Las evaluaciones de riesgos de los proveedores son un componente fundamental de los programas de gestión de riesgos de terceros. Cuando se utilizan soluciones y servicios de terceros, es importante comprender los riesgos que pueden conllevar.
Los riesgos de tus proveedores son también los tuyos. Estos riesgos pueden estar relacionados con la ciberseguridad, el cumplimiento normativo, las operaciones, las finanzas o la reputación. Realizar evaluaciones puede ayudarte a detectar y subsanar estos riesgos a lo largo de todo el ciclo de vida del proveedor.
Las evaluaciones de riesgos de los proveedores permiten a su organización identificar y mitigar de forma proactiva los riesgos asociados a terceros, con el fin de estar mejor preparada cuando se produzcan incidentes. Unas evaluaciones bien gestionadas refuerzan las relaciones con los proveedores, demuestran a las autoridades reguladoras que se ha llevado a cabo la debida diligencia y ponen de relieve las mejores prácticas en materia de controles de seguridad.
En este artículo
- ¿Qué es una evaluación de riesgos de proveedores?
- Por qué son importantes las evaluaciones de riesgo de los proveedores
- ¿Cuáles son los diferentes tipos de riesgo de proveedores?
- ¿Cómo se evalúa el riesgo de los proveedores?
- Cómo realizar una evaluación de riesgos de proveedores: paso a paso
- Cómo iniciar un programa de evaluación de riesgos de proveedores
- Próximos pasos
- Preguntas frecuentes
¿Qué es una evaluación de riesgos de proveedores?
Una evaluación de riesgos de proveedores es un proceso que utilizan las empresas para evaluar los riesgos potenciales al trabajar con terceros, como proveedores, contratistas u otros socios comerciales. Consiste en evaluar los riesgos durante las diferentes etapas del ciclo de vida del proveedor, desde la búsqueda y selección hasta la baja y la rescisión del contrato.
Las evaluaciones suelen incluir la recopilación de información sobre la seguridad, los controles de privacidad, los datos financieros y operativos y las políticas del proveedor, a menudo mediante cuestionarios. A continuación, los riesgos identificados se clasifican en función de su gravedad, probabilidad y otros factores. Los resultados se suelen ajustar a los requisitos reglamentarios, las normas de cumplimiento y los marcos de seguridad, como ISO y NIST.
Las evaluaciones del riesgo de los proveedores tienen en cuenta una serie de factores durante las distintas etapas del ciclo de vida de la gestión de proveedores, entre ellos:
- Durante el proceso de incorporación, como medida de diligencia debida para evaluar el riesgo inherente antes de conceder acceso a sistemas y datos críticos
- Periódicamente, para comprobar los acuerdos de nivel de servicio, evaluar el cumplimiento de los contratos o satisfacer los requisitos de auditoría.
- Durante la baja, asegúrese de que el acceso al sistema ha finalizado y de que los datos se han protegido o destruido de acuerdo con la normativa.
- Durante la respuesta a incidentes para determinar el alcance potencial y el impacto de las violaciones de seguridad
Por qué son importantes las evaluaciones de riesgo de los proveedores
Los incidentes relacionados con terceros no dejan de ser «de terceros» por mucho tiempo. Las interrupciones en la cadena de suministro, los ataques de ransomware y los fallos de los proveedores se han traducido en repetidas ocasiones en fallos operativos, escrutinio regulatorio y pérdidas económicas para las organizaciones situadas en las fases posteriores de la cadena. Las organizaciones que cuentan con programas maduros de gestión de riesgos de terceros están siempre mejor preparadas para contener los daños, no porque eviten todos los incidentes, sino porque ya han identificado los riesgos a los que están expuestas.
La implantación de flujos de trabajo de evaluación de riesgos de terceros centrados en los riesgos operativos, la continuidad del negocio y los riesgos de seguridad permite a su organización optimizar los procesos de adquisición, mejorar la resiliencia de la cadena de suministro y cumplir con las auditorías de cumplimiento normativo. Es más, el coste de crear y mantener una práctica estratégica de evaluación de terceros es mucho menor que el daño potencial que pueden causar los proveedores de alto riesgo.
¿Cuáles son los diferentes tipos de riesgo de proveedores?
Existen tres tipos principales de riesgo a la hora de tratar con terceros: el riesgo perfilado, el riesgo inherente y el riesgo residual. A continuación se ofrece un breve desglose de los tres:
- El riesgo perfilado está directamente relacionado con la relación del proveedor con tu organización. Algunos proveedores entrañan más riesgos. Por ejemplo, es probable que una empresa de procesamiento de tarjetas de crédito represente un mayor riesgo para tu organización que una agencia de publicidad digital. Las organizaciones con un nivel más alto de riesgo perfilado requieren un escrutinio adicional durante la selección de proveedores.
