En cualquier sector, el cumplimiento normativo y la presentación de informes son fundamentales para las operaciones diarias y para garantizar la resiliencia empresarial. Dado que los proveedores y distribuidores se ven cada vez más afectados por violaciones de datos e interrupciones en la cadena de suministro, muchas organizaciones se ven ahora obligadas por las normativas sectoriales y gubernamentales a ampliar sus esfuerzos de cumplimiento para garantizar también una gobernanza adecuada de terceros. Esto requiere el establecimiento de un programa sólido de gestión de riesgos de terceros.
En esta guía completa, exploraremos los aspectos clave del cumplimiento de TPRM, haciendo hincapié en su importancia, el papel de las evaluaciones de riesgos, la supervisión continua, los marcos de ciberseguridad, las normativas ESG, las directrices del sector, las normativas de privacidad de datos y los pasos prácticos para que su organización comience su camino hacia el cumplimiento de TPRM.
Comprender el cumplimiento de TPRM
El TPRM es el eje central para las organizaciones que se enfrentan al laberinto de normativas relacionadas con el uso de proveedores y distribuidores. Abordar el cumplimiento normativo es un reto multifacético que requiere un enfoque estratégico.
Los programas TPRM son esenciales para cumplir con las normativas de cumplimiento
Para cumplir con diversas normativas, directrices y estándares, su organización debe adoptar un programa de gestión de riesgos de terceros (TPRM). Esto incluye un enfoque de varios pasos en el que usted:
- Establezca las normas de participación de terceros en función de la tolerancia al riesgo de su organización y de las políticas de seguridad y privacidad de los datos.
- Incluir estas normas, así como requisitos de auditoría, en todos los contratos con terceros.
- Evaluar a terceros mediante evaluaciones de riesgo basadas en cuestionarios.
- Medir el rendimiento en relación con los acuerdos contractuales.
- Supervisar continuamente a terceros para verificar el cumplimiento.
- Corregir deficiencias
- Informar a las partes interesadas internas y externas.
Utilice marcos de trabajo para configurar y respaldar su programa TPRM.
Los marcos TPRM, como el cuestionario SIG (Standard Information Gathering) y la norma NIST 800-161, ofrecen una hoja de ruta para crear programas basados en las mejores prácticas estándar del sector. Los marcos de seguridad de la información como NIST CSF, ISO 27001 e ISO 27036-2 complementan los esfuerzos de TPRM. El aprovechamiento de los marcos TPRM garantiza un programa integral que reduce los riesgos tanto para la organización como para sus clientes.
El papel de las evaluaciones de riesgos y la supervisión continua en el cumplimiento de las normas de gestión de riesgos de terceros (TPRM)
Las normativas como la HIPAA suelen responsabilizar a las organizaciones por el incumplimiento de sus proveedores, lo que requiere evaluaciones de riesgos exhaustivas para medir la eficacia de los controles y políticas de seguridad y privacidad de datos de los proveedores. Además de las evaluaciones de riesgos periódicas, la supervisión continua de terceros es fundamental para proporcionar una visibilidad constante de las amenazas de los proveedores y abordar en tiempo real los riesgos de ciberseguridad, financieros, éticos, reputacionales y operativos.
Las evaluaciones de riesgos de terceros se llevan a cabo a lo largo del ciclo de vida del riesgo de los proveedores para evaluar de manera integral el riesgo organizativo que plantean determinados proveedores y suministradores. A menudo, los resultados se comparan con los requisitos clave descritos en los marcos normativos o industriales, como ISO, HIPAA, PCI DSS, la Ley contra la esclavitud moderna del Reino Unido, el RGPD, NIST CSF y otros. Además de las evaluaciones de riesgos periódicas, la supervisión continua de terceros es esencial para mantener el cumplimiento continuo de las mejores prácticas y la gestión de riesgos de terceros (TPRM).
