en una empresa sanitaria incluida en la lista Fortune 10, descubrí lo importante que es anticiparse a las necesidades de los auditores y examinadores del programa.
De hecho, simplificar las iniciativas de cumplimiento normativo ha sido uno de los principales impulsores de todos los programas de TPRM en los que he participado, y he tenido que superar muchos obstáculos por el camino. A continuación, expongo cinco de los mayores escollos en materia de cumplimiento normativo de TPRM con los que me he encontrado, además de algunos consejos sobre cómo superarlos.
Errores comunes en el cumplimiento de las normas TPRM
1. Falta de documentación
Recopilar pruebas documentadas de controles, procesos y procedimientos es fundamental en todas las auditorías de cumplimiento. Sin embargo, cuando trabajo con clientes, a menudo encuentro que su documentación está desactualizada, obsoleta o es inconsistente con las regulaciones y mejores prácticas actuales. En muchos casos, no hay indicios de propiedad, revisión o aprobación, y las pruebas de las herramientas y técnicas necesarias a menudo no se adjuntan a los procedimientos existentes. Lo que es peor, gran parte de la documentación que he revisado no está redactada lo suficientemente bien como para que los nuevos miembros del equipo puedan asumir la responsabilidad cuando sea necesario.
2. Desconocimiento de las políticas y normas corporativas
La mayoría de los programas de TPRM hacen todo lo posible por cumplir los requisitos normativos y los estándares del sector, pero muchos no se ajustan a las políticas y estándares corporativos u organizativos. Algunos ejemplos son:
- Renunciar a la verificación de antecedentes de nuevos proveedores (por ejemplo, revisar infracciones recientes, situación financiera, problemas operativos, etc.).
- No establecer normas de conectividad basadas en la sensibilidad de los datos (por ejemplo, cuándo permitir el acceso a través de VPN o de puertas de enlace seguras).
- No aislar las zonas «prohibidas» o las áreas de la red que deben estar segregadas (por ejemplo, mediante acceso privilegiado).
- Utilizar contratos no aprobados cuando los compradores «se rebelan»
- Eludir por completo el proceso TPRM para incorporar a un nuevo proveedor lo antes posible.
Salirse de las políticas corporativas aprobadas expone a su organización a riesgos innecesarios y podría dar lugar a que su proyecto no reciba la financiación que necesita para tener éxito.
3. Falta de métricas significativas
No medir el progreso hacia los objetivos de riesgo ralentizará el proceso de auditoría. Analice con honestidad sus métricas actuales. Por ejemplo, ¿son:
- ¿Informar con precisión sobre los riesgos empresariales y de los proveedores?
- ¿Descubriendo posibles ajustes en los datos y la información?
- ¿Representativo del entorno de evaluación real?
- ¿Proporcionar informes de riesgos relevantes y contextuales a la dirección y a las unidades de negocio clave?
- ¿Proporcionar apoyo y valor a todas las partes interesadas?
4. No hay un inventario centralizado de proveedores.
Uno de los principales retos de los nuevos programas de TPRM es identificar quiénes son sus proveedores y distribuidores. Algunos pueden estar gestionados por el equipo de seguridad informática, mientras que otros están a cargo del departamento de compras u otro departamento. No disponer de una lista oficial de proveedores puede entorpecer su proyecto de TPRM. Por eso es importante determinar quién es el responsable de mantener el «libro de registro» del inventario de proveedores de su organización.
Asegúrese de que la documentación de su política de TPRM refleje la propiedad de su grupo o haga referencia a la política del propietario. Además, sincronícese periódicamente con cualquier equipo involucrado en el mantenimiento de los inventarios de proveedores, como el de abastecimiento/adquisiciones, los propietarios de negocios, el jurídico y (como último recurso) el de cuentas por pagar.
5. Siempre en modo reactivo
Demasiados programas de TPRM operan en modo reactivo y están constantemente a la defensiva. Esto es la culminación de los cuatro errores de cumplimiento anteriores, en los que los programas carecen de documentación, políticas, métricas y/o un inventario central de proveedores. Adoptar un enfoque más proactivo del cumplimiento de TPRM agilizará sus operaciones, le permitirá actualizar la documentación a medida que se produzcan cambios y abrirá las líneas de comunicación con las partes interesadas en torno a las métricas y otras necesidades del programa.
Cómo evitar errores en el cumplimiento de las normas TPRM
Aquí hay cuatro consejos para adoptar un enfoque más proactivo en materia de cumplimiento de TPRM:
1. Centralizar la documentación de proveedores y distribuidores para su certificación y revisión.
Su solución TPRM debería permitirle a usted (y a sus proveedores) cargar documentación, políticas, pruebas, etc. en perfiles de proveedores centralizados. También debería poder escanear la documentación en busca de palabras clave para determinar la idoneidad de las pruebas. Si un escaneo informa de un bajo nivel de cumplimiento, su solución TPRM debería permitirle solicitar automáticamente documentación adicional o actualizada al proveedor.
2. Crear y reforzar medidas de selección, evaluación y contratación de proveedores para toda la empresa.
Al establecer o perfeccionar su programa de gestión de riesgos de terceros, considere formalizar lo siguiente:
- Políticas, normas, sistemas y procesos de gobierno para proteger los sistemas y los datos.
- Funciones y responsabilidades (por ejemplo, RACI) de todos los miembros del equipo involucrados.
- Inventarios de terceros para comprender la escala y el alcance de la participación de los proveedores.
- Enfoques de clasificación y categorización de terceros
- Puntuación y umbrales de riesgo basados en la tolerancia al riesgo de su organización
- Metodologías de evaluación y supervisión basadas en la criticidad de terceros
- Indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI) para evaluar su programa y a terceros.
- Requisitos de cumplimiento y presentación de informes contractuales
- Procesos de respuesta ante incidentes
- Informes internos para los accionistas destinados a la dirección y al consejo de administración.
- Estrategias de mitigación y corrección de riesgos
Cada uno de estos elementos es fundamental para crear un plan integral de TPRM que pueda resistir el escrutinio de los auditores.
3. Identificar métricas significativas.
Las áreas de KPI/KRI a tener en cuenta incluyen:
- Métricas de riesgo que le ayudan a comprender el riesgo de hacer negocios con un proveedor (por ejemplo, su cumplimiento de los controles).
- Métricas de amenazas proporcionadas por proveedores de inteligencia sobre amenazas de código abierto que añaden contexto al entorno empresarial.
- Métricas de cumplimiento para comprender el rendimiento en relación con los compromisos
- Métricas de cobertura para determinar si tiene cobertura de su base de proveedores o distribuidores.
Prevalent tiene un libro electrónico sobre KPI/KRI que enumera las 25 métricas más importantes que debe tener en cuenta en su programa de TPRM.
4. Crear un inventario centralizado de proveedores.
Su solución TPRM debería permitirle crear un inventario de proveedores, ya sea cargando una hoja de cálculo con información de perfil o utilizando una conexión API a una solución de compras o cuentas por pagar ya existente. A medida que incorpore a terceros a su inventario central, cree perfiles que incluyan información demográfica, titularidad real, tecnologías de cuarta parte, puntuaciones ESG, información reciente sobre el negocio y la reputación, historial de violaciones de datos, conclusiones normativas recientes y rendimiento financiero. Tener toda esta información en un solo lugar facilitará enormemente todos los demás procesos de TPRM.
Próximos pasos
Para obtener más consejos sobre cómo reforzar su programa de TPRM y mejorar su preparación para la próxima auditoría, consulte mi seminario web bajo demanda con Prevalent, Los principales errores en el cumplimiento de la gestión de riesgos de terceros.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
