Evaluar adecuadamente los posibles riesgos que plantean terceros es un elemento crucial de la estrategia de gestión de riesgos de una organización. Los riesgos de terceros pueden incluir amenazas a la ciberseguridad, problemas de privacidad de datos, cuestiones de cumplimiento normativo y riesgos operativos, así como riesgos ambientales, sociales y de gobernanza (ESG), riesgos financieros y riesgos para la reputación. Mediante la realización de evaluaciones exhaustivas de los riesgos de terceros adaptadas a un perfil de riesgo específico, su organización puede identificar y mitigar los riesgos inaceptables a lo largo del ciclo de vida de sus relaciones con proveedores y distribuidores.
Las evaluaciones de riesgos de terceros no solo permiten a su organización detectar y reducir riesgos de forma proactiva, sino que también le ayudan a prepararse para posibles incidentes. Además, la realización de evaluaciones exhaustivas de riesgos de terceros genera confianza entre los clientes, proporciona pruebas adicionales de cumplimiento a los organismos reguladores y permite a su organización descubrir y comprender los riesgos a lo largo de su cadena de suministro distribuida.
¿Qué es una evaluación de riesgos de terceros?
Las evaluaciones de riesgos de terceros se llevan a cabo a lo largo del ciclo de vida del riesgo de los proveedores para evaluar de manera integral el riesgo organizacional que representan determinados proveedores y suministradores. Las organizaciones suelen realizar evaluaciones en varios momentos de la relación con terceros, entre ellos:
-
Durante la fase inicial de selección y abastecimiento para identificar y priorizar a los posibles proveedores y vendedores con perfiles de riesgo aceptables.
-
Antes de conceder acceso a sistemas y datos sensibles durante el proceso de incorporación, como forma de diligencia debida para evaluar posibles riesgos.
-
Periódicamente a lo largo de la colaboración con el fin de verificar el cumplimiento de los acuerdos de nivel de servicio, evaluar el cumplimiento de los contratos y cumplir los requisitos de auditoría.
-
Durante el proceso de salida, para garantizar que se cancele el acceso al sistema y que los datos se protejan o eliminen de conformidad con la normativa.
-
En caso de incidente de seguridad, determinar el alcance y el impacto de la infracción.
Las evaluaciones de riesgos de terceros utilizan cuestionarios que solicitan información sobre los controles de seguridad y privacidad de un tercero. También pueden recopilar información sobre los datos financieros y operativos del tercero, así como sus políticas sobre cuestiones medioambientales, sociales y de gobernanza (ESG). Los riesgos identificados durante el proceso de evaluación se evalúan generalmente en función de factores como la gravedad del problema y la probabilidad de que se produzca. Los resultados suelen compararse con los requisitos clave descritos en los marcos normativos o industriales, como ISO, HIPAA, PCI DSS, la Ley contra la esclavitud moderna del Reino Unido, el RGPD, NIST CSF y otras normativas fundamentales. Esto ayuda a las organizaciones a adoptar un enfoque proactivo para identificar y mitigar los riesgos asociados al trabajo con socios externos.
¿Por qué son esenciales las evaluaciones de riesgos de terceros?
En los últimos años, los negocios y las cadenas de suministro globales se han visto gravemente afectados por acontecimientos como la actual pandemia de COVID-19, fenómenos meteorológicos extremos, ciberataques importantes y otras crisis. Estas perturbaciones han provocado fallos operativos, pérdidas financieras y problemas legales para muchas organizaciones. Aunque muchos de estos acontecimientos eran inevitables, las organizaciones que contaban con sólidos programas de gestión de riesgos de terceros (TPRM) a menudo pudieron minimizar o mitigar sus efectos.
Al implementar un sólido proceso de evaluación de riesgos de terceros, su organización puede profundizar su comprensión de la cadena de suministro de terceros y evaluar de manera integral los riesgos difíciles de detectar, como el riesgo de concentración, el riesgo ESG de cuartos y el riesgo reputacional. Esto fortalece su resiliencia durante las crisis y le permite tomar decisiones comerciales inteligentes e informadas sobre el riesgo que supone contratar nuevos proveedores.
¿Cuáles son las diferentes categorías de riesgo de terceros?
Cuando se trabaja con terceros, hay tres tipos principales de riesgos que se deben tener en cuenta: los riesgos perfilados, los inherentes y los residuales. Estos tipos de riesgos determinan el nivel de profundidad que debe tener su proceso de evaluación y las medidas correctivas que debe exigir a los proveedores en función de sus prácticas comerciales y de seguridad de la información.
-
El riesgo perfilado es el riesgo que un tercero supone para su organización según información observable externamente, como su ubicación, sector, uso de cuartos, propiedad o políticas básicas de ESG. Los terceros con operaciones en una región geopolíticamente inestable o que aprovechan varios terceros propios pueden merecer un escrutinio adicional durante el proceso de evaluación de riesgos de terceros.
-
El riesgo inherente es el riesgo que supone un tercero en función de sus controles internos y prácticas comerciales. Por ejemplo, una organización que accederá a los datos de sus clientes y que ha sido auditada y verificada por terceros para cumplir con el RGPD puede tener una puntuación de riesgo inherente más baja que una organización sin un programa formalizado de seguridad de la información o privacidad de los datos.