Pueden ocurrir muchas cosas en el tiempo que transcurre entre las evaluaciones de riesgos de los proveedores. Por eso es importante obtener una visibilidad continua de las amenazas que plantean los proveedores. La supervisión activa de terceros en materia de ciberseguridad, riesgos financieros, éticos, reputacionales y operativos es fundamental para garantizar la estabilidad y la resiliencia continuas de la cadena de suministro de su organización.
Las organizaciones y las partes interesadas pueden obtener información continua sobre el estado de cumplimiento de las organizaciones proveedoras mediante la integración de la recopilación y el análisis exhaustivos de datos de seguridad con un enfoque de gestión de riesgos de terceros, lo que contribuye a la defensa de los sistemas internos, la realización de visitas in situ y la revisión de registros. La supervisión de terceros garantiza la sostenibilidad, la confianza y la transparencia en las relaciones con los proveedores.
Optimice el cumplimiento de TPRM con la automatización
Garantizar el cumplimiento interno de las normativas, directrices y estándares del sector es, en el mejor de los casos, una tarea compleja y difícil (especialmente cuando se depende de hojas de cálculo). Si a esto le sumamos las obligaciones de cumplimiento relacionadas con terceros, proveedores, socios comerciales y socios de la cadena de suministro, la carga que supone la gestión de riesgos adquiere una dimensión completamente nueva.
Prevalent ofrece una plataforma única y unificada de gestión de riesgos de terceros (TPRM) que optimiza sus iniciativas de cumplimiento normativo mediante la automatización de las evaluaciones de riesgos, la supervisión, el análisis y la generación de informes a lo largo del ciclo de vida del proveedor.
Marcos de ciberseguridad
Los marcos de ciberseguridad desempeñan un papel crucial en la implementación y el mantenimiento del cumplimiento de las normas de gestión de riesgos de terceros (TPRM). Ayudan a las organizaciones a adherirse a las directrices, las mejores prácticas y las normas para identificar, evaluar y gestionar los riesgos de ciberseguridad de terceros en un lenguaje común. Al incorporar estos marcos en sus programas de cumplimiento de las normas TPRM, las organizaciones pueden gestionar eficazmente los riesgos de terceros, garantizar el cumplimiento normativo, proteger los datos confidenciales y mantener la confianza de las partes interesadas.
Marcos clave de ciberseguridad
| Marco | Resumen |
|---|---|
| CAIQ (Cuestionario de la Iniciativa de Evaluaciones Consensuadas) | CAIQ proporciona una forma de documentar los controles de seguridad en los servicios en la nube, lo que aumenta la transparencia y la garantía, y ayuda a evaluar la postura de seguridad de los posibles proveedores de servicios en la nube. |
| CIS (Controles 15 y 17) | Estos controles se refieren a la gestión de proveedores de servicios y la gestión de respuesta ante incidentes, respectivamente, y son parte integral del TPRM. |
| CMMC (Certificación del Modelo de Madurez en Ciberseguridad) | El cumplimiento de la CMMC garantiza que las empresas que celebran contratos con el Departamento de Defensa cuenten con las medidas de seguridad adecuadas para proteger los datos no públicos. |
| Orden ejecutiva sobre la mejora de la ciberseguridad de la nación | Esta orden tiene como objetivo modernizar las defensas de ciberseguridad mediante la protección de las redes federales, la mejora del intercambio de información y el fortalecimiento de la capacidad de Estados Unidos para responder a incidentes. |
| ISO 27001, 27002 y 27036-2 | Estas normas proporcionan un marco para establecer, implementar, mantener y mejorar un sistema de gestión de la seguridad de la información. |
| Guía de ciberseguridad para la cadena de suministro del NCSC | Esta guía ayuda a las organizaciones a evaluar la ciberseguridad de su cadena de suministro. |
| Marco de gestión de riesgos de IA del NIST | Este marco proporciona directrices y mejores prácticas para ayudar a las organizaciones a gestionar los riesgos asociados a los sistemas de inteligencia artificial (IA). |
| NIST SP 800-53, SP 800-161 | Estas normas proporcionan un conjunto de directrices para los sistemas de información federales con el fin de garantizar su seguridad y privacidad. |
| NIST CSF v2.0 | Este marco actualizado proporciona una orientación mejorada para la gestión de riesgos en la cadena de suministro de ciberseguridad. |
| PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago) | Una norma utilizada para garantizar que las empresas cuentan con las medidas de seguridad adecuadas para proteger los datos de los titulares de tarjetas. |
