Gestión de riesgos de proveedores: 8 claves para el éxito

¿Qué es la gestión de riesgos de proveedores?

La gestión de riesgos de proveedores (VRM) es el proceso de identificar, evaluar y mitigar los riesgos asociados a la contratación de proveedores externos que suministran bienes o servicios a una organización. La VRM es un aspecto importante de la gestión del riesgo empresarial, ya que los vendedores pueden introducir riesgos que pueden afectar negativamente a las operaciones, la reputación o la postura de cumplimiento de una organización. Las actividades de VRM deben llevarse a cabo a lo largo de todas las etapas del ciclo de vida del proveedor, incluyendo el aprovisionamiento y la selección, la admisión y la incorporación, la puntuación del riesgo inherente, la evaluación y la corrección del riesgo, la supervisión continua del riesgo, el rendimiento y la gestión de SLA, y la salida y la terminación.

¿Por qué es importante la gestión del riesgo de los proveedores?

La gestión del riesgo de los proveedores es importante por varias razones, entre ellas:

Dependencia de los proveedores

Muchas organizaciones dependen de proveedores externos para obtener servicios, productos o componentes críticos. Cualquier interrupción o fallo en las operaciones del proveedor puede afectar directamente a la capacidad de la organización para suministrar sus propios productos o servicios. La gestión de riesgos de proveedores ayuda a identificar y mitigar los riesgos potenciales asociados a estas dependencias.

Seguridad y privacidad de los datos

Los proveedores suelen tener acceso a datos o sistemas sensibles de la organización. Unas medidas de seguridad inadecuadas o una violación de los datos por parte del proveedor pueden poner en peligro información valiosa, incluidos los datos de los clientes. La gestión de riesgos de proveedores ayuda a evaluar sus prácticas de seguridad, garantizando que cuentan con medidas sólidas para proteger los datos.

Cumplimiento de la normativa

Las organizaciones están sujetas a diversos requisitos normativos, como leyes de protección de datos o normativas específicas del sector. Los proveedores que manejan datos o procesos regulados también deben cumplir estos requisitos. Una gestión eficaz de los riesgos de los proveedores garantiza que estos cumplan la normativa pertinente, reduciendo la exposición de la organización a incumplimientos y a las sanciones asociadas.

Continuidad de la actividad y resistencia

Los proveedores desempeñan un papel crucial en el mantenimiento de la continuidad empresarial. Si un proveedor sufre interrupciones, como catástrofes naturales, inestabilidad financiera o fallos operativos, puede afectar a las operaciones de la organización. La gestión de riesgos de proveedores ayuda a identificar posibles vulnerabilidades y a establecer planes de contingencia para mitigar el impacto de las interrupciones relacionadas con los proveedores.

Reputación y protección de la marca

Las acciones o fallos de un proveedor pueden tener un impacto significativo en la reputación y la imagen de marca de una organización. Por ejemplo, si un proveedor está implicado en prácticas poco éticas, infracciones medioambientales o controversias públicas, puede perjudicar a la organización que se asoció con él. La gestión de riesgos de proveedores ayuda a evaluar la reputación del proveedor, garantizando la alineación con los valores de la organización y protegiendo su marca.

Optimización de costes y rendimiento

Una gestión eficaz del riesgo de los proveedores permite a las organizaciones evaluar su estabilidad financiera y su rendimiento. Al evaluar las capacidades de los proveedores, las organizaciones pueden tomar decisiones informadas sobre con qué proveedores contratar, negociar condiciones favorables y evitar posibles pérdidas financieras o un rendimiento insuficiente.

En general, la gestión de riesgos de proveedores permite a las organizaciones identificar y abordar de forma proactiva los riesgos asociados a las relaciones con los proveedores, protegiendo sus operaciones, reputación, datos y cumplimiento, al tiempo que optimiza los costes y garantiza la continuidad de la actividad.

¿Cuáles son los tipos de riesgo de los proveedores externos?

