Ante la persistente amenaza de intrusiones cibernéticas por parte de terceros y los continuos fallos en la cadena de suministro provocados por la pandemia, así como el creciente escrutinio regulatorio sobre las relaciones con terceros, muchas organizaciones están prestando cada vez más atención a la gestión de riesgos de los proveedores. Sin embargo, los datos del estudio anual de Prevalent sobre las mejores prácticas en la gestión de riesgos de terceros muestran que, aparte de los equipos típicos de TI y seguridad, pocos equipos empresariales tienen voz en la mesa de TPRM. Sin la aceptación de las prácticas de TPRM por parte de la organización, las empresas se enfrentarán a un aumento de los costes de evaluación, a una complejidad innecesaria y a riesgos no detectados que podrían provocar interrupciones en el negocio.
Es evidente que las organizaciones deben ampliar sus iniciativas de TPRM para incluir equipos más allá de TI y seguridad. En esta publicación se identifican las funciones de toda la empresa que los equipos de TI y seguridad deben desempeñar en las decisiones de TPRM. Esta lista no es en absoluto exhaustiva, pero incluye algunas de las principales partes interesadas en el éxito del programa TPRM.
Funciones de gestión de riesgos de terceros
Adquisiciones y abastecimiento
Pocos equipos dentro de una empresa desempeñan un papel tan fundamental en la gestión de riesgos de terceros como el equipo de compras. Al fin y al cabo, este equipo es probablemente el responsable de gestionar la selección de proveedores y las evaluaciones asociadas; negociar las tarifas y renovaciones de los contratos (y medir el cumplimiento de los términos de entrega del contrato); llevar a cabo tareas de incorporación; rescindir contratos; y mucho más.
Un factor crítico para el éxito de la gestión de riesgos de proveedores (TPRM) para el equipo de compras es mantener el acceso a datos coherentes sobre los proveedores, desde métricas de rendimiento y acuerdos de nivel de servicio (SLA) contractuales hasta medidas financieras y de reputación. Además, los equipos de compras necesitarán un repositorio central para los contratos y otra documentación que simplifique la gestión de la relación con los proveedores, con integración en sus herramientas de compras existentes.
Lo fundamental para muchos profesionales de compras es el tiempo: reducir el tiempo a lo largo del ciclo de vida de la compra al pago (P2P) para no ralentizar el negocio, ya sea en la evaluación de nuevos proveedores o en la determinación de los riesgos de renovación. Involucre al equipo de compras desde el principio del desarrollo del proyecto para garantizar que se satisfagan sus necesidades desde el inicio.
Gestión de riesgos
Los equipos de gestión de riesgos interactúan con múltiples departamentos de una empresa, ya que su función consiste en reunir los riesgos de toda la empresa para determinar los niveles aceptables. Para lograr este objetivo, los equipos de gestión de riesgos deben evaluar múltiples tipos de riesgos en toda la organización, incluidos los de terceros.
Una frustración habitual para los equipos de gestión de riesgos es la creación de silos cuando cada departamento trata los riesgos de forma diferente. Sin una función que lo integre todo, las prácticas de gestión de riesgos pueden ser inconsistentes y dejar brechas de seguridad.
Debido a su función central en materia de riesgos, los equipos de gestión de riesgos utilizan herramientas de gobernanza, riesgo y cumplimiento (GRC) para gestionar los riesgos en toda la empresa. Por lo tanto, estos equipos deben estar al tanto de los riesgos más allá de la ciberseguridad que podrían afectar a la capacidad de cumplimiento de un tercero. Por ejemplo, los equipos de gestión de riesgos querrán saber cómo puntúan los proveedores en materia medioambiental, social y de gobernanza (ESG), lucha contra el soborno y la corrupción (ABAC), esclavitud moderna y medidas financieras, así como qué procesos tienen implantados los proveedores para gestionar la resiliencia de su propia empresa y evitar interrupciones.
Al igual que con los equipos de compras, el departamento de gestión de riesgos debe participar desde el principio en un proyecto de TPRM (suponiendo que no sean los creadores del proyecto) para que puedan definir los parámetros de riesgo que se ajusten a los esfuerzos generales de gestión de riesgos de la empresa.
Protección de datos
Los datos son el alma de la mayoría de las empresas, y los métodos para proteger el acceso a los datos son los controles informáticos más habituales en la actualidad. Sin los controles adecuados para la protección de datos, terceros pueden convertirse en participantes involuntarios de violaciones dirigidas a la información de identificación personal (PII) de sus clientes. De hecho, las violaciones de Kaseya, Colonial Pipeline y Microsoft Exchange fueron provocadas por ransomware o tenían elementos de ransomware destinados a bloquear el acceso a los sistemas y datos.
Los reguladores son conscientes de ello y han desarrollado medidas y bases de referencia para garantizar que se apliquen los controles más básicos de protección de datos (véase el RGPD
o la CCPA). Los equipos de privacidad de datos necesitan tener una visión precisa de cómo interactúan los terceros con los datos de una empresa para mitigar el riesgo de accesos no deseados. El mapeo de los flujos de información entre terceros,cuartos y enésimos es un factor clave para los equipos de privacidad de datos, al igual que el descubrimiento y la propiedad de los datos internos. Los informes de cumplimiento y los controles internos que evalúan las medidas de protección de datos son fundamentales.
Asegúrese de involucrar a los equipos de privacidad de datos al elaborar su estrategia de evaluación de riesgos de terceros para garantizar que formula preguntas que aclaren los controles de protección de datos del proveedor.
Auditoría y cumplimiento normativo
Las regulaciones gubernamentales y los marcos normativos de la industria en todo el mundo exigen a las empresas que demuestren que cuentan con controles relacionados con el acceso de terceros a los sistemas y datos. Sin embargo, la mayoría de los equipos de auditoría y cumplimiento normativo intentan recopilar informes de control significativos a partir de una multitud de herramientas diferentes (por ejemplo, hojas de cálculo) en toda la organización.
Al igual que el equipo de privacidad de datos, el equipo de auditoría y cumplimiento necesitará plantillas sencillas para la elaboración de informes y el mapeo de controles que permitan hacer llegar los datos adecuados a las partes interesadas pertinentes, de modo que puedan demostrar el cumplimiento o articular una vía para la corrección. Asegúrese de colaborar con el equipo de auditoría y cumplimiento desde el principio para comprender qué normativas requieren qué tipo de informes y si estos pueden satisfacerse alineándose con un marco de control del sector, como NIST
o ISO.
Próximos pasos
Prevalent unifica los equipos de compras, abastecimiento, gestión de riesgos, privacidad de datos, auditoría y seguridad informática con una única solución que evalúa múltiples tipos de riesgos de los proveedores, ofrece informes y análisis centralizados, y proporciona un proceso programático para gestionar a terceros y remediar los riesgos a lo largo del ciclo de vida del proveedor.
Para obtener más consejos sobre cómo involucrar a las partes interesadas clave mientras desarrolla su programa de TPRM, descargue el informe técnico «Diez pasos para desarrollar un programa eficaz de gestión de riesgos de terceros» o póngase en contacto con nosotros hoy mismo para concertar una sesión estratégica.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