- Los «riesgos inherentes» se refieren a los riesgos que plantea el proveedor debido a sus propias prácticas en materia de seguridad de la información, operativas, financieras y otras prácticas empresariales, antes de que se implementen los controles exigidos por su organización. Para determinar la puntuación de riesgo inherente de un posible proveedor es necesario combinar cuestionarios detallados de evaluación del proveedor con un seguimiento externo de las amenazas.
- El riesgo residual es el nivel de riesgo que persiste una vez que la organización en cuestión ha aplicado los controles obligatorios de su organización. El riesgo residual nunca puede eliminarse por completo, pero puede reducirse hasta un nivel que la organización considere aceptable.
¿Cómo se evalúa el riesgo de los proveedores?
El cálculo básico para evaluar el riesgo de un proveedor es: Probabilidad × Impacto = Riesgo. Por ejemplo, supongamos que un proveedor de un hospital procesa grandes cantidades de información sanitaria protegida (PHI), pero no cumple con la HIPAA. Según la HIPAA, este proveedor se clasificaría como «socio comercial» y estaría sujeto al mismo control normativo que el proveedor de asistencia sanitaria.
En este caso, las consecuencias son una multa elevada tanto para el proveedor de asistencia sanitaria como para el socio comercial (grave o muy grave), y la probabilidad de que las autoridades reguladoras detecten el incumplimiento es alta, lo que convierte este riesgo en inaceptable para cualquier organización sanitaria.
El ejemplo anterior pone de relieve la importancia de realizar evaluaciones exhaustivas de los riesgos de los proveedores. Esto es aún más importante para las organizaciones que manejan grandes cantidades de datos confidenciales, como los contratistas del gobierno y los proveedores de atención sanitaria. En muchos casos, normativas como la HIPAA responsabilizan a la organización principal del incumplimiento por parte del proveedor.
Cómo realizar una evaluación de riesgos de proveedores: paso a paso
-
Reunir a las partes interesadas internas
Los programas de evaluación de riesgos de proveedores más exitosos son interdepartamentales. Las partes interesadas de toda la organización aportan diferentes prioridades al proceso, y todas ellas son importantes:
Papel Ejemplo de prioridades Gestión de riesgos Unificar las evaluaciones de proveedores con iniciativas más amplias de gestión de riesgos organizativos e integrar los datos de riesgos de terceros con plataformas GRC. Adquisiciones y contratación Buscar proveedores de bajo riesgo, realizar la diligencia debida previa al contrato, evaluar el rendimiento de los proveedores y garantizar el cumplimiento de las obligaciones contractuales. Seguridad e informática Identificar, analizar y remediar los riesgos de ciberseguridad relacionados con terceros. Auditoría y cumplimiento Comprender e informar sobre los riesgos de los proveedores en el contexto de las normativas gubernamentales y los marcos del sector. Protección de datos Identificación de los proveedores que manejan datos privados, realización de evaluaciones del impacto sobre la privacidad y elaboración de informes en función de los requisitos de cumplimiento de la privacidad. La creación de un equipo multidisciplinar para planificar y dirigir tu programa de evaluación contribuirá a garantizar su aceptación por parte de la organización y su éxito a largo plazo.
-
Defina su nivel aceptable de riesgo residual.
En un mundo ideal, el riesgo podría eliminarse por completo. Por desgracia, cuando se trabaja con terceros, siempre existe cierto grado de riesgo. Antes de evaluar a los posibles proveedores para un proyecto, es necesario definir qué nivel de riesgo resulta aceptable. Esto puede hacer que la selección de proveedores y todo el proceso de gestión de riesgos de terceros sea más rápido, más eficiente y más uniforme.
Esto te permite identificar fácilmente a los proveedores que, evidentemente, no cumplirán tus objetivos empresariales ni se ajustarán a tu tolerancia al riesgo. Además, puede ayudarte a aclarar qué controles debes exigir a los proveedores antes de trabajar con ellos.
-
Crea tu proceso de evaluación de riesgos de proveedores
Implantar un proceso con controles y requisitos estandarizados. Sin embargo, no existe un enfoque único para la evaluación del riesgo de los proveedores. Los distintos proveedores presentan diferentes niveles de riesgo para su organización, en función de factores como:
- Su importancia en la cadena de suministro, especialmente si se trata de un proveedor único.
- Su acceso a datos sensibles, como información personal identificable (PII), información sanitaria protegida (PHI) o información comercial sensible (CSI).
