Marcos de gestión de riesgos de terceros: Panorama general

No existe un enfoque único que sea ideal para todas las organizaciones, pero algunos marcos de trabajo de uso común sirven como un punto de partida sólido. Esto es lo que necesita saber.

Personal de Mitratech
Personal de Mitratech Agosto 19, 2024 12 minutos de lectura

La creación de un programa de gestión de riesgos de terceros es un proceso complejo que implica gestionar cientos, o incluso miles, de proveedores en varios continentes y jurisdicciones legales. Las empresas deben abordar diversos riesgos de terceros, incluidos los riesgos financieros, las exposiciones a la ciberseguridad, las acciones legales, los fallos de rendimiento y las posibles interrupciones operativas de cada proveedor. A medida que las organizaciones externalizan cada vez más una parte significativa de su carga de trabajo, la creación de un programa integral de TPRM se ha vuelto más importante que nunca.

Aunque no existe un enfoque único de TPRM que funcione para todas las organizaciones, algunos marcos de trabajo de uso común proporcionan un punto de partida sólido. Entre ellos se incluyen los controles de TI y los marcos de ciberseguridad de la cadena de suministro del Instituto Nacional de Estándares y Tecnología (NIST) y la Organización Internacional de Normalización (ISO), así como marcos alineados con otros tipos de riesgos, como los ambientales, sociales y de gobernanza (ESG). Las políticas de gestión de riesgos de terceros guían a las organizaciones en la creación, aplicación, gestión e implementación de las mejores prácticas derivadas de estos marcos.

¿Qué es un marco de gestión de riesgos de terceros?

Los marcos de gestión de riesgos de terceros ofrecen una hoja de ruta para que las organizaciones desarrollen sus programas de TPRM basándose en las mejores prácticas estándar del sector. Estos marcos pueden servir como base para un programa de TPRM y proporcionar requisitos de control básicos para los proveedores y distribuidores externos, en función de los tipos de riesgos que su organización considere importantes evaluar.

Los marcos de TPRM suelen clasificarse en categorías de seguridad y no seguridad:

  1. Marcos de gestión de riesgos de terceros (TPRM) o de gestión de riesgos de la cadena de suministro (SCRM): están diseñados como marcos fundamentales para desarrollar su programa. Algunos ejemplos son el marco TPRM de Shared Assessments y el NIST 800-161.
  2. Marcos auxiliares de seguridad de la información: pueden complementar un programa TPRM o ayudar a diseñar cuestionarios de evaluación de riesgos de proveedores, como NIST CSF v2.0, ISO 27001 e ISO 27036.
  3. Marcos no relacionados con las tecnologías de la información y los criterios ESG: Se trata de marcos más amplios centrados en controles no cibernéticos, normativas ESG y políticas. Algunos ejemplos son la Directiva sobre la divulgación de información corporativa en materia de sostenibilidad (CSRD) y el Carbon Disclosure Project (CDP).

¿Por qué son importantes los marcos de gestión de riesgos de terceros?

El riesgo de terceros es un aspecto cada vez más crucial de la gestión de riesgos empresariales. Hoy en día, las empresas dependen de una amplia gama de proveedores y distribuidores globales, lo que las hace vulnerables a interrupciones que pueden ser de leves a graves. Estas interrupciones pueden deberse a quiebras, acontecimientos geopolíticos o violaciones de datos que afectan a terceros.

Los marcos de TPRM y seguridad de la información proporcionan controles y orientación valiosos para las organizaciones que desean mitigar los riesgos en las relaciones con terceros. Por ejemplo, el marco TPRM de Shared Assessments abarca todo el ciclo de vida de la gestión de riesgos de los proveedores y ofrece una guía completa para crear un programa TPRM sólido.

Marcos como NIST 800-161, ISO 27036 y Shared Assessments proporcionan una base sólida para desarrollar un programa TPRM. Los marcos de seguridad de la información como ISO 27001, NIST CSF y NIST 800-37 guían el proceso de evaluación de riesgos de los proveedores y ayudan a crear cuestionarios
que evalúan con precisión la madurez de la ciberseguridad de una empresa.

Consideraciones a tener en cuenta al elegir un marco TPRM

Cada marco puede proporcionar a su organización cierto control para cumplir de manera integral los objetivos normativos, de gestión de riesgos y de diligencia debida. Muchas organizaciones optan por trabajar exclusivamente con NIST o ISO y se basan en múltiples marcos y documentos de orientación de esas organizaciones a la hora de desarrollar su programa. Por ejemplo, una organización puede basar su programa de gestión de riesgos de la cadena de suministro en NIST 800-161 y recurrir a elementos de NIST 800-53, NIST CSF v2.0 y NIST RMF para desarrollar plenamente su programa y su enfoque de evaluación de proveedores. Considere las necesidades y requisitos de su organización antes de elegir un marco.

