Las relaciones con terceros son esenciales, pero también pueden suponer riesgos importantes que afectan a las operaciones, la seguridad de los datos y el cumplimiento normativo de su organización. Una política sólida de gestión de riesgos de terceros (TPRM) sienta las bases para identificar, supervisar y mitigar estos riesgos. En este blog se explica la importancia de contar con una política de TPRM bien definida, se desglosan sus componentes clave y se ofrecen recomendaciones sobre las mejores prácticas para el desarrollo y la implementación de la política.
¿Qué es una política de gestión de riesgos de terceros?
Una política de gestión de riesgos de terceros (TPRM) es un conjunto de directrices documentadas sobre cómo las organizaciones gestionan los riesgos derivados de proveedores, distribuidores y socios. Les ayuda a establecer procedimientos para evaluar, supervisar, mitigar y notificar estos riesgos. Estas políticas proporcionan una base para crear un programa de TPRM sólido y eficaz.
Por qué son importantes las políticas de TPRM
Numerosas organizaciones se han enfrentado a importantes trastornos y ramificaciones legales debido a infracciones cometidas por terceros, cuartos o incluso enésimos. Las prácticas deficientes de TPRM pueden suponer una amenaza existencial para los datos y la cadena de suministro de su empresa. Las políticas de gestión de riesgos de terceros describen procedimientos claros, estandarizados y aplicables para respaldar prácticas de gestión de riesgos más sólidas. Un proceso bien definido para gestionar y mitigar el riesgo de los proveedores es una medida fundamental para proteger sus operaciones del panorama actual de amenazas.
A medida que los riesgos de terceros se vuelven más complejos y generalizados, las organizaciones necesitan políticas para minimizar los riesgos relacionados con los proveedores y procedimientos para gestionar los incidentes cuando surgen. Con amplias redes de proveedores y relaciones con terceros que se extienden a través de múltiples departamentos, las políticas de gestión de riesgos deben ser prácticas, estar alineadas con los objetivos de la organización y ser aplicables a diversos tipos de riesgos y etapas del ciclo de vida de los terceros.
Componentes clave de las políticas de gestión de riesgos de proveedores externos
Un conjunto claro de políticas refuerza sus prácticas de gestión de riesgos de terceros y prioriza los riesgos a lo largo de todo el proceso de diligencia debida y el ciclo de vida del proveedor. Una política integral de TPRM debe abordar lo siguiente:
- Objetivo: indicar el objetivo de establecer o reestructurar un programa de gestión de riesgos de terceros.
- Funciones y responsabilidades: defina quiénes son las partes interesadas clave, los responsables de la toma de decisiones y los encargados de implementar y gestionar las actividades relacionadas con el riesgo de los proveedores.
- Requisitos de cumplimiento: asegúrese de que sus políticas aborden las principales normativas de cumplimiento en materia de riesgos de terceros y el panorama normativo de su red de proveedores.
- Tolerancia o apetito de riesgo: defina el nivel de riesgo aceptable y no aceptable para su organización. Considere incluir una declaración de apetito de riesgo de terceros como aspecto fundamental de las políticas de TPRM. Lea nuestra guía sobre esta medida aquí.
- Procesos y procedimientos de gestión de riesgos: describa los elementos clave de su programa de gestión de riesgos de terceros, tales como:
- Identificación de riesgos
- Diligencia debida y evaluación
- Evaluación de riesgos
- Gestión de contratos
- Control continuo
- Gestión de incidentes
- Procedimientos de rescisión
Abordar los requisitos de cumplimiento en las políticas de gestión de riesgos de terceros
Revise sus medidas internas de cumplimiento y los requisitos normativos antes de comenzar a redactar sus políticas de gestión de riesgos de terceros. Al redactar sus políticas, tenga en cuenta las normativas regionales pertinentes, como la CCPA y el RGPD, los marcos aceptados internacionalmente, como las normas NIST e ISO, y las normativas específicas del sector, como la HIPAA y la PCI DSS.