Un programa de gestión de riesgos de proveedores puede permitir a su organización hacer frente a una amplia gama de amenazas y riesgos:

Ciberriesgos

Ciberseguridad
es fundamental en las evaluaciones de proveedores. El ransomware, la denegación de servicio distribuida y otros ataques pueden paralizar su organización, imposibilitando que su empresa cumpla con sus obligaciones comerciales. Según las últimas investigaciones de IBM, casi el 25% de todas las violaciones de datos fueron causadas por ransomware o ciberataques maliciosos que dejaron inoperativos los sistemas de la organización.

Riesgo de cumplimiento

La mayoría de las organizaciones operan bajo una miríada de requisitos normativos en evolución relativos a la protección de datos y sistemas sensibles. Muchas de estas normativas, como la HIPAA, la Ley de Privacidad del Consumidor de California (CCPA), la Ley SHIELD de Nueva York y el Reglamento General de Protección de Datos de Europa (GDPR), exigen a las organizaciones que protejan la información privada de sus consumidores, clientes y empleados. Otras normativas se refieren a la protección de la información financiera no pública. Las infracciones pueden acarrear multas y daños a la reputación.

Riesgo financiero

Los equipos de aprovisionamiento deben tener visibilidad de la estabilidad financiera de sus proveedores externos, incluidas las deudas de sus proveedores y el crédito que conceden a los clientes. Una declaración de quiebra puede provocar pérdidas de negocio e interrupciones en la cadena de suministro.

Riesgos ESG

La preocupación de los inversores por las prácticas medioambientales, sociales y de gobernanza(ASG) sigue creciendo. Por ejemplo, tras la invasión rusa de Ucrania, hacer negocios con empresas afiliadas al gobierno ruso se convirtió en algo desagradable para muchas empresas. Las organizaciones también necesitan protegerse de las acusaciones de que su cadena de suministro está implicada en violaciones de los derechos humanos, emplea mano de obra infantil o causa daños medioambientales.

Riesgo para la reputación

La cobertura mediática adversa o las noticias negativas sobre un proveedor pueden dañar la reputación de sus clientes. Esto puede ocurrir cuando el proveedor está implicado en prácticas de contratación poco éticas, problemas de calidad con sus productos, actividades delictivas o desastres medioambientales.

4. Corregir lo importante con soluciones recomendadas e informes

Ahora viene lo más difícil: remediar los riesgos. Las consideraciones clave en esta fase incluyen:

• ¿Dispone su equipo de los conocimientos necesarios para recomendar medidas correctoras para los controles fallidos? ¿Sería útil activar automáticamente medidas correctoras predefinidas cuando las evaluaciones detecten riesgos específicos?

• ¿Cómo tiene previsto proyectar el riesgo futuro (por ejemplo, el riesgo residual) a lo largo del tiempo tras la aplicación o ejecución de las medidas correctoras? Esto será importante a la hora de informar a los consejos de administración.

• ¿Cómo demostrará el cumplimiento de un proveedor con un marco normativo o industrial específico? (Sugerencia: busque soluciones que proporcionen métricas de "porcentaje de cumplimiento" con respecto a múltiples normativas).

• ¿Cómo mitigará las amenazas ocultas que no revelan las respuestas de las evaluaciones? (Asegúrese de preguntar si su solución VRM incluye aprendizaje automático para analizar datos y revelar tendencias ocultas).

5. Adoptar un enfoque continuo, inteligente y automatizado de la gestión del riesgo de los proveedores

El último paso para avanzar hacia un VRM más proactivo es incorporar a su programa una automatización continua e inteligente a largo plazo. Esto incluye aprovechar las soluciones que pueden evaluar, supervisar y eliminar el riesgo de los proveedores de forma proactiva y continua. Pero, ¿qué significa "continua, inteligente y automatizada"?

Evaluaciones continuas

Una forma de lograr un modelo de evaluación más continuo y menos reactivo es permitir que la inteligencia de supervisión cibernética y empresarial en tiempo real informe su programa de evaluación. Con las reglas adecuadas, puede correlacionar las vulnerabilidades de un proveedor, las infracciones o las credenciales filtradas en la Web oscura con las respuestas de evaluación que revelan una gestión de contraseñas o prácticas de gestión de parches deficientes. A continuación, puede utilizar estas conclusiones para activar las evaluaciones. Este nivel de automatización cierra realmente el círculo del riesgo de terceros y transforma las evaluaciones puntuales en una supervisión continua del riesgo de los proveedores.