| Normas de divulgación de información sobre ciberseguridad de la SEC | Estas normas exigen a las empresas públicas que divulguen los riesgos e incidentes relacionados con la ciberseguridad, lo que incluye los riesgos asociados a terceros. |
| Cuestionario SIG Evaluaciones compartidas | El cuestionario SIG es una herramienta utilizada por las organizaciones para evaluar y comprender los riesgos que plantean sus terceros en materia de TI, privacidad, seguridad de los datos, ESG y resiliencia empresarial. |
| SOC 2 (Control de sistemas y organizaciones) | Los informes SOC 2 proporcionan información detallada y garantías sobre la seguridad, disponibilidad, integridad del procesamiento, confidencialidad y controles de privacidad de una organización de servicios, incluidos los relacionados con proveedores externos. |
Normativa ESG
En los últimos años, las consideraciones ESG (medioambientales, sociales y de gobernanza) han cobrado cada vez más importancia, y los gobiernos están promulgando leyes que abarcan diversos aspectos de ESG. Esto incluye el establecimiento de requisitos de información obligatorios y medidas activas para garantizar que las empresas integren los principios ESG en sus procesos fundamentales de toma de decisiones.
Los requisitos de cumplimiento ESGabordan los riesgos operativos que afectan a terceros y a las cadenas de suministro ampliadas. Las empresas públicas tienen la responsabilidad legal de evaluar las prácticas ESG de sus socios externos y cadenas de suministro ampliadas, buscando información para evaluar los riesgos asociados al incumplimiento de las normativas ESG fundamentales.Un programa de gestión de riesgos de terceros (TPRM)bien diseñado no solo ayuda a las organizaciones a cumplir los requisitos ESG actuales que afectan a las relaciones con proveedores y vendedores, sino que también las posiciona para alinearse con las futuras normativas y estándares ESG.
Normativa clave en materia de ESG y TPRM
| Reglamento | Resumen |
|---|---|
| CTSCA (Ley de Transparencia en las Cadenas de Suministro de California) | La CTSCA exige a determinadas empresas que informen sobre las medidas específicas que adoptan para erradicar la esclavitud y la trata de personas en sus cadenas de suministro. |
| Ley de diligencia debida corporativa de la UE | Esta ley tiene por objeto fomentar un comportamiento empresarial sostenible y responsable, integrando las consideraciones relativas a los derechos humanos y el medio ambiente en las operaciones, la gobernanza y las relaciones comerciales de las empresas. |
| Directiva de la UE sobre la divulgación de información corporativa en materia de sostenibilidad (CSRD) | La CSRD introduce requisitos más detallados en materia de información sobre sostenibilidad para las empresas de la UE, las empresas no pertenecientes a la UE que cumplan determinados umbrales de volumen de negocios neto en la UE y las empresas con valores cotizados en un mercado regulado de la UE. |
| Ley de Prácticas Corruptas en el Extranjero (FCPA) de EE. UU. | La FCPA es una ley federal estadounidense que prohíbe a los ciudadanos y entidades estadounidenses sobornar a funcionarios públicos extranjeros para beneficiar sus intereses comerciales. |
| Ley contra el trabajo forzoso y el trabajo infantil en las cadenas de suministro | Esta ley tiene como objetivo aumentar la concienciación y la transparencia del sector e impulsar a las empresas a mejorar sus prácticas mediante la introducción de medidas a través del proyecto de ley S-211. |
| Ley alemana de diligencia debida en la cadena de suministro | Esta ley exige a las empresas adaptar y actualizar sus procesos de cumplimiento normativo, compras y redacción de contratos, además de implementar programas de diligencia debida. |
| Ley británica contra el soborno de 2010 | La Ley contra el soborno del Reino Unido de 2010 tiene por objeto combatir el soborno en el Reino Unido y consolida los delitos anteriores relacionados con el soborno. |
| Ley de Esclavitud Moderna del Reino Unido de 2015 | La Ley contra la esclavitud moderna del Reino Unido de 2015 exige a las empresas con una facturación superior a 36 millones de libras esterlinas que informen públicamente sobre las medidas que están tomando para prevenir la esclavitud moderna en sus operaciones y cadenas de suministro. |
Directrices del sector
En los últimos años se ha producido un notable aumento de la importancia delos requisitos de cumplimiento normativocentrados en la evaluación y supervisión de los riesgos de terceros, especialmente en el caso de las instituciones financieras, los servicios públicos y las infraestructuras críticas. Estas medidas tienen por objeto garantizar la seguridad, la integridad y la continuidad de las operaciones, abordando los riesgos potenciales asociados a la externalización de funciones críticas a proveedores, suministradores y prestadores de servicios externos.