-
El riesgo residual es el nivel de riesgo que permanece después de que el proveedor haya implementado los requisitos de su organización o si ha implementado los controles compensatorios adecuados. El riesgo residual a veces se denomina «riesgo aceptable» cuando una organización acepta los riesgos restantes asociados con el tercero.
Es importante tener en cuenta estos tres tipos de riesgos a la hora de evaluar y gestionar a terceros para identificar, mitigar y gestionar de forma eficaz los posibles peligros que pueden suponer para su organización.
¿Cómo se evalúan los riesgos de terceros?
La evaluación del riesgo de terceros implica calcular puntuaciones de riesgo que tengan en cuenta la probabilidad de que se produzca un evento y su posible impacto. Por ejemplo, consideremos un proveedor que presta servicios a un hospital y maneja grandes cantidades de información médica protegida (PHI), pero que no cumple con la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA).
En este caso, el proveedor se clasificaría como socio comercial y estaría sujeto a los mismos requisitos normativos que el proveedor de atención médica. El impacto en este escenario sería significativo, y podría dar lugar a multas tanto para el proveedor de atención médica como para el socio comercial. La probabilidad de que los reguladores descubran el incumplimiento también sería alta. Esto representaría un riesgo inaceptable para cualquier organización de atención médica y probablemente daría lugar a la rescisión del contrato.
Este ejemplo pone de relieve la importancia de realizar evaluaciones exhaustivas de los riesgos de terceros, especialmente en el caso de las organizaciones que manejan grandes cantidades de datos sensibles, como los contratistas gubernamentales y los proveedores de servicios sanitarios. En muchas situaciones, normativas como la HIPAA responsabilizan a la organización principal del incumplimiento por parte de sus proveedores, por lo que es fundamental que las organizaciones evalúen y mitiguen adecuadamente los riesgos asociados a sus relaciones con terceros.
Pasos para la evaluación de riesgos de terceros
1. Reunir a las partes interesadas internas
Los programas de evaluación de riesgos de terceros más exitosos cuentan con la aportación y/o participación de las partes interesadas, que representan múltiples funciones con diferentes prioridades. Comprender estas prioridades puede ayudar a optimizar su programa y garantizar que no se pasen por alto ni se descuiden pasos clave. Al reunir un equipo multifuncional para planificar y orientar su programa de evaluación, puede ayudar a garantizar la adopción por parte de la organización y el éxito a largo plazo.
2. Defina su nivel aceptable de riesgo residual
Es importante comprender que, incluso con los mejores esfuerzos, siempre existirá cierto nivel de riesgo al trabajar con terceros. Antes de evaluar a los posibles socios, debe establecer qué nivel de riesgo es aceptable para su organización. Esto ayudará a que la selección de proveedores y la gestión de riesgos sean más eficientes y uniformes. Este método también puede ayudarle a identificar rápidamente a los terceros que pueden no estar alineados con sus objetivos comerciales y su tolerancia al riesgo.
3. Desarrolle su proceso de evaluación de riesgos de terceros
Para gestionar eficazmente el riesgo de terceros, es esencial contar con un proceso estandarizado. Sin embargo, el proceso de evaluación de riesgos puede variar en función del tercero, su nivel de criticidad para su cadena de suministro, el acceso a datos confidenciales y la susceptibilidad a eventos que afecten a la continuidad. Por ejemplo, los terceros con alta criticidad y riesgo potencial requerirán una diligencia debida más exhaustiva que aquellos con menor riesgo. Un proceso estructurado permitirá que su programa funcione de manera más eficiente y le ayudará a tomar mejores decisiones basadas en el riesgo sobre sus relaciones con terceros.
Comenzar con una evaluación interna de perfiles y niveles puede ayudar a clasificar a sus proveedores y determinar el tipo, el alcance y la frecuencia de la evaluación necesaria para cada grupo.
4. Enviar cuestionarios de evaluación de riesgos de terceros.
Para gestionar eficazmente el riesgo de terceros, es importante recopilar información sobre los controles internos del proveedor. Una forma de hacerlo es enviando cuestionarios. Estos cuestionarios pueden abarcar una amplia gama de temas, como prácticas de seguridad de la información, requisitos de cumplimiento, estabilidad financiera y datos de proveedores de cuarta y enésima parte.
A la hora de elegir los cuestionarios para las evaluaciones de riesgos primarias, las empresas deben decidir si utilizan un cuestionario estándar del sector o crean uno propio. Los cuestionarios estandarizados, como el cuestionario Standard Information Gathering (SIG), el cuestionario H-ISAC para organizaciones sanitarias y el cuestionario Prevalent Compliance Framework (PCF), gozan de una amplia aceptación y son familiares para la mayoría de los proveedores y distribuidores. Sin embargo, si un tercero ya cuenta con una certificación de seguridad de la información, como CMMC o SOC 2, esta puede aceptarse en lugar de exigir una respuesta a la evaluación. Alternativamente, puede complementarlos con evaluaciones propias y/o ad hoc para recopilar información sobre controles específicos o riesgos potenciales ajenos a la ciberseguridad.