Inteligencia desde todos los rincones

Tomar decisiones sólidas y basadas en el riesgo implica consumir y normalizar datos de varias fuentes. Consulte nuestra guía de buenas prácticas para ver un diagrama que ilustra los datos que suelen ser necesarios para tomar decisiones basadas en el riesgo. He aquí algunos ejemplos:

• Las fuentes públicas y privadas, la inteligencia de riesgos de proveedores y las integraciones tecnológicas pueden proporcionar información cuantitativa y cualitativa sobre los riesgos de seguridad informática, los problemas financieros y otros indicadores de la salud cibernética y empresarial de un proveedor.

• La comunidad de proveedores, las evaluaciones completas y las asociaciones industriales también desempeñan un papel importante. Proporcionan documentación aportada por los miembros o de origen colectivo, así como información que puede ofrecer una visión previa de los riesgos que plantean los proveedores en sectores específicos.

• La supervisión reglamentaria proporciona información sobre los fallos de control en los sectores regulados y puede ayudar a anticipar las medidas correctoras necesarias para reducir el riesgo residual de un proveedor.

Automatización de guías para agilizar la respuesta a los riesgos

Una forma de lograr un programa más automatizado es aprovechar las capacidades para desencadenar acciones de respuesta al riesgo basadas en criterios del tipo "si esto, entonces aquello" para entidades y riesgos específicos. Las reglas deben automatizar una amplia gama de tareas de incorporación, evaluación y revisión. Éstas pueden incluir la actualización de perfiles de proveedores y atributos de riesgo, el envío de notificaciones y/o la activación de flujos de trabajo. También deben ejecutarse de forma permanente para actualizar el entorno VRM a medida que surgen nuevos eventos y riesgos.

6. Tenga en cuenta la geopolítica en su plan de VRM

La situación geopolítica, cada vez más tensa, también puede plantear riesgos sustanciales para los programas de gestión de riesgos de los proveedores. Evalúe a sus proveedores en función de dónde hacen negocios. Los proveedores con una fuerte concentración de negocios en países con un historial deficiente en materia de derechos humanos y ASG pueden estar poniéndose en peligro a sí mismos y a los servicios que prestan a su organización. Unos aranceles repentinos o un embargo podrían reducir drásticamente los ingresos y provocar un riesgo para el rendimiento del proveedor o incluso su quiebra.

Del mismo modo, las organizaciones que hacen negocios importantes o alojan datos en países sin leyes explícitas sobre la privacidad de los datos pueden poner en peligro los datos de su organización al tener que compartirlos con entidades gubernamentales del país anfitrión. Estas son algunas preguntas que vale la pena plantearse sobre los proveedores actuales, así como sobre los futuros proveedores potenciales, durante el proceso de contratación y selección:

• ¿Tiene el proveedor operaciones comerciales importantes o aloja datos en países que carecen de leyes y normativas claras sobre cómo se comparten los datos entre entidades gubernamentales y del sector privado?

• ¿Opera el proveedor en países con un historial deficiente en materia de derechos humanos, libertad política o degradación medioambiental? En caso afirmativo, ¿son sus operaciones lo suficientemente importantes como para causar trastornos en caso de embargo de ese país?

• ¿Basa el vendedor sus operaciones en un país con territorio en disputa o insurgencia violenta activa?

7. Incorporación de informes de cumplimiento desde cero

Dado que la gestión del riesgo de terceros es un punto de control crucial en la mayoría de los regímenes normativos y marcos del sector, los auditores, tanto externos como internos a su organización, deben mostrar los avances hacia el cumplimiento de dichos requisitos. Sin embargo, muchas herramientas de gestión de riesgos hacen que los informes de cumplimiento sean excesivamente complejos y lleven mucho tiempo. Para acelerar y simplificar el proceso de cumplimiento, es fundamental disponer de informes integrados para las normativas estándar y los marcos sectoriales.