Los requisitos normativos que debe considerar incorporar en sus políticas de TPRM pueden incluir:
Ley de Privacidad del Consumidor de California (CCPA): Regula la recopilación y venta de datos de los consumidores para proteger la información personal confidencial de los residentes de California y darles control sobre su uso.
Cloud Security Alliance CAIQ: cuestionario estándar del sector para documentar los controles de seguridad, que ayuda en las evaluaciones de seguridad de IaaS, PaaS, SaaS y otros proveedores de servicios en la nube.
Certificación del Modelo de Madurez de Ciberseguridad (CMMC): Marco del Departamento de Defensa de los Estados Unidos para proteger la base industrial de defensa contra los ciberataques y garantizar una cadena de suministro de defensa nacional resistente.
Directrices de la Autoridad Bancaria Europea (EBA) sobre acuerdos de externalización: Establecen requisitos específicos de gobernanza y supervisión para la externalización en el sector bancario europeo.
FCA FG 16/5: Directrices del Reino Unido para ayudar a las entidades financieras a supervisar todas las etapas de los acuerdos de externalización.
Manual de exámenes de TI de la FFIEC: Establece principios y normas uniformes para la inspección federal de instituciones financieras, incluyendo temas relacionados con las tecnologías de la información.
Reglamento General de Protección de Datos (RGPD): Regula el uso, el movimiento y la protección de los datos personales de los ciudadanos de la UE, y es aplicable a las organizaciones de todo el mundo que manejan datos de la UE.
HIPAA: Garantiza que la información médica confidencial (PHI) esté protegida y no se divulgue sin el consentimiento del paciente.
Normas ISO: Entre ellas se incluyen las normas ISO 27001, 27002 y 27036-2, que establecen estándares internacionales para la gestión y mejora de la seguridad de la información.
Directrices interinstitucionales sobre relaciones con terceros: directrices estadounidenses de las agencias bancarias federales para unificar la gestión de riesgos en las relaciones con proveedores y distribuidores en el sector bancario.
NERC CIP: Normas de ciberseguridad para que las empresas eléctricas mantengan la fiabilidad del sistema eléctrico mayorista (BES).
NIST: Proporciona publicaciones como NIST 800-53, NIST 800-161 y el Marco de Ciberseguridad (CSF) para ayudar a las organizaciones a gestionar los riesgos de la cadena de suministro.
Ley SHIELD de Nueva York: Exige a las organizaciones que manejan datos personales de residentes de Nueva York que mejoren la ciberseguridad y los procedimientos de notificación de violaciones.
NY CRR 500: Establece los requisitos de ciberseguridad para los servicios financieros en Nueva York, centrándose en la protección de los datos de los clientes y la integridad de los sistemas informáticos.
PCI DSS: Norma global para la seguridad de los datos de los titulares de tarjetas, aplicable a todas las entidades que los almacenan, procesan o transmiten.
SOC 2: Marco estándar del sector para demostrar la confidencialidad, integridad y disponibilidad de los sistemas y datos. Las auditorías SOC 2 se utilizan para la presentación de informes de control interno y la notificación de medidas de protección sobre la infraestructura, el software, las personas, los procedimientos y los datos.
Comprenda su panorama normativo
Al diseñar políticas y procedimientos, tenga en cuenta los requisitos generales de cumplimiento que afectan a las operaciones comerciales. Por ejemplo, si su empresa maneja información médica protegida (PHI), sus políticas de gestión de riesgos de terceros deben especificar cómo y cuándo compartir esta información con otras organizaciones. Según la HIPAA, los terceros, y cualquier otra parte involucrada, deben aplicar las mismas medidas de seguridad que su organización al manejar la PHI. El incumplimiento puede dar lugar a multas sustanciales para su organización y cualquier socio comercial.
Muchos requisitos de seguridad de la información limitan estrictamente los tipos de datos que se pueden compartir con terceros. Asegúrese de tener en cuenta también los requisitos específicos de cada unidad de negocio. Por ejemplo, el RGPD impone normas estrictas sobre el almacenamiento, la protección y la transferencia de datos de ciudadanos europeos. En muchos casos, solo un departamento puede manejar los datos europeos. En lugar de basarse en suposiciones del sector, evalúe los tipos y volúmenes de datos recopilados en toda su organización para determinar con precisión las necesidades de cumplimiento normativo.