Comprenda su panorama de riesgos

Al implementar un marco de gestión de riesgos de terceros, las empresas deben examinar la naturaleza del riesgo involucrado y lidiar con los entornos comerciales, normativos y legales cambiantes. Comprender los riesgos organizacionales es el primer paso para elegir el marco adecuado para su empresa. Estas categorías de riesgo incluyen (pero no se limitan a):

  • Riesgos relacionados con la ciberseguridad y la privacidad de los datos
  • Mercado/Reputación
  • Finanzas
  • Legal y normativo
  • Estratégico
  • Tecnología
  • Gente/Cultura
  • Fraude
  • Riesgos operativos
  • Propiedad intelectual
  • Geopolítico
  • Medioambiental, social y de gobernanza

Tener en cuenta el posible impacto operativo.

El TPRM no solo consiste en garantizar que una asociación no exponga a su organización a un riesgo potencial intolerable, sino también en recompensar a los proveedores que reducen los riesgos de su organización a través de sus prácticas. Por eso es fundamental seleccionar el marco de TPRM adecuado y comprender su impacto en su ecosistema de proveedores externos. A la hora de elegir los marcos que le ayudarán a crear su programa de TPRM, tenga en cuenta lo siguiente:

  • ¿Cómo se integra el marco con sus flujos de trabajo existentes?
  • ¿Cómo se alinea el marco con el marco general de gestión de riesgos empresariales de su organización?
  • ¿El marco tiene o publica puntos de referencia disponibles?
  • ¿Se actualiza con frecuencia el marco para abordar los riesgos en constante evolución, como los riesgos de ciberseguridad, los cambios geopolíticos y los cambios en el entorno jurídico?
  • ¿Existen definiciones estándar de riesgo alto, medio y bajo?
  • ¿Qué marcos de TPRM utilizan sus clientes y le exigen que respete?
  • ¿Existen procesos de remediación estándar en la literatura asociados con el marco TPRM?
  • ¿Existen requisitos normativos específicos del sector que deban tenerse en cuenta? (por ejemplo, para instituciones financieras o proveedores de servicios sanitarios)
  • ¿En qué medida se ha adoptado el marco TPRM? Es decir, ¿se puede utilizar para abordar las preocupaciones relacionadas con el riesgo de terceros?

Una vez que haya identificado los problemas empresariales específicos que debe abordar, examine los marcos individuales de gestión de riesgos de seguridad de la información, cadena de suministro y riesgos no cibernéticos. Shared Assessments, NIST 800-161 e ISO 27036 pueden proporcionar ejemplos específicos de controles importantes de SCRM y TPRM, mientras que los marcos de seguridad de la información como NIST CSF pueden impulsar sus procesos de gestión de riesgos de terceros.

Resumen de los marcos de gestión de riesgos de terceros

Marcos de evaluación compartidos

Evaluaciones compartidas Marco TPRM

Shared Assessments ha publicado un conjunto completo de mejores prácticas de TPRM. Este marco está diseñado para ayudar a las organizaciones a establecer, supervisar, optimizar y madurar su programa de TPRM utilizando un conjunto estandarizado de controles. El marco se divide en dos secciones: fundamentos y procesos. Los fundamentos incluyen cuatro secciones: introducción, conceptos básicos, aceptación y gobernanza. Los procesos incluyen ocho familias que van desde el análisis de la externalización y la diligencia debida hasta la supervisión continua.

Shared Assessments es uno de los pocos marcos que se centra exclusivamente en el riesgo de terceros, en lugar de abordar temas más amplios como la gestión del riesgo en la cadena de suministro o la seguridad de la información organizativa. Sin embargo, es necesario pagar una cuota de afiliación.

Evaluaciones compartidas Cuestionario estandarizado de recopilación de información (SIG)

Shared Assessments publica un cuestionario estandarizado de recopilación de información que permite a las organizaciones realizar evaluaciones de riesgos de terceros que se pueden preasignar fácilmente a normas como ISO, HIPAA, NIST, GDPR y PCI DSS. Incluye una herramienta de gestión que permite seleccionar preguntas predefinidas, una lista de verificación de implementación y orientación sobre la documentación que se debe solicitar a los proveedores externos. SIG es beneficioso para las organizaciones que están iniciando sus programas de TPRM.