Una forma de acelerar los informes de cumplimiento es obtener visibilidad del nivel de cumplimiento de cada proveedor. Empiece por establecer un umbral de porcentaje de "aprobación" del cumplimiento con respecto a una categoría de riesgo (por ejemplo, X% de cumplimiento con respecto a un marco o directriz concretos). Todos los informes se referirán a ese porcentaje de conformidad, y su equipo podrá centrarse en las áreas en las que los porcentajes de conformidad sean bajos. Esto también debe llevarse a cabo a nivel macro en todos los proveedores, no sólo a nivel de proveedor. Los informes a nivel macro serán necesarios para que la junta determine el grado de cumplimiento de la organización con respecto a la normativa del momento.

Consejo adicional: El cumplimiento de las ESG por parte de los proveedores es cada vez más importante

Las normativas ASG, desde la Ley de Transparencia de la Cadena de Suministro de California hasta el Proyecto de Directiva de la UE, están aumentando la presión sobre las empresas para que erradiquen las malas prácticas ASG de sus cadenas de suministro. Esta tendencia parece que continuará a lo largo de la década de 2020. Aunque muchas organizaciones consideran que las cuestiones ASG afectan principalmente a los proveedores, los vendedores de TI también pueden plantear riesgos ASG que van desde las malas prácticas laborales en las fábricas hasta el soborno y otras formas de corrupción. Examine detenidamente los requisitos de cumplimiento ESG que puedan afectar a su organización y asegúrese de estructurar los informes de cumplimiento para tenerlos en cuenta.

8. Garantizar que la incorporación de los proveedores sea fluida, eficiente y verificada

Cuando finaliza la relación con un proveedor, el riesgo puede persistir. Un proveedor que posea datos confidenciales debe devolverlos y destruirlos de forma segura; las obligaciones de soporte pueden durar más que un acuerdo de compra, y las organizaciones deben asegurarse de que se pone fin al acceso de terceros a los sistemas internos. Aunque esto es fácil de entender, el estudio de Prevalent reveló que el 60% de las empresas no evalúan activamente los riesgos de terceros durante la externalización. Esto presenta riesgos continuos para el negocio, la seguridad y la propiedad intelectual.

He aquí algunas preguntas críticas sobre su enfoque actual de la incorporación de proveedores.

• ¿Disponemos de métodos de verificación para impedir que los proveedores externos accedan a toda la infraestructura y aplicaciones informáticas?

• ¿Hacemos auditorías rutinarias de los sistemas para verificar que los proveedores han sido dados de baja con éxito?

• ¿Incorpora nuestro enfoque de incorporación de proveedores las disposiciones fundamentales de los requisitos de cumplimiento aplicables?

• ¿Exigimos a los proveedores que afirmen por escrito que todos los datos confidenciales han sido destruidos una vez finalizada la incorporación?

• ¿Escribimos los requisitos de incorporación en los contratos y acuerdos de nivel de servicio con los proveedores?

Retos de la gestión de riesgos de proveedores

La creación de un programa eficaz de gestión de riesgos de proveedores puede ser un proceso complejo que requiere una planificación y ejecución cuidadosas. He aquí nueve retos a los que puede enfrentarse su organización a la hora de crear un programa de VRM:

Identificación de terceros proveedores

Uno de los principales retos es identificar a los proveedores externos con los que trata su organización, ya que estos proveedores pueden estar repartidos entre varios departamentos y funciones.

Evaluar los riesgos de los proveedores

Una vez identificados los proveedores, evaluar su riesgo puede resultar complejo y llevar mucho tiempo, sobre todo si su organización utiliza hojas de cálculo u otros métodos manuales para recopilar y hacer un seguimiento de las respuestas.

Definir la tolerancia al riesgo

Para tomar decisiones más informadas sobre la mitigación de riesgos, es importante definir los niveles de tolerancia al riesgo de su organización y establecer umbrales para la exposición al riesgo de terceros. En este sentido, es esencial un enfoque estructurado de la clasificación por niveles y categorías de los proveedores.

Establecer procedimientos de diligencia debida

Asegúrese de que dispone de procedimientos sólidos de diligencia debida con los proveedores. Estos deben abordar una serie de temas como la estabilidad financiera, el cumplimiento normativo y la ciberseguridad.

