La gestión de riesgos de proveedores es "la disciplina de reducir o eliminar el riesgo residual al que se enfrentan las empresas y los gobiernos cuando trabajan con proveedores externos de servicios y de TI, y terceros relacionados"[1] La gestión de riesgos de proveedores implica:
- Incorporación y centralización de la gestión de terceros
- Clasificar a los proveedores en función del riesgo inherente que aportan a la empresa.
- Evaluar a terceros, según sus niveles, en función de las normas de conformidad y seguridad.
- Remediar los riesgos hasta un nivel aceptable de riesgo residual
- Informar a los equipos internos y a los organismos reguladores sobre los progresos
El problema de muchos programas de gestión de riesgos de proveedores es que gran parte de esta actividad se gestiona con hojas de cálculo manuales y correos electrónicos. Este enfoque lento y costoso puede dar lugar a errores y perpetuar riesgos innecesarios. Muchas empresas desean realizar este trabajo de forma más eficiente, pero tienen dificultades para identificar las capacidades adecuadas que les ayuden a conseguirlo.
Repasemos cinco categorías de criterios a tener en cuenta a la hora de seleccionar una solución para automatizar y acelerar su programa de gestión de riesgos de proveedores.
5 categorías de criterios para seleccionar una solución de gestión de riesgos de proveedores
Una solución de gestión de riesgos de proveedores (VRM) debe hacer madurar progresivamente su programa en cinco categorías clave:
1) Gestione todos sus proveedores en un solo lugar
La primera categoría se centra en el control inicial del ecosistema de terceros. Aquí es donde se consideran las capacidades de una solución para incorporar proveedores y evaluar su riesgo inherente. Las métricas de riesgo inherente pueden informar sobre cómo clasificar y categorizar a los proveedores. Esto le permite evaluar a sus proveedores en función del riesgo que presentan para su empresa.
2) Salir de la cárcel de las hojas de cálculo
Una solución de gestión de riesgos de proveedores debería ayudarle a salir de la "cárcel de las hojas de cálculo". Las funciones de evaluación automatizada permitirán a sus equipos colaborar con los proveedores y recopilar información sobre sus controles de seguridad. La solución VRM adecuada reducirá en gran medida la cantidad de comunicaciones de ida y vuelta a lo largo del ciclo de vida del proveedor.
3) Tomar decisiones más inteligentes
Una solución sólida le permitirá validar las respuestas de la evaluación con puntuaciones externas de ciberseguridad e inteligencia de riesgos empresariales. Lo ideal es contar con una solución que combine la información sobre riesgos procedente de la supervisión continua con los datos de evaluación de los proveedores en un único registro de riesgos. De este modo se obtienen calificaciones de seguridad más holísticas y se facilita una toma de decisiones más informada.
4) Arreglar lo importante
Al complementar los datos de evaluación con información continua sobre amenazas, estará mejor posicionado para priorizar y remediar los riesgos de terceros. Para ello, necesitará sólidas funciones de generación de informes, así como automatización para activar los flujos de trabajo de corrección.
5) Continua, inteligente y automatizada
En esta categoría, se evalúa la capacidad de una solución de VRM para ofrecer información continua que sirva de base a las iniciativas de gestión de riesgos en curso. En última instancia, lo que busca es una solución que le ayude a crear un programa de gestión de riesgos de proveedores externos más predecible y proactivo.
Próximos pasos para evaluar las soluciones de gestión de riesgos de proveedores
¿Está preparado para dar el siguiente paso en la evaluación de soluciones de gestión de riesgos de proveedores? Descargue nuestro kit de herramientas RFP, que incluye una evaluación que cubre:
- Alcance, objetivos y resultados del proyecto
- Indicadores clave de rendimiento y plazos del proyecto
- Requisitos de la solución y casos de uso
- Criterios detallados de respuesta de los proveedores
También obtendrá acceso instantáneo a una hoja de cálculo detallada para comparar proveedores externos de gestión de riesgos y puntuar automáticamente los resultados. Comience su evaluación hoy mismo.
[1] "Cuadrante Mágico de herramientas de gestión de riesgos de proveedores de TI". Gartner. 24 de agosto de 2020. Joanne Spencer y Edward Weinstein.
Lista de comprobación de soluciones de gestión de riesgos de proveedores
Utilice esta tabla para evaluar su programa actual de VRM, comparar proveedores de soluciones y determinar qué carencias debe cubrir. La tabla clasifica los criterios de selección en las cinco categorías mencionadas anteriormente.