El cumplimiento de estas normativas no solo mitiga los riesgos, sino que también fomenta la responsabilidad, la transparencia y la confianza en las relaciones con los proveedores. Las organizaciones que operan en estos sectores regulados deben dar prioridad a unas prácticas sólidas de gestión de riesgos de los proveedores para navegar por el cambiante panorama normativo y garantizar la protección de sus operaciones y de las partes interesadas.
Directrices clave del sector para el cumplimiento de la normativa TPRM
| Directriz | Resumen |
|---|---|
| APRA CPS 234 | Se centra en la seguridad de la información y la resiliencia cibernética de las instituciones financieras australianas. |
| DORA (Ley de Resiliencia Operativa Digital) | Reglamento de la Unión Europea relativo a la resiliencia operativa y la gestión de riesgos en el sector financiero. |
| Directrices de la ABE sobre externalización | Proporciona orientación sobre los acuerdos de externalización para los bancos de la Unión Europea. |
| FCA FG 16/15 | Esboza las directrices para el sector financiero del Reino Unido sobre la externalización y la gestión de riesgos de terceros. |
| Manual de inspección informática de la FFIEC | Ofrece directrices para evaluar los riesgos informáticos y de ciberseguridad de las instituciones financieras estadounidenses. |
| Directrices interinstitucionales sobre las relaciones con terceros | Se centra en la gestión de riesgos de terceros en el sector financiero estadounidense. |
| KYC (Conozca a su cliente) | Implica verificar la identidad y evaluar los riesgos asociados a los clientes en los servicios financieros. |
| Directrices del MAS sobre la externalización de acuerdos con terceros | Proporciona orientación sobre los acuerdos de externalización para las instituciones financieras de Singapur. |
| NERC (Norma de protección de infraestructuras críticas (CIP)) | Garantiza la seguridad de los activos de infraestructura crítica en América del Norte. |
| NERC (Directrices de seguridad para el ciclo de vida de la gestión de riesgos de ciberseguridad en la cadena de suministro) | Se centra en la gestión de riesgos de ciberseguridad en la cadena de suministro de infraestructuras críticas. |
| NERC (Directrices de seguridad para el ciclo de vida de la gestión de riesgos de proveedores) | Guías para gestionar los riesgos de ciberseguridad asociados a los proveedores de infraestructuras críticas. |
| NY CRR 500 | Aborda los requisitos de ciberseguridad para las instituciones financieras que operan en Nueva York. |
| OSFI B-10 | Proporciona orientación sobre la externalización de la gestión de riesgos para las instituciones financieras de Canadá. |
| PRA SS2/21 | Se centra en los requisitos y expectativas prudenciales para bancos y aseguradoras en el Reino Unido. |
Normativa sobre protección de datos
Las normativas de privacidad de datos garantizan que los proveedores y prestadores de servicios externos puedan proteger la información personal y evitar su uso indebido.La gestión de riesgos de los proveedores externos (TPRM)es fundamental para cumplir con normativas de privacidad de datos como el RGPD (Reglamento General de Protección de Datos) y la CCPA (Ley de Privacidad del Consumidor de California) cuando las organizaciones utilizan proveedores de servicios externos para gestionar los datos de sus clientes. Comprender los matices de estas normativas es fundamental para las organizaciones que operan en un entorno global y digitalmente interconectado.