Garantizar el cumplimiento de los contratos

Es importante asegurarse de que los proveedores cumplen las condiciones de sus contratos, especialmente en lo que respecta a los requisitos de seguridad y cumplimiento.

Supervisión del rendimiento de los proveedores

Asegúrese de supervisar el rendimiento del proveedor y los acuerdos de nivel de servicio de forma continua para garantizar que se cumplen los niveles de servicio e identificar cualquier problema que pueda surgir.

Mantenerse al día de los cambios normativos

Mantenerse al día con los cambiantes requisitos normativos puede ser un reto, ya que la gestión de riesgos de proveedores es un factor clave en muchos marcos de ciberseguridad, directrices de la industria, leyes de privacidad de datos y regulaciones ESG.

Garantizar la participación de los ejecutivos

El establecimiento de un programa eficaz de gestión de riesgos de proveedores requiere la implicación y el apoyo de los ejecutivos, lo que a veces puede resultar difícil de obtener.

Alinear los recursos internos

El éxito de los programas de gestión de riesgos de proveedores requiere la colaboración entre varios departamentos diferentes, incluidos los de seguridad informática, gestión de riesgos, compras, privacidad de datos, jurídico y cumplimiento.

8 mejores prácticas para el éxito de un programa de gestión de riesgos de proveedores

Estar en "modo reactivo" es agotador, ineficaz y estresante, y es especialmente arriesgado cuando la carga de trabajo se vuelve pesada. La gestión de riesgos de proveedores (VRM) no es diferente: tener un programa de VRM reactivo que responda a los riesgos de los proveedores en lugar de gestionarlos de forma proactiva pone a su organización en peligro de sufrir filtraciones de datos, violaciones de la privacidad e infracciones del cumplimiento normativo.

Por eso es importante contar con un proceso claro para gestionar de forma proactiva los riesgos cibernéticos de terceros y las exposiciones a la continuidad del negocio que surgen inevitablemente a lo largo del ciclo de vida de la relación con el proveedor.

En nuestros más de 15 años de trabajo con miles de clientes y proveedores, hemos desarrollado 8 mejores prácticas para crear un programa de gestión de riesgos de proveedores (VRM) más proactivo.

A continuación le mostramos algunas de estas prácticas y cómo pueden aliviar la gestión de riesgos de los proveedores:

1. Incorporar, puntuar y gestionar los riesgos de los proveedores

Es necesario tomar varias decisiones antes de poner en marcha un programa de gestión de riesgos de proveedores. Los servicios de asesoramiento de expertos pueden ayudar a definir los parámetros del programa. El siguiente paso es controlar a sus proveedores externos, incorporarlos e identificar sus riesgos inherentes.

Las decisiones clave en este paso incluyen:

• ¿Cuál es el mecanismo adecuado para dar de alta a los proveedores? ¿Utilizará un proceso manual o una plantilla de hoja de cálculo? ¿Necesitará integraciones con sistemas de gestión de compras o de proveedores?
• ¿Qué factores tendrá en cuenta a la hora de tomar decisiones sobre la jerarquización de proveedores? Por ejemplo, ¿qué atributos o aspectos críticos influirán en la clasificación por niveles de determinados proveedores?
• ¿Cómo recopilará información para evaluar el riesgo inherente? ¿Utilizará un cuestionario automatizado? ¿Qué datos se utilizarán para calcular el riesgo inherente (por ejemplo, datos operativos, jurídicos, reglamentarios, financieros y/o de reputación)?

Cuando se ponga en contacto por primera vez con posibles proveedores de soluciones de VRM, asegúrese de que ofrecen múltiples mecanismos para la incorporación de vendedores, proveedores y otros terceros. Esto puede incluir la realización de tareas de incorporación en nombre de su equipo.

Asegúrese también de que su metodología de clasificación de proveedores y de puntuación del riesgo de proveedores incluye algo más que preguntas superficiales. Por ejemplo, es posible que desee que incluya también consideraciones financieras y de la cadena de suministro. Lea nuestra guía de mejores prácticas para conocer todos estos atributos.

