En el mundo actual, altamente conectado y globalizado, es probable que su organización dependa de una multitud de terceros, cuartos y enésimos. Cada empresa de su ecosistema de proveedores o cadena de suministro, así como cada uno de sus proveedores y socios, puede suponer un cierto nivel de riesgo empresarial y/o cibernético para su organización.
Las herramientas de gestión de riesgos de terceros pueden permitir a su organización comprender mejor su cadena de suministro, acelerar los procesos de diligencia debida de los proveedores, evaluar y analizar continuamente los riesgos, y gestionar de manera eficiente las medidas correctivas y de mitigación.
Este artículo analiza cuatro categorías de herramientas de gestión de riesgos de terceros, revelando las ventajas y desventajas de cada una.
¿Por qué son importantes las herramientas TPRM?
La gestión de riesgos de terceros (TPRM) ha pasado de ser una tarea anual que consistía en revisar una lista de comprobación a convertirse en una práctica cotidiana fundamental. A medida que la tecnología ha permitido un intercambio de datos y una distribución del trabajo sin precedentes, muchas organizaciones han cedido el control de los datos y la gestión de sus sistemas y procesos a proveedores externos a cambio de una mayor eficiencia, ahorro de costes y escalabilidad. Más recientemente, esta pérdida de control se ha acelerado con la disponibilidad y adopción generalizadas de soluciones de software basadas en la nube.
Con la expansión de la economía de la información, actores que van desde delincuentes individuales hasta estados nacionales disponen de una inmensa superficie de ataque que les ofrece varias vías para alcanzar sus objetivos. Como se ha demostrado en los recientes ataques a la cadena de suministro, como los que aprovecharon fallos en la tecnología de SolarWinds, Kaseya y Microsoft Exchange, la vía de menor resistencia suele ser a través de los proveedores y distribuidores de una empresa.
Sin embargo, el riesgo de los proveedores no se limita a los datos y la privacidad. Los problemas financieros y de mercado pueden provocar interrupciones operativas. Las deficiencias en las políticas medioambientales, sociales y de gobernanza (ESG) pueden dar lugar a demandas judiciales y daños a la reputación. Y las infracciones de las leyes contra el soborno y la corrupción (ABAC) y la esclavitud moderna podrían acarrear responsabilidades para su organización.
Por lo tanto, cuanto más compleja sea su cadena de suministro y cuantos más proveedores tenga, más riesgos de terceros podrá encontrar. Por eso, identificar, comprender y gestionar los riesgos de terceros es fundamental para garantizar la resiliencia empresarial.
¿Qué sectores requieren herramientas de TPRM?
Si bien algunas organizaciones con comunidades de proveedores pequeñas y de bajo riesgo pueden arreglárselas utilizando hojas de cálculo como herramientas de gestión de riesgos de terceros, las soluciones de gestión de riesgos de terceros diseñadas específicamente son esenciales para las empresas que operan en determinados campos, entre los que se incluyen:
-
Empresas financieras, sanitarias, aseguradoras, jurídicas, minoristas y otras que manejan datos confidenciales de clientes o pacientes.
-
Servicios e infraestructuras esenciales, como la energía y los servicios públicos.
-
Industrias con cadenas de suministro complejas, como las empresas automovilísticas y otras empresas manufactureras.
-
Contratistas gubernamentales, empresas farmacéuticas y otras organizaciones que manejan propiedad intelectual de alto valor.
Si trabaja en uno de los sectores mencionados anteriormente o depende de un gran ecosistema de terceros, el uso de herramientas de TPRM puede ayudarle a identificar y perfilar a sus proveedores, recopilar y gestionar información sobre riesgos, analizar las implicaciones de los riesgos para su organización y gestionar de manera eficiente las medidas correctivas y de mitigación.
1. El enfoque tradicional: herramientas de productividad para la oficina
Históricamente, los procesos de gestión de riesgos de terceros eran muy manuales y solían basarse en una combinación de cuestionarios enviados por correo electrónico a los proveedores, cuyas respuestas se registraban en hojas de cálculo. Las herramientas más utilizadas para la gestión de riesgos de terceros eran el correo electrónico estándar y soluciones de productividad ofimática, como Microsoft Office.
Si bien estas herramientas facilitaban la comunicación con los proveedores y la organización básica de las respuestas a las encuestas de riesgos, dejaban todo el análisis, la priorización, la validación y la gestión de las medidas correctivas en manos de los miembros individuales del equipo de riesgos o de TI, o requerían la programación de macros y fórmulas en hojas de cálculo. Por lo tanto, a menudo bastaba con que un proveedor certificara que contaba con un control de seguridad específico para satisfacer a los gestores de riesgos. En el entorno actual, en el que los riesgos de ciberseguridad evolucionan rápidamente, las certificaciones únicas ya no son suficientes para los auditores y los reguladores.