Normativa clave sobre cumplimiento de la privacidad de datos TPRM
| Reglamento | Resumen |
|---|---|
| CCPA (Ley de Privacidad del Consumidor de California) | Una ley de California que otorga derechos de privacidad a los consumidores y regula la recopilación y el uso de información personal por parte de las empresas. |
| RGPD (Reglamento General de Protección de Datos) | Normativa de la Unión Europea que regula la protección de datos personales, incluyendo su recopilación, almacenamiento y tratamiento. |
| HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico) | Una ley federal estadounidense que protege la privacidad y la seguridad de la información médica y relacionada con la salud. |
| NIST SP 800-66 | Publicación especial del Instituto Nacional de Estándares y Tecnología que ofrece directrices para proteger la información sanitaria, en particular en cumplimiento de la HIPAA. |
| Ley SHIELD de Nueva York (Ley del Estado de Nueva York para detener los ataques informáticos y mejorar la seguridad de los datos electrónicos) | Una ley del estado de Nueva York que exige medidas de seguridad de los datos y requisitos de notificación de violaciones. |
| PDPA (Ley de Protección de Datos Personales) | Legislación de Singapur que regula la recopilación, el uso y la divulgación de datos personales. |
| Ley 25 de Quebec | Esta disposición obliga y faculta a la autoridad de protección de datos de Quebec a supervisar la recopilación, el uso y la comunicación de información personal, y a hacer cumplir requisitos como las evaluaciones de impacto sobre la privacidad para la transferencia de datos fuera de la provincia. |
Cómo crear un programa de cumplimiento de TPRM
A la hora de adentrarse en el complejo mundo del cumplimiento normativo en materia de gestión de riesgos de terceros (TPRM), es fundamental adoptar un enfoque sistemático. Las organizaciones deben emprender un camino que no solo cumpla con los requisitos normativos, sino que también fortalezca la resiliencia de su ecosistema empresarial ampliado. A continuación se presentan diez pasos fundamentales para iniciar y reforzar el cumplimiento normativo en materia de TPRM:
Paso 1: Adapte su programa de TPRM a las normativas y marcos aplicables.
Examine el panorama normativo para identificar los requisitos específicos del sector y geográficos, y luego determine el marco adecuado para personalizar su estrategia de cumplimiento normativo a fin de alinearse perfectamente con estas regulaciones.
Paso 2: Evaluar el estado de cumplimiento de los proveedores durante la búsqueda y selección
Incluya criterios de cumplimiento de alto nivel enlas solicitudes de información y las solicitudes de propuestas, y preseleccione a los terceros mediante redes de inteligencia de riesgos de proveedores que proporcionan acceso a evaluaciones completas ajustadas a los marcos normativos y los estándares del sector.
Paso 3: Asegúrese de que las disposiciones aplicables a terceros y cuartos estén incluidas en los contratos con los proveedores.
Centralice la distribución, discusión, retención y revisión de los contratos con los proveedores para garantizar que todas las disposiciones necesarias, como el derecho a realizar auditorías, se incluyan y se apliquen a lo largo de la relación con el proveedor. Busque soluciones que integren a la perfecciónla gestión del ciclo de vida de los contratoscon la gestión de riesgos de terceros, de modo que todos los equipos internos utilicen el mismo flujo de trabajo.
Paso 4: Crear una base de datos centralizada de terceros
Realice un análisis exhaustivo de todas las relaciones con terceros dentro del ecosistema de su empresa y cree un repositorio centralizado con los perfiles de los proveedores y distribuidores. Esto servirá como punto de referencia único para que todos los departamentos internos colaboren e informen sobre sus iniciativas de cumplimiento normativo y gestión de riesgos con terceros.