2. Automatizar aspectos clave del proceso de VRM

El siguiente paso para una gestión proactiva de los riesgos de los proveedores es dejar de utilizar hojas de cálculo para evaluar dichos riesgos. Por supuesto, sigue necesitando una forma de recopilar pruebas de los controles de seguridad y realizar revisiones de diligencia debida según sus normas corporativas y requisitos de cumplimiento. Afortunadamente, puede automatizar este proceso y eliminar las tareas de evaluación redundantes y abrumadoras que a menudo conducen a errores y riesgos.

La recopilación y la revisión de la diligencia debida pueden adoptar muchas formas. Por ejemplo, puede gestionar usted mismo el proceso de evaluación, acceder a una biblioteca de cuestionarios cumplimentados o subcontratar la recopilación a un socio. De hecho, vemos que muchas empresas gestionan con éxito los riesgos con un modelo híbrido que utiliza distintos enfoques para distintos niveles de proveedores.

Las decisiones clave en este paso incluyen:

• ¿Qué cuestionario se utilizará para recabar información sobre los controles de su proveedor? ¿Utilizará encuestas estándar del sector o propias? (Sugerencia: Depende de una combinación de dos cosas: 1) A qué normativas o marcos piensa asignar las respuestas, y 2) Si piensa compartir los resultados con una red).
• ¿Qué método o métodos de recogida utilizará? ¿Dispone de los recursos y la experiencia necesarios para gestionarlo internamente? ¿Aprovechará las redes de respuestas de proveedores para acelerar el proceso? ¿Va a subcontratar la recopilación a un socio? (Ideal para equipos con pocos recursos o que carecen de la fuerza necesaria).

Al igual que en el paso 1, asegúrese de que su proveedor de soluciones de VRM es flexible en cuanto a la disponibilidad del cuestionario y los métodos de recopilación. Seguramente no querrá estar sujeto a un único cuestionario rígido que no pueda personalizarse. Tampoco querrá verse obligado a recopilar la diligencia debida por su cuenta, sobre todo si tiene poco personal.

3. Tome decisiones más inteligentes con información continua sobre los riesgos de los proveedores

El siguiente paso en la creación de su marco de gestión de riesgos de proveedores es validar las evaluaciones de terceros con información externa sobre ciberseguridad y riesgos empresariales. Aunque las evaluaciones periódicas son esenciales para comprender cómo gobiernan los proveedores sus programas de seguridad de la información y privacidad de los datos en un momento dado, a un proveedor le pueden pasar muchas cosas entre una evaluación y otra. Aquí es donde la supervisión continua puede ayudar.

Muchas organizaciones se quedan cortas en este aspecto. Demasiadas adoptan una visión estrecha y cualitativa de los riesgos de los proveedores e ignoran información más cualitativa. Cuando se combinan y correlacionan, la ciberseguridad y la supervisión empresarial proporcionan una visión más completa del riesgo de los proveedores. Esta visión "desde fuera hacia dentro" le proporciona una ventaja a la hora de comprender el impacto potencial del riesgo de los proveedores. También aumenta sus evaluaciones "internas" para ofrecer una puntuación de riesgo más informada y precisa. Pero, ¿en qué tipo de información de supervisión debe centrarse?

• Fuentes de información sobre riesgos de ciberseguridad: La comprensión de los puntos débiles que son visibles para los atacantes comienza con el descubrimiento de datos comprometidos en la web oscura y la catalogación de las revelaciones de brechas de seguridad. Continúa con la recopilación de información sobre ciberataques validados, infracciones de infraestructuras y políticas de TI, vulnerabilidades y otros riesgos.
• Fuentes de información sobre riesgos empresariales: La información sobre los riesgos que plantean los problemas operativos, las fusiones y adquisiciones, los despidos, los cambios en la dirección, las retiradas de productos, las investigaciones reglamentarias y legales, y las notificaciones financieras y de quiebra son aportaciones cualitativas importantes que añaden más contexto al proceso de GRV.

Lea la guía de buenas prácticas para profundizar en cada una de estas fuentes de inteligencia.

Con la inteligencia adecuada, puedes ayudar a los proveedores a limpiar sus huellas de código abierto y cerrar las brechas de seguridad en sus procesos internos. El proceso es similar a pulir el informe crediticio antes de solicitar un préstamo hipotecario.

---

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.