En algunos casos, las organizaciones más grandes también aprovechaban soluciones de bases de datos altamente personalizadas basadas en tecnologías como Oracle, MySQL y DB2. Sin embargo, estas soluciones eran costosas de crear y mantener. Además, resultaban difíciles de manejar y rápidamente quedaron obsoletas a medida que las cadenas de suministro se volvían más complejas y las amenazas ganaban en sofisticación y frecuencia.
2. Marcos de evaluación de riesgos de terceros
Un principio fundamental del TPRM es comprender los riesgos potenciales de su organización y tener en cuenta los controles de seguridad y privacidad de datos de los proveedores frente a esos riesgos. Esto comienza con la realización de evaluaciones de riesgos basadas en cuestionarios para recopilar información de terceros e identificar cualquier deficiencia potencial que pueda poner en peligro su negocio.
En lugar de crear cuestionarios de riesgo de proveedores desde cero, la mayoría de las organizaciones basan sus evaluaciones en directrices o marcos de gestión de riesgos establecidos. A los efectos de este artículo, consideraremos los marcos de gestión de riesgos como la segunda categoría de herramientas de TPRM.
Los marcos de gestión de riesgos más destacados son los publicados por el Instituto Nacional de Estándares y Tecnología (NIST) y la Organización Internacional de Normalización (ISO). Es posible que sus procesos generales de gobernanza, riesgo y cumplimiento (GRC) ya se ajusten a uno de estos estándares del sector, y cualquiera de ellos puede proporcionar a su organización y a sus proveedores un lenguaje común para debatir sobre los riesgos.
Los marcos de gestión de riesgos del NIST y la ISO prescriben enfoques estandarizados para identificar, cuantificar y comunicar las métricas y la puntuación de los riesgos. Además, el uso de perfiles de riesgo comunes para cuantificar tanto el riesgo interno como el riesgo de terceros puede proporcionar puntuaciones coherentes para priorizar las iniciativas de corrección.
Comenzar con NIST o ISO proporciona a su programa un marco para el éxito, al tiempo que establece las definiciones necesarias para producir resultados precisos y replicables. Teniendo esto en cuenta, es importante señalar que NIST e ISO son solo dos fuentes de orientación para la evaluación de riesgos. Otros ejemplos son:
-
Los cuestionarios estándar del sector (por ejemplo, el cuestionario SIG [Standard Information Gathering], el cuestionario H-ISAC para organizaciones sanitarias o el cuestionario PCF [Prevalent Compliance Framework]) proporcionan conjuntos de contenidos aceptados con los que es probable que sus proveedores ya estén familiarizados.
-
Cuestionarios específicos sobre cumplimiento normativo para el RGPD, la CCPA, el CMMC u otras normativas que exigen evaluaciones de riesgos de terceros. Consulte nuestra sección de cumplimiento normativo para conocer los requisitos de evaluación específicos de más de 20 normativas.
-
Cuestionarios propios que usted desarrolla internamente para abordar necesidades empresariales específicas o cumplir requisitos de presentación de informes únicos.
Para conocer las ventajas y desventajas de cada opción, recomendamos leer Cómo seleccionar un cuestionario de evaluación de riesgos de proveedores.
Limitaciones de las evaluaciones de riesgos realizadas por uno mismo
El NIST, la ISO u otro marco de gestión de riesgos pueden proporcionar una base sólida para su programa de TPRM. Sin embargo, si no utiliza el marco elegido junto con una solución especializada de gestión de riesgos de terceros, necesitará profesionales con experiencia para implementar los procedimientos recomendados de forma eficaz y escalable.
E incluso con un proceso bien documentado, puede resultar abrumador para los equipos pequeños de gestión de riesgos diseñar, enviar, realizar un seguimiento, correlacionar y tomar decisiones sobre riesgos de terceros con coherencia y regularidad.
3. Herramientas de supervisión de riesgos de proveedores
Las evaluaciones de riesgos le permiten recopilar información sobre seguridad, privacidad de datos y controles de cumplimiento directamente de sus proveedores. Sin embargo, incluso cuando se basan en un marco estándar, solo proporcionan una visibilidad limitada del riesgo de terceros, porque:
-
Los cuestionarios se basan en la información facilitada por las propias entidades evaluadas, lo que deja margen para errores, interpretaciones erróneas y omisiones.
-
Las evaluaciones completadas ofrecen una visión parcial del riesgo que se limita al alcance del cuestionario.
-
El resultado de una evaluación proporciona una instantánea puntual de un entorno de riesgo que está en constante evolución.