- Su vulnerabilidad a las perturbaciones, como catástrofes naturales o conflictos geopolíticos.
Comience con una evaluación interna de perfiles y niveles de riesgo para clasificar a sus proveedores y determinar el tipo, el alcance y la frecuencia de las evaluaciones necesarias para cada grupo. Por ejemplo, los proveedores que son fundamentales para su negocio y que presentan un alto riesgo potencial (como las empresas de contabilidad o los proveedores únicos) requieren un proceso de diligencia debida más exhaustivo que aquellos con perfiles de menor riesgo (como las agencias de publicidad).
Contar con un proceso estructurado para cada categoría de proveedores hace que su programa de gestión de riesgos de terceros sea más eficaz y le ayuda a tomar mejores decisiones basadas en el riesgo sobre sus relaciones con los proveedores.
-
Enviar cuestionarios de evaluación de riesgos de proveedores
El siguiente paso consiste en seleccionar y enviar cuestionarios de evaluación de riesgos para cada proveedor o categoría de proveedores. Los cuestionarios proporcionan un enfoque basado en la confianza para recopilar información sobre los controles internos de cada proveedor. Pueden abarcar diversos temas, como las prácticas de seguridad de la información, los requisitos de cumplimiento, la estabilidad financiera y los datos de proveedores de cuarta y enésima parte.
Elección de un cuestionario: Una de las decisiones más importantes a las que se enfrentan las empresas a la hora de seleccionar cuestionarios para sus evaluaciones de riesgo primarias es si utilizar un cuestionario estándar del sector, como el cuestionario Standard Information Gathering (SIG), o un cuestionario propio.
En algunos casos, es posible que sus terceros ya cuenten con una certificación de seguridad de la información, como CMMC o SOC 2. Puede aceptar estas certificaciones en lugar de exigir una respuesta a la evaluación, o complementarlas con evaluaciones propias y/o ad hoc para recabar información sobre controles específicos o riesgos potenciales ajenos a la ciberseguridad.
Elección de un marco de referencia: Muchas organizaciones optan por utilizar marcos de referencia a la hora de diseñar sus cuestionarios de evaluación de proveedores, como el Marco de Ciberseguridad del NIST, la norma ISO 27001 y la norma NIST 800-30, para garantizar que los cuestionarios sean uniformes a lo largo de toda la cadena de suministro y reflejen las mejores prácticas.
Si exiges a tus proveedores que cumplan con normativas específicas, como el RGPD o la norma PCI DSS, podría merecer la pena incorporar preguntas relacionadas con dichas normas directamente en tu programa de gestión de riesgos de proveedores.
-
Complementar las evaluaciones con un seguimiento continuo de los riesgos
Las vulnerabilidades en materia de ciberseguridad, los retos de la cadena de suministro y los requisitos de cumplimiento normativo evolucionan constantemente. Por lo tanto, asegúrate de llevar a cabo un seguimiento continuo de los riesgos para detectar cualquier riesgo cibernético, empresarial o reputacional que surja entre tus evaluaciones periódicas de proveedores. También puedes utilizar los datos sobre riesgos para verificar que las respuestas de un tercero a la evaluación sean coherentes con sus actividades empresariales reales.
Fugas de datos de proveedores, credenciales expuestas y otros riesgos cibernéticos: las fugas de datos de terceros, los ataques de ransomware y otros incidentes cibernéticos constituyen amenazas constantes y generalizadas para las organizaciones en la actualidad. Por lo tanto, es fundamental llevar a cabo una supervisión externa de los riesgos de ciberseguridad en todo el ecosistema de proveedores.
Entre los principales riesgos a tener en cuenta se encuentran:
- exposiciones de credenciales
- violaciones de datos e incidentes confirmados
- errores de configuración y vulnerabilidades de las aplicaciones web
- typosquatting y otras amenazas para las marcas
Situación financiera, prácticas empresariales y reputación de los proveedores: Aunque las infracciones cometidas por terceros y los incidentes de ciberseguridad suelen acaparar los titulares, la quiebra de un proveedor, las interrupciones operativas o la mala prensa pueden tener graves consecuencias para su empresa. Estos riesgos «no relacionados con las tecnologías de la información» también abarcan retos medioambientales, sociales y de gobernanza (ESG), como la esclavitud moderna, el soborno o la corrupción y las cuestiones relacionadas con la protección del consumidor.
Busque noticias, información financiera y relaciones con terceros que puedan indicar problemas. Examine las prácticas empresariales de los proveedores, el abastecimiento de materias primas y otros procesos empresariales clave que puedan plantear problemas éticos o de reputación a su empresa. Además, pida referencias de clientes y socios que utilicen los productos y servicios del tercero. Hable con las referencias para obtener más información sobre la capacidad del tercero para cumplir los acuerdos de nivel de servicio y otras obligaciones contractuales.