Gestione todos los proveedores en un solo lugar
¿En qué medida le permite la solución incorporar proveedores y comprender su riesgo inherente?
| Criterios | ¿Se cumplen los criterios? |
|---|---|
| 1) API y conectores a soluciones comunes para automatizar la incorporación | |
| 2) Plantilla automatizada para programar la incorporación de proveedores | |
| 3) Evaluación de perfiles y niveles y lógica incorporada para aplicar una metodología repetible de evaluación de proveedores. | |
| 4) Puntuación y seguimiento de los riesgos inherentes y residuales para identificar claramente qué proveedores presentan los riesgos de mayor impacto para la empresa. | |
| 5) Servicios de incorporación y puntuación de nuevos proveedores para equipos con pocos recursos |
Salir de la cárcel de las hojas de cálculo
¿En qué medida automatiza la solución el proceso del cuestionario de evaluación de riesgos de los proveedores?
| Criterios | ¿Se cumplen los criterios? |
|---|---|
| 1) Biblioteca de cientos de miles de perfiles verificados de inteligencia de proveedores para permitir una incorporación de proveedores y una evaluación de riesgos más rápidas y eficientes. | |
| 2) Gran número de plantillas de evaluación listas para usar que pueden personalizarse para abordar mandatos o marcos específicos. | |
| 3) Asistente para la creación de evaluaciones personalizadas, que ofrece flexibilidad para evaluar a los proveedores en función de requisitos exclusivos. | |
| 4) Flujos de trabajo y tareas automatizados para acelerar el proceso de evaluación y proporcionar una ruta clara hacia los siguientes pasos. | |
| 5) Centralización de documentos, contratos, acuerdos y pruebas como repositorio para varios equipos. | |
| 6) Informes listos para usar en función de múltiples requisitos de conformidad y marco, utilizando un único cuestionario para introducir las respuestas, lo que ahorra tiempo. | |
| 7) Opciones para externalizar el diseño del cuestionario y la recogida y análisis de pruebas a expertos para paliar la escasez de recursos. |
Ser más inteligente
¿Proporciona la solución inteligencia de riesgos externa para validar las respuestas de las evaluaciones y cubrir las lagunas entre las evaluaciones periódicas?
| Criterios | ¿Se cumplen los criterios? |
|---|---|
| 1) Cibervigilancia desde la web profunda/oscura para obtener información sobre riesgos en tiempo real | |
| 2) Supervisión empresarial a partir de cientos de miles de fuentes que proporcionan información sobre cuestiones empresariales, normativas o jurídicas. API RESTful para permitir conexiones con otros sistemas |
|
| 3) Registro de riesgos unificado que correlaciona los eventos de riesgo cibernético y empresarial con los resultados de la evaluación para validar los datos de control comunicados por el proveedor. | |
| 4) Transforme los datos entrantes sobre ciberamenazas y eventos empresariales de proveedores en riesgos procesables, ofreciéndole visibilidad del riesgo en tiempo real. Activar acciones como el envío de notificaciones, la creación de tareas o banderas, o la elevación de las puntuaciones de riesgo, acelerando el proceso de mitigación de riesgos. |
|
| 5) Ponderaciones de riesgo flexibles que definen granularmente la importancia de riesgos específicos para el negocio. | |
| 6) Marcado y categorización, automáticos o manuales, para escalar un riesgo y dirigirlo al contacto adecuado para su corrección. | |
| 7) Una matriz que permite analizar dinámicamente los riesgos en función de la probabilidad de un incidente y de su impacto potencial en la empresa. |
Fijar lo importante
¿Cuál es la capacidad de elaboración de informes de la solución y en qué medida ayuda a remediar la situación?
| Criterios | ¿Se cumplen los criterios? |
|---|---|
| 1) Orientación integrada con recomendaciones para acelerar el proceso de reducción de riesgos. | |
| 2) Un marco de información unificado que le permite asignar las respuestas del cuestionario a cualquier marco, directriz o metodología reglamentaria o estándar del sector. | |
| 3) Cumplimiento normativo, elaboración de informes sobre marcos y directrices para CMMC, ISO 27001, NIST, GDPR, CoBiT 5, SSAE 18, SIG, SIG Lite, NYDFS, etc. | |
| 4) Posibilidad de mostrar el "porcentaje de cumplimiento" para demostrar los avances en los esfuerzos de mitigación de riesgos. | |
| 5) Informes detallados de cada proveedor y de todos los proveedores | |
| 6) Proyección de la puntuación del riesgo a lo largo del tiempo una vez que se hayan llevado a cabo las medidas correctoras y se hayan mitigado los riesgos. | |
| 7) Flujos de trabajo y ticketing para automatizar las comunicaciones | |
| 8) Informes sobre múltiples normativas de seguridad, cumplimiento y privacidad con plantillas de informes y estado integradas. | |
| 9) Cuadros de mando ejecutivos y operativos | |
| 10) Servicios de gestión del proceso de remediación para equipos con limitaciones |
Sea proactivo y continuo
¿Proporciona la solución información continua que sirva de base a las iniciativas de gestión de riesgos en curso?
| Criterios | ¿Se cumplen los criterios? |
|---|---|
| 1) Evaluaciones proactivas e incrementales desencadenadas por las percepciones y conclusiones de la supervisión continua. | |
| 2) Actualizaciones proactivas e incrementales y notificaciones de eventos | |
| 3) Cibervigilancia, puntuación y alerta continuas | |
| 4) Habilitación para la acción: guías automatizadas | |
| 5) Biblioteca de reglas y acciones de inteligencia | |
| 6) Análisis del comportamiento y detección con análisis multidimensional |
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