Otra opción es utilizar marcos de referencia al diseñar cuestionarios de evaluación de proveedores. Marcos como el Marco de Ciberseguridad del NIST, la norma ISO 27001 y el NIST 800-30 pueden ayudar a garantizar que los cuestionarios sean estándar en toda la cadena de suministro y reflejen las mejores prácticas. Además, si se aplican normativas específicas como el RGPD o el PCI-DSS, puede ser beneficioso incorporar preguntas relacionadas con esas normas directamente en el programa.
5. Complementar las evaluaciones con una supervisión continua de los riesgos
Las vulnerabilidades de ciberseguridad, los retos de la cadena de suministro y los requisitos de cumplimiento normativo evolucionan continuamente. Por lo tanto, realice un seguimiento continuo de los riesgos para detectar cualquier riesgo cibernético, empresarial, financiero o reputacional que surja entre sus evaluaciones periódicas de proveedores. También puede utilizar los datos de riesgo para verificar que las respuestas de la evaluación de terceros sean coherentes con las actividades empresariales del mundo real.
Violaciones de datos de proveedores, credenciales expuestas y otros riesgos cibernéticos
En el panorama cibernético actual, en constante evolución, las organizaciones deben supervisar de forma proactiva los riesgos externos de ciberseguridad en todo su ecosistema de proveedores, en lugar de adoptar un enfoque puntual para evaluar el riesgo de los proveedores. Entre los riesgos potenciales a los que hay que prestar atención se incluyen:
-
Exposición de credenciales
-
Violaciones de datos e incidentes confirmados
-
Aplicaciones web mal configuradas y vulnerabilidades
-
Typosquatting y otras amenazas para las marcas.
Para obtener más información sobre cómo identificar estos y otros riesgos, consulte nuestra publicación sobre las mejores prácticas en la gestión de riesgos cibernéticos en la cadena de suministro (C-SCRM).
Finanzas, prácticas comerciales y reputación de terceros
Además de los riesgos de ciberseguridad, es fundamental supervisar la estabilidad financiera, las prácticas comerciales y la reputación de los proveedores. Las quiebras financieras, las interrupciones operativas o la publicidad negativa pueden tener importantes repercusiones en su negocio y en los retos medioambientales, sociales y de gobernanza (ESG), como la esclavitud moderna, el soborno/corrupción y las cuestiones relacionadas con la protección de los consumidores. Para mitigar estos riesgos, investigue las prácticas comerciales de los proveedores, el abastecimiento de materias primas y otros procesos clave que puedan plantear problemas éticos o de reputación. Además, solicite referencias de clientes y socios para obtener más información sobre la capacidad de terceros para cumplir los acuerdos de nivel de servicio (SLA) y otras obligaciones contractuales.
Selección de una estrategia de seguimiento
Es importante contar con una estrategia integral y eficaz a la hora de crear un programa de supervisión. Muchas empresas utilizan software automatizado de supervisión de amenazas de proveedores para identificar y puntuar los riesgos. Esto puede ayudar a las organizaciones a recopilar información de forma eficaz a partir de diversas fuentes, como la inteligencia de código abierto.
6. Clasificar y remediar los riesgos
Al evaluar los riesgos de terceros, es esencial clasificarlos como aceptables o inaceptables. Los riesgos inaceptables deben abordarse antes de trabajar con el proveedor. La corrección de estos riesgos puede adoptar diversas formas, como exigir una certificación de seguridad como SOC 2, poner fin a las relaciones con proveedores de cuarto y enésimo nivel, o cambiar las prácticas comerciales que podrían provocar interrupciones en la cadena de suministro u otras perturbaciones.
Contar con una estrategia definida de respuesta ante incidentes también es fundamental en caso de una violación de datos u otra interrupción causada por un proveedor. Con un plan preestablecido, puede acelerar significativamente el tiempo de respuesta y minimizar el impacto en su organización.
Cómo iniciar un programa de evaluación de riesgos de terceros
Muchas empresas cometen el error de utilizar una combinación de correo electrónico y hojas de cálculo al poner en marcha un programa de evaluación. Este enfoque manual puede requerir mucho tiempo y ser difícil de gestionar, especialmente cuando se trabaja con muchos proveedores. Además, a menudo da lugar a datos limitados y poco fiables.
Para crear un programa de evaluación eficaz, considere la posibilidad de utilizar una red de inteligencia de proveedores que proporcione acceso a una biblioteca de informes de riesgo de proveedores basados en datos de evaluación estandarizados. Otra opción es una solución automatizada de evaluación de riesgos de terceros, que permite una mayor personalización y control sobre el proceso de evaluación. Alternativamente, un proveedor de servicios gestionados puede realizar evaluaciones en su nombre si se prefiere un enfoque más pasivo.
Próximos pasos
Prevalent ofrece soluciones y servicios de evaluación de riesgos de terceros como parte de nuestra plataforma integral de gestión de riesgos de terceros. Para analizar sus necesidades específicas con un experto de Prevalent, solicite hoy mismo una demostración personalizada.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