Paso 5: Clasificar a los proveedores según el riesgo inherente
El riesgo inherente es el nivel de riesgo de un proveedor antes de tener en cuenta los controles específicos que exige su organización. Utilicelas puntuaciones de riesgo inherente paraclasificar a los proveedores y determinar qué tipo de diligencia debida continua requieren. Los factores normativos y de cumplimiento pueden influir mucho en esto. Por ejemplo, si el RGPD es un factor importante para su organización, entonces la clasificación de los proveedores en función de su acceso a los datos de sus clientes debe ser una consideración primordial.
Paso 6: Realizar evaluaciones de riesgos y asignar los resultados a las normativas aplicables.
Garantice el cumplimiento continuo mediante auditorías y evaluaciones periódicas. Aprovechelas soluciones automatizadas de evaluación de riesgos de proveedorespara optimizar el proceso, gestionar la recopilación de pruebas y mapear las respuestas a múltiples normativas a la vez. Este enfoque puede simplificar y acelerar enormemente sus iniciativas de informes de cumplimiento y debe incluir recomendaciones de corrección integradas para reducir el nivel de riesgo residual continuo.
Paso 7: Manténgase al tanto de las infracciones de cumplimiento con una supervisión continua.
Aprovechelas solucionesautomatizadasde supervisión de riesgos de tercerosentre evaluaciones periódicas. Estas soluciones pueden sacar a la luz nuevos problemas de cumplimiento normativo mediante el análisis de fuentes de inteligencia cibernética, actualizaciones empresariales, información financiera, análisis de medios de comunicación, listas de sanciones, incidentes de violación de la seguridad y mucho más.
Paso 8: Evaluar el rendimiento en relación con los contratos
Realizar evaluaciones periódicas del rendimiento y revisiones de los contratos para garantizar que los socios externos cumplan con los requisitos de cumplimiento y apliquen las medidas correctivas necesarias.
Paso 9: Utilice procesos de salida para evitar futuros problemas de cumplimiento normativo.
Los proveedores rescindidos pueden tener acceso a datos confidenciales que pueden estar sujetos a requisitos normativos, por lo que se debe seguir unprocesoformalizadode bajapara garantizar que todos los datos relevantes se destruyan o desactiven adecuadamente.
Paso 10: Manténgase informado y adáptese a los cambios
Manténgase informado sobre los cambios en el panorama normativo y los estándares del sector. Adapte suestrategia de cumplimiento de TPRMpara incorporar nuevos requisitos y mejores prácticas, garantizando su relevancia continua.
Conclusión
El cumplimiento de las normas TPRM es una tarea dinámica y multifacética que requiere un enfoque holístico para evaluar y supervisar continuamente a los proveedores y distribuidores. Al comprender las complejidades de las evaluaciones de riesgos, la supervisión continua, los marcos de ciberseguridad, las normativas ESG, las directrices del sector y las normativas de privacidad de datos, su organización puede fortalecer sus relaciones con terceros, protegerse contra posibles amenazas y prosperar en un entorno de confianza y resiliencia. Adopte el cumplimiento de TPRM no solo como una obligación normativa, sino también como un imperativo estratégico para el éxito sostenido de su negocio en un mundo interconectado.
Próximos pasos: Descubra las soluciones de cumplimiento normativo TPRM de Mitratech
Los proveedores y distribuidores externos están cada vez más relacionados con violaciones de datos, interrupciones en la cadena de suministro e infracciones normativas. A medida que las organizaciones se enfrentan a un mayor escrutinio social y legislativo, es imprescindible garantizar la resiliencia, la responsabilidad y las prácticas éticas en todas sus operaciones. Ahora más que nunca, las organizaciones deben asegurarse de que sus proveedores puedan proteger los datos confidenciales, cumplir con las normativas cruciales y mantener los estándares éticos empresariales. Por otro lado, recopilar, gestionar y revisar manualmente el estado de los riesgos es poco fiable, propenso a errores y costoso. A través de nuestra plataforma unificada e integrada de gestión de riesgos de terceros (TPRM), Mitratech facilita y agiliza la aplicación de la normativa y la prevención de riesgos. Solicite una demostración para ver si Mitratech es adecuado para usted.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