Marcos de gestión de riesgos de terceros del NIST

Marco de gestión de riesgos de la cadena de suministro del NIST (NIST 800-161)

La norma NIST 800-161 es una guía complementaria a la norma NIST 800-53 Rev. 5 , centrada específicamente en ayudar a las entidades federales de EE. UU. a gestionar los riesgos de la cadena de suministro. Aunque está dirigida a las entidades federales, la norma NIST 800-161 también puede resultar extremadamente útil para diseñar un programa de TPRM o SCRM para organizaciones del sector privado. La norma NIST 800-161 divide el proceso de gestión de riesgos de la cadena de suministro en cuatro fases: enmarcar, evaluar, responder y recuperarse. Incluye 19 familias de controles que van desde la formación en materia de sensibilización hasta la adquisición de sistemas y servicios.

Aunque la gestión de riesgos de la cadena de suministro y la gestión de riesgos de terceros son diferentes, existen importantes solapamientos entre ambas. Seguir las directrices de la norma NIST 800-161
puede proporcionar una base excelente para crear un programa de TPRM competente. La norma NIST 800-161 beneficia a las grandes organizaciones multinacionales con cadenas de suministro complejas y necesidades avanzadas de SCRM.

Marco de gestión de riesgos (RMF) 800-37 del NIST, revisión 2

El NIST también ha publicado un marco integral de gestión de riesgos que permite a las empresas de todos los sectores integrar a la perfección la gestión de riesgos de terceros y la gestión de la seguridad de la información. La norma NIST 800-37 proporciona una base sólida para gestionar los riesgos en toda la empresa, incluidos los relacionados con terceros y cuartos. La sección 2.8 del RMF del NIST merece especial atención cuando se consideran cuestiones relacionadas con el riesgo de la cadena de suministro. La norma NIST 800-37 puede resultar especialmente útil a la hora de considerar estrategias de mitigación de riesgos para la incorporación de nuevos proveedores externos.

Marco de Ciberseguridad (CSF) 2.0 del NIST

A la hora de diseñar cuestionarios para proveedores, las prácticas recomendadas descritas en el Marco de Ciberseguridad del NIST pueden resultar muy valiosas. Esta biblioteca de prácticas recomendadas proporciona un conjunto de normas que ofrece a todos los participantes el mismo modelo de referencia a la hora de debatir problemas. El NIST CSF está ampliamente considerado como el estándar de referencia para crear un programa de ciberseguridad. Puede ayudarle a medir con precisión el perfil de riesgo cibernético de un proveedor potencial como parte del proceso de evaluación. Crear su cuestionario de riesgo de proveedores basándose en los controles que se encuentran en el NIST CSF puede ser especialmente útil para las organizaciones con grandes preocupaciones en materia de privacidad de datos o cumplimiento normativo.

Marcos ISO TPRM

ISO 27001 y 27002

Las normas ISO 27001 y 27002 establecen los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de la seguridad de la información. Los requisitos de la ISO son mucho más amplios que el riesgo de terceros, pero incluyen una sección significativa sobre la gestión del riesgo de los proveedores como parte de un programa más amplio de seguridad de la información. Al diseñar su programa TPRM, vale la pena tener en cuenta las disposiciones de la ISO relacionadas con el riesgo de terceros y los controles de seguridad de la información más amplios que podrían aplicarse a su proceso de evaluación de riesgos de proveedores.

ISO 27036-2

Si su organización cuenta con proveedores y distribuidores internacionales externos, también puede ser conveniente aprovechar los procesos de la Organización Internacional de Normalización específicos para la gestión de riesgos de terceros (TPRM) y la seguridad de la información. La norma ISO 27036-2 especifica los requisitos fundamentales de seguridad de la información para definir, implementar, operar, supervisar, revisar, mantener y mejorar las relaciones con proveedores y adquirentes.

Esta norma es especialmente relevante para la gestión de riesgos de terceros, ya que los requisitos abarcan la adquisición y el suministro de productos y servicios. Las cláusulas 6 y 7 definen los requisitos fundamentales y de alto nivel en materia de seguridad de la información aplicables a la gestión de varias relaciones con proveedores en cualquier momento del ciclo de vida de dicha relación. La norma incluye riesgos físicos profesionales, como guardias de seguridad, personal de limpieza, servicios de entrega, mantenimiento de equipos y procesos más estándar relacionados con los servicios en la nube, los domicilios de datos, los procesos de cumplimiento compartidos y los requisitos. La norma ISO 27036-2 está diseñada para gestionar todo el ciclo de vida de la relación comercial, incluyendo:

  • Inicio: alcance, análisis de viabilidad/coste-beneficio, comparación de las opciones de internalización frente a externalización, así como enfoques variantes o híbridos, como la co-externalización.
  • Definición de los requisitos, incluidos los requisitos de seguridad de la información.
  • Adquisiciones, incluyendo la selección, evaluación y contratación de proveedores.
  • Transición o implementación de los acuerdos de suministro, con mayores riesgos en torno al período de implementación.
  • Operación que incluye aspectos tales como gestión rutinaria de relaciones, cumplimiento normativo, gestión de incidentes y cambios, supervisión.
  • La actualización es una etapa opcional para renovar el contrato, tal vez revisando los términos y condiciones, el rendimiento, los problemas y los procesos de trabajo.
  • Rescisión y salida