Defina claramente en sus políticas qué información comparte con terceros, cuándo la comparte y los protocolos para protegerla. Exigir a las organizaciones externas que manejan datos confidenciales que cumplan con normas como SOC 2 o HIPAA puede reforzar la seguridad. Sin estas medidas de protección, se arriesga a incumplir los requisitos normativos y a sufrir un posible daño a su reputación si se produce una violación de datos por parte de terceros. Realice siempre una exhaustiva diligencia debida antes de compartir información confidencial con terceros.
Base sus políticas de gestión de riesgos de terceros en normas ampliamente aceptadas.
Afortunadamente, no es necesario que desarrolle todos los controles usted mismo. Al planificar su programa de gestión de riesgos de terceros, puede basarse en marcos de gestión de riesgos de terceros ampliamente aceptados , como NIST SP 800-161 o Shared Assessments TPRM Framework.
Los marcos predefinidos ofrecen una excelente orientación sobre los controles que deben incluirse en las políticas de gestión de riesgos de terceros. Los riesgos de terceros pueden adoptar diversas formas. Al adherirse a un marco probado en la práctica, puede garantizar que la gestión de riesgos de sus proveedores sea exhaustiva.
Además, puede utilizar otros marcos, como NIST CSF 2.0 e ISO 27036, para ayudarle a diseñar sus cuestionarios de evaluación de riesgos de proveedores. Los cuestionarios son esenciales para el ciclo de vida de la gestión de riesgos de proveedores y deben ser obligatorios para todos los nuevos proveedores de servicios. Las políticas de gestión de riesgos de terceros deben especificar cómo y cuándo las unidades de negocio deben administrar los cuestionarios de seguridad y definir los niveles aceptables de riesgo residual.
Recomendamos revisar Shared Assessments y NIST 800-161 para ayudarle a planificar el aspecto de su programa y los tipos de controles que vale la pena incluir. A continuación, puede seleccionar controles específicos de los marcos de seguridad de la información estándar. A menudo, las organizaciones con sede en EE. UU. confían en el NIST, mientras que las empresas de Europa, Asia y África tienden a elegir la ISO.
Exigir documentación estandarizada de terceros
Asegúrese de que su organización opere a partir de un conjunto de documentación estándar cuando se trate de relaciones con terceros. Los acuerdos de confidencialidad, los cuestionarios de riesgo de terceros y los acuerdos de nivel de servicio (SLA) deben ser uniformes a lo largo de todo el ciclo de vida de la adquisición. La estandarización es especialmente importante a la hora de crear el cuestionario de evaluación de riesgos de proveedores de su organización. Sin un proceso de evaluación de proveedores estandarizado, no es posible comparar a los diferentes proveedores en función del nivel de riesgo que suponen para su organización.
Las políticas de riesgo de terceros deben exigir la evaluación de los proveedores externos en función de su nivel de riesgo y obligar a los proveedores de alto riesgo a tomar medidas correctivas antes de incorporarse a la cadena de suministro. Supervise continuamente a los proveedores en lo que respecta a los riesgos de ciberseguridad, operativos y de cumplimiento a lo largo de la relación comercial. El hecho de que una organización fuera de bajo riesgo en el momento de su incorporación no significa que vaya a seguir siéndolo.
Tenga en cuenta a las cuartas partes en sus políticas de riesgo
Las grandes empresas con amplias redes de contratistas externos son especialmente vulnerables a los riesgos de seguridad. Cuando un tercero subcontrata a un cuarto, las prácticas de seguridad deficientes en cualquier nivel pueden exponer los datos de su organización a actores maliciosos. Los grupos criminales suelen aprovechar las vulnerabilidades de estas redes ampliadas, abriéndose camino a través de los subcontratistas para acceder a información confidencial.