Selección de una estrategia de supervisión: desde la inteligencia de fuentes abiertas hasta las páginas web públicas, no faltan fuentes donde obtener información sobre tus terceros. Sin embargo, crear desde cero un programa de supervisión completo y eficaz puede resultar complicado. Muchas empresas recurren a software automatizado de supervisión de amenazas de proveedores para identificar y puntuar los riesgos.
-
Clasificar y mitigar los riesgos
Los riesgos pueden clasificarse como aceptables o inaceptables. Los riesgos inaceptables deben remediarse antes de trabajar con el proveedor. La corrección de riesgos de terceros puede adoptar diversas formas. Una organización puede optar por pedir a un proveedor potencial que obtenga una certificación de seguridad como SOC 2, cesar las relaciones con proveedores de cuarta y enésima parte, o cambiar las prácticas empresariales que podrían causar interrupciones en la cadena de suministro u otras.
Además, las organizaciones deberían contar con una estrategia de respuesta ante incidentes de terceros en caso de que un proveedor sufra una filtración de datos u otra interrupción. Disponer de una estrategia definida para hacer frente a los riesgos que se materialicen puede reducir drásticamente el tiempo necesario para poner en marcha una respuesta eficaz y minimizar las interrupciones en su organización.
Cómo iniciar un programa de evaluación de riesgos de proveedores
Un error que cometen muchas empresas al poner en marcha un programa de evaluación es confiar en el correo electrónico y las hojas de cálculo para realizar el trabajo. A menos que solo se trabaje con un puñado de proveedores, este enfoque manual de las evaluaciones puede ser una pesadilla para auditores y proveedores, además de aportar pocos datos útiles.
Si estás pensando en poner en marcha un programa de evaluación, un buen punto de partida es suscribirte a una red de información sobre proveedores, que ofrece acceso a una biblioteca de informes de riesgo de proveedores basados en datos de evaluación estandarizados. A continuación, para obtener un mayor nivel de personalización y control, plantéate utilizar una solución automatizada de evaluación de riesgos de proveedores que te permita llevar a cabo y gestionar tus iniciativas de evaluación. O, si prefieres un enfoque más pasivo, un proveedor de servicios gestionados puede realizar las evaluaciones en tu nombre.
Preguntas frecuentes
¿Qué es una evaluación de riesgos de proveedores?
Una evaluación de riesgos de proveedores es el proceso de evaluar los riesgos que plantea un proveedor externo en los ámbitos de la ciberseguridad, las finanzas, las operaciones y el cumplimiento normativo. Se lleva a cabo en distintos momentos del ciclo de vida del proveedor, no solo durante su incorporación.
¿Cuál es la diferencia entre una evaluación de riesgos de proveedores y la diligencia debida de proveedores?
La diligencia debida de proveedores es una evaluación puntual previa a la firma del contrato. La evaluación de riesgos de proveedores es un proceso continuo que se lleva a cabo en distintas fases del ciclo de vida del proveedor. La diligencia debida establece una referencia; la evaluación de riesgos de proveedores la mantiene.
¿Con qué frecuencia deben realizarse las evaluaciones de riesgo de los proveedores?
Los proveedores de riesgo crítico y alto deben evaluarse anualmente o tras incidentes significativos. Los proveedores de riesgo medio suelen requerir una reevaluación cada uno o dos años, y los de riesgo bajo, cada dos o tres años o en el momento de la renovación del contrato. La supervisión continua complementa todas las evaluaciones periódicas.
¿Qué es una plantilla de evaluación de riesgos de proveedores?
Una plantilla de evaluación de riesgos de proveedores es un documento estandarizado que permite evaluar los riesgos de terceros de forma coherente para todos los proveedores. Suele incluir secciones con información sobre el proveedor, categorías de riesgo, criterios de puntuación y seguimiento de las medidas correctivas. Descarga la plantilla de evaluación de riesgos de proveedores de Mitratech para empezar.
¿Estás listo para ampliar tu programa de evaluación de riesgos de proveedores?
Descubre cómo Mitratech puede ayudarte
Programe una demostraciónNota del editor:Esta entrada se publicó originalmente enPrevalent.net. En octubre de 2024, Mitratech adquirió Prevalent, una solución de gestión de riesgos de terceros basada en inteligencia artificial. Desde entonces, el contenido se ha actualizado para incluir información acorde con nuestra oferta de productos, los cambios normativos y los requisitos de cumplimiento.