-
Puede resultar difícil obtener respuestas a las evaluaciones de riesgo de los proveedores.
Las herramientas externas de supervisión de riesgos de proveedores pueden ayudarle a salvar la brecha entre las evaluaciones periódicas y validar las respuestas a las evaluaciones frente a acontecimientos del mundo real. Al fin y al cabo, un proveedor puede cumplir todos sus requisitos de control de seguridad y, aun así, sufrir una violación de datos.
Además, las evaluaciones suelen centrarse en la seguridad informática o los controles de privacidad y no proporcionan información sobre riesgos empresariales como quiebras, incumplimientos normativos, demandas judiciales, huelgas y otros acontecimientos que podrían interrumpir su cadena de suministro.
Búsquedas OSINT
Una forma de encontrar información sobre los riesgos de los proveedores y distribuidores es a través de la inteligencia de fuentes abiertas (OSINT), que es la información recopilada de fuentes disponibles públicamente. Aunque la OSINT puede incluir información obtenida a través de métodos como la Ley de Libertad de Información de los Estados Unidos o una visita a la biblioteca, la forma más obvia es la que se encuentra a través de búsquedas en Internet y en las redes sociales.
Una simple búsqueda en Internet sobre un posible proveedor puede revelar riesgos financieros, legales, éticos o de otro tipo que, de otro modo, podrían no surgir durante el proceso de selección y contratación. Muchas organizaciones ni siquiera llevan a cabo este nivel básico de diligencia debida basada en OSINT.
La Deep Web
Aunque realizar búsquedas en Internet sobre posibles socios y configurar alertas de Google para recibir noticias relacionadas con los proveedores es un buen comienzo, hay que tener en cuenta que la gran mayoría de la información disponible en la World Wide Web no está indexada por Google, Edge, Safari, Firefox y otros navegadores importantes (es decir, la «web superficial»).
La razón principal por la que esta «web profunda» de sitios, archivos y bases de datos no está indexada es porque se encuentra detrás de formularios de registro o muros de pago. Por ejemplo, Prevalent ofrece libros blancos, informes de investigación y seminarios web bajo demanda que requieren registrarse para acceder a ellos. Aunque sigue estando disponible para el público en general, todo este contenido restringido forma parte de la web profunda.
La web oscura
Los actores maliciosos también suelen aprovechar la OSINT para identificar y realizar reconocimientos de posibles objetivos. Los atacantes utilizan no solo la superficie y la web profunda (legal) para recopilar información sobre riesgos, sino también la web oscura.
La web oscura es una parte de la web profunda donde se llevan a cabo actividades delictivas. Los foros de la web oscura proporcionan acceso a credenciales robadas, datos sobre vulnerabilidades y exploits, herramientas de piratería y otra información que puede utilizarse en ataques a terceros. Por lo tanto, está claro que mantenerse al tanto de la OSINT relacionada con su empresa y sus terceros es esencial para ir un paso por delante de los ciberdelincuentes.
Herramientas de supervisión continua de riesgos
Aprovechar la OSINT es una forma fundamental de complementar sus prácticas de evaluación de riesgos de proveedores con inteligencia de riesgos observable externamente. Sin embargo, incluso si su recopilación de OSINT se limita a búsquedas en navegadores y alertas, el trabajo manual y la sobrecarga de información suponen obstáculos importantes. Un solo evento que afecte a uno de sus terceros puede generar cientos de alertas. Gestionar esta sobrecarga de datos sin una herramienta de supervisión automatizada puede resultar abrumador e insostenible.
Existen varias herramientas OSINT gratuitas y económicas que pueden ayudarle a ir más allá de la web superficial para identificar los riesgos cibernéticos, pero la mayoría de ellas requieren conocimientos técnicos y análisis adicionales para proporcionar datos que sean útiles para los gestores de riesgos.
Otra opción más accesible para obtener datos de supervisión de riesgos basados en OSINT es utilizar una solución de calificación de seguridad. Estas soluciones automatizadas pueden agregar y correlacionar datos OSINT sobre empresas específicas y asignar puntuaciones de riesgo, lo que puede dar lugar a una investigación más profunda y, en cualquier caso, ayudar a priorizar sus esfuerzos de gestión de riesgos.
Limitaciones del seguimiento de riesgos para la gestión de riesgos de terceros (TPRM)
Si bien las herramientas de supervisión de riesgos pueden proporcionarle información útil sobre los proveedores actuales y potenciales, solo ofrecen una visión externa y desde fuera hacia dentro del riesgo de terceros. Para obtener una visión más completa del riesgo, es importante utilizar la supervisión continua junto con evaluaciones periódicas del riesgo. La unificación de la supervisión y la evaluación le permite no solo identificar las amenazas externas a sus terceros, sino también determinar su capacidad para mitigar esas amenazas, antes de que afecten a su organización.