Para mitigar estos riesgos, los contratos con los proveedores deben incluir disposiciones para terceros. Si se permite a un proveedor externo subcontratar, el SLA debe exigir al tercero que siga las mismas directrices de ciberseguridad que la organización principal. Los reguladores pueden seguir responsabilizando a una empresa e imponerle multas si un tercero provoca una fuga de datos, incluso si la empresa no tenía conocimiento de ello.
Lista de verificación de la política de riesgo de proveedores
A continuación, se incluyen algunos controles recomendados que deben incluirse en su política de gestión de riesgos de terceros:
General
-
Exigir a los proveedores que completen un cuestionario estandarizado de evaluación de riesgos antes de su incorporación.
-
Utilice la elaboración de perfiles y la clasificación por niveles para establecer una metodología coherente de evaluación de proveedores.
-
Puntúa y realiza un seguimiento de los riesgos inherentes y residuales para identificar a los proveedores que suponen un mayor riesgo.
-
Supervise continuamente a los proveedores tras su incorporación.
-
Reevaluar periódicamente a los proveedores para valorar los cambios en el nivel de riesgo.
-
Automatiza las comunicaciones con flujos de trabajo y tickets.
-
Utilice ponderaciones de riesgo flexibles para especificar la importancia de los riesgos individuales.
Conformidad
-
Evaluar a los proveedores externos en materia de cumplimiento normativo antes de incorporarlos.
-
Documentar y conservar registros de todos los datos compartidos con terceros.
-
Exigir a los terceros que poseen datos organizativos que corrijan las prácticas no conformes antes de acceder a información confidencial.
-
Supervise la evolución de los negocios a través de amplias fuentes para identificar riesgos normativos, reputacionales o legales.
-
Recomendación: Exigir a los proveedores que obtengan certificaciones de seguridad de la información antes de incorporarlos.
Seguridad de la información
-
Supervisar continuamente a los proveedores en busca de riesgos de ciberseguridad durante todo el período contractual.
-
Exigir contractualmente a los proveedores que notifiquen a la organización cualquier violación de seguridad o sospecha de violación.
-
Revise minuciosamente las políticas de seguridad de los proveedores y compárelas con las respuestas del cuestionario.
-
Asegúrese de que los proveedores eliminen todos los datos de la organización al finalizar el contrato.
-
Incluir cláusulas claras de protección de datos en todos los contratos con terceros.
-
Activar acciones como notificaciones, tareas, ajustes en la puntuación de riesgo y mitigación acelerada.
-
Transforme los datos cibernéticos y de eventos empresariales de los proveedores en riesgos procesables para obtener visibilidad en tiempo real.
-
Mantener un registro de riesgos unificado para correlacionar los riesgos cibernéticos y empresariales con los resultados de la evaluación, validando los datos de control de los proveedores.
-
Utilice la supervisión cibernética de la web profunda/oscura para obtener información sobre riesgos en tiempo real.
Operaciones
-
Exigir a los proveedores que actualicen la información sobre el personal clave, las finanzas y otros factores que afectan a la cadena de suministro.
-
Haga que cada departamento envíe los datos de los proveedores a un repositorio central.
-
Los proveedores de alto riesgo deben remediar los riesgos hasta niveles aceptables para mantener su compromiso.
-
Obligar contractualmente a los proveedores externos a seguir los procedimientos de salida, incluyendo la devolución de equipos y tarjetas de identificación y la eliminación de información confidencial.
-
Tenga en cuenta a las cuartas partes y demás al redactar los SLA y otros contratos críticos.
Políticas y prácticas de gestión de riesgos de terceros Próximos pasos
Al adoptar estrategias y procedimientos de control de riesgos de terceros, su organización puede sortear las complejidades del riesgo de los proveedores, respaldar prácticas de seguridad más sólidas y mantener el cumplimiento normativo en todas las etapas del ciclo de vida de los proveedores. Aproveche una solución TPRM dedicada para optimizar y automatizar estos procesos críticos.
Descubra cómo puede simplificar la gestión de riesgos de terceros con Prevalent. Programe hoy mismo una llamada estratégica o una demostración.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