Marcos medioambientales, sociales y de gobernanza

Los marcos ESG guían a las organizaciones en la divulgación de datos sobre su impacto medioambiental, prácticas sociales y estructuras de gobernanza, proporcionando un plan estandarizado para medir y comunicar la sostenibilidad y el impacto ético. Desarrollados por entidades como ONG, gobiernos y grupos empresariales, estos marcos definen las métricas que se deben seguir, el formato de presentación de informes y la frecuencia de divulgación. Son fundamentales para estandarizar la presentación de informes ESG en toda la cadena de suministro, lo que permite a las partes interesadas, como inversores, reguladores y consumidores, evaluar y comparar el rendimiento de las organizaciones. Mientras que algunos marcos ofrecen flexibilidad voluntaria, otros son obligatorios por ley y exigen un cumplimiento estricto.

Proyecto de Divulgación de Carbono (CDP)

El CDP es un marco de referencia centrado en la gobernanza y las políticas medioambientales, la gestión de riesgos y oportunidades, y los objetivos medioambientales. Ofrece cuestionarios detallados sobre el cambio climático, el agua y los bosques, que son puntuados por socios acreditados. El CDP es especialmente valioso para las organizaciones que desean mejorar la transparencia y la rendición de cuentas en sus prácticas medioambientales.

Iniciativa Mundial para la Elaboración de Informes (GRI)

El GRI es uno de los marcos ESG voluntarios más utilizados. Proporciona normas exhaustivas para la presentación de informes sobre cuestiones económicas, medioambientales y sociales. La estructura modular del GRI permite a las organizaciones elegir las normas más relevantes para sus temas materiales, lo que lo convierte en un marco flexible y de amplia aplicación.

Directiva sobre la divulgación de información corporativa en materia de sostenibilidad (CSRD)

La CSRD (
) es un marco regulatorio desarrollado por la Unión Europea. Exige a las organizaciones informar sobre diversos temas relacionados con la sostenibilidad, incluyendo cuestiones medioambientales y sociales. La CSRD hace hincapié en la doble materialidad, exigiendo a las empresas que tengan en cuenta los impactos financieros y sociales en sus informes. Este marco es obligatorio para las organizaciones que operan en la UE y se espera que afecte a miles de empresas en todo el mundo.

Reflexiones finales sobre los marcos de TPRM

Seguir las directrices del NIST, la ISO, Shared Assessments y otros proveedores de marcos de trabajo puede ayudar a reducir gran parte del trabajo manual que supone diseñar su programa de TPRM. Los marcos NIST 800-161 e ISO 27036-2 pueden proporcionar información valiosa sobre los controles comúnmente adoptados en los programas TPRM y SCRM. Otros marcos, como NIST CSF, ISO 27001 y NIST 800-37, pueden ser extremadamente útiles para diseñar su proceso de evaluación de riesgos de proveedores, mientras que CDP, GRI y otros se centran en la presentación de informes ESG en su cadena de suministro.

Próximos pasos: Automatizar con Prevalent

La plataforma Prevalent Third-Party Risk Management simplifica el proceso de creación de un programa TPRM eficaz y optimizado. Le permite recopilar rápidamente información sobre los controles de los proveedores, incluyendo seguridad informática, cumplimiento normativo, rendimiento, cumplimiento de contratos, continuidad del negocio, situación financiera, reputación, ética, lucha contra el soborno y la corrupción, ESG, diversidad y mucho más. A continuación, puede correlacionar estos resultados con la información obtenida mediante la supervisión continua para validar la eficacia de los controles.

Prevalent ayuda a automatizar y estandarizar las evaluaciones de riesgo de los proveedores utilizando diversos marcos y normativas, al tiempo que ofrece supervisión del riesgo de los proveedores y gestión de correcciones a lo largo de todo el ciclo de vida del riesgo de terceros. Con flujos de trabajo predefinidos y cuestionarios adaptados a los estándares del sector, la plataforma agiliza y rentabiliza considerablemente el establecimiento y la gestión de su programa TPRM. Además, proporciona acceso bajo demanda a informes de riesgo completos y estandarizados sobre miles de empresas a través de sus redes de inteligencia de proveedores.

Póngase en contacto con Prevalent para obtener una evaluación gratuita de madurez que le permita determinar cómo se comparan sus políticas actuales de TPRM, o solicite hoy mismo una demostración de la plataforma TPRM de Prevalent.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.