Puede encontrar más fuentes de información sobre riesgos de proveedores y distribuidores en nuestro artículo «7 fuentes fundamentales de inteligencia sobre riesgos de terceros».
4. Plataformas automatizadas de gestión de riesgos de terceros
La mayoría de las organizaciones con más de unas pocas docenas de proveedores acabarán necesitando una solución unificada y automatizada para mantener un programa eficaz, coherente y escalable para la gestión de riesgos y el cumplimiento normativo de terceros.
Debido a la amplia gama y profundidad de capacidades que ofrecen, los proveedores de plataformas de gestión de riesgos de terceros pueden sentirse incómodos si se utiliza la palabra «herramienta» para describir estas soluciones. No obstante, la plataforma TPRM es el cuarto tipo de herramienta de gestión de riesgos de terceros que debería considerar utilizar.
Las plataformas de gestión de riesgos de terceros unifican y automatizan los procesos de evaluación y supervisión. En un nivel básico, le permiten identificar de forma integral los riesgos de los proveedores, informar sobre los riesgos en relación con los requisitos empresariales y de cumplimiento, y optimizar el proceso de corrección.
Las herramientas de la plataforma TPRM, como las que ofrece Prevalent, proporcionan capacidades de evaluación y supervisión en el contexto del ciclo de vida más amplio de los proveedores:
-
Aprovisionamiento y selección
-
Admisión e incorporación
-
Calificación del riesgo inherente
-
Evaluación del riesgo de los proveedores
-
Supervisión del riesgo de los proveedores
-
SLA y gestión del rendimiento
-
Baja y despido
Una plataforma TPRM ofrece las capacidades combinadas de las demás herramientas de gestión de riesgos de terceros mencionadas en este artículo. Una plataforma puede automatizar el proceso de incorporación y evaluación de proveedores, supervisar continuamente las fuentes públicas y privadas de información sobre riesgos y, a continuación, generar informes de riesgos correlacionados que se ajustan a cualquier marco de gestión de riesgos, normativa gubernamental, estándar del sector y/o requisito interno.
Ventajas de las plataformas TPRM
Una plataforma de gestión de riesgos de terceros proporciona a los equipos internos y a los terceros externos un entorno centralizado y colaborativo para identificar, comprender y reducir los riesgos. Las ventajas de la plataforma TPRM incluyen:
-
Reducción de costes y riesgos durante la selección de terceros
-
Incorporación rápida y segura de proveedores y distribuidores
-
Mayor visibilidad de los perfiles de los proveedores y los riesgos inherentes.
-
Mayor eficiencia gracias a la identificación y corrección unificadas de riesgos.
-
Visibilidad continua de fuentes públicas y privadas de inteligencia sobre riesgos.
-
Ahorro de tiempo con informes centralizados sobre cumplimiento normativo, SLA y riesgos residuales.
-
Seguridad al poner fin a las relaciones comerciales
Alternativas a las plataformas TPRM
Si acaba de empezar con la gestión de riesgos de terceros y/o no necesita una herramienta basada en una plataforma, una alternativa a considerar es unirse a una red de riesgos de terceros. Estos servicios por suscripción proporcionan acceso bajo demanda a bibliotecas de informes de riesgos de proveedores estandarizados basados en evaluaciones de riesgos completadas y/o datos de supervisión continua. Aunque las redes de riesgos independientes no ofrecen una gestión completa del ciclo de vida de los proveedores, proporcionan un acceso rápido a informes de riesgos verificados para ayudar en la diligencia debida de los proveedores.
Si tiene requisitos más específicos pero no cuenta con experiencia o recursos internos en TPRM, considere la posibilidad de externalizar el trabajo a servicios de evaluación de riesgos de proveedores. Con este enfoque de servicio gestionado, se asociará con un equipo de expertos que gestionarán el ciclo de vida de los proveedores en su nombre (por ejemplo, incorporación de proveedores, recopilación de pruebas, revisión de evaluaciones, identificación de riesgos, orientación sobre medidas correctivas, etc.).
Próximos pasos para seleccionar una herramienta TPRM
Su organización tiene varias opciones en lo que respecta a herramientas de gestión de riesgos de terceros. Tanto si necesita informes de riesgos de proveedores bajo demanda, un equipo de expertos para gestionar el proceso de evaluación o una solución de plataforma TPRM empresarial, Prevalent está aquí para ayudarle. Incluso le ayudaremos a identificar las herramientas y los procesos TPRM adecuados para satisfacer sus requisitos específicos. Empiece con una evaluación gratuita de la madurez de TPRM o solicite una demostración hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
