Nota del editor: Este artículo, escrito por Alastair Parr, vicepresidente sénior de Productos y Servicios Globales, se publicó originalmente en Cybersecurity Insiders.
Para las empresas, gestionar los diversos riesgos que conllevan las relaciones con terceros se ha convertido en una función fundamental de la organización y en una cuestión de cumplimiento de la ley. Sin embargo, las organizaciones aún están determinando los aspectos más esenciales de un programa eficaz de gestión de riesgos de terceros (TPRM).
Uno de los pilares de cualquier programa exitoso es el cuestionario de evaluación de riesgos de proveedores, un documento creado para evaluar los riesgos asociados con los proveedores y socios comerciales, así como con los socios con los que estos hacen negocios.
A la hora de evaluar los riesgos de terceros, las organizaciones deben recabar toda la información posible sobre sus socios y proveedores. El cuestionario es una forma de detectar posibles deficiencias en sus prácticas de seguridad, privacidad y cumplimiento normativo mediante la evaluación de políticas, controles y pruebas que respalden dichos controles.
La evaluación y mitigación de riesgos comienza con la recopilación de información. El cuestionario es la clave para obtener una visión completa y basada en la confianza de la postura de seguridad de un proveedor. Ayuda a las organizaciones a responder preguntas críticas, tales como:
- ¿Este proveedor cuenta con controles de riesgo aceptables?
- ¿Existen riesgos con este proveedor que requieran medidas correctivas?
- ¿Existen controles compensatorios para los riesgos identificados?
Los cuestionarios pueden ser solo una pieza del rompecabezas del TPRM, pero son un mecanismo extremadamente útil para obtener una perspectiva interna detallada del riesgo de terceros.
Elegir el cuestionario adecuado
Crear cuestionarios de evaluación de TPRM desde cero es algo que solo algunas organizaciones tienen el tiempo, los recursos o la experiencia para llevar a cabo. Por eso, muchas optan por una plantilla estándar del sector, como el cuestionario Standard Information Gathering (SIG) o el cuestionario H-ISAC (si se trata de una organización sanitaria). Estas plantillas ofrecen un buen punto de partida, basadas en marcos establecidos, y abordan áreas críticas como la seguridad de los datos, la resiliencia operativa y el cumplimiento de la ley.
Aunque estos cuestionarios varían, muchos incluyen estos elementos básicos estándar:
- Políticas de los proveedores sobre protección de datos.
- Cumplimiento de normas, leyes y reglamentos.
- Gestión de accesos, privacidad de la información, respuesta ante incidentes y otros controles de seguridad.
- Medidas de seguridad relacionadas tanto con la infraestructura digital como con la física.
Otra ventaja de los cuestionarios estándar del sector es que los proveedores, que son quienes responderán a las preguntas, probablemente ya estén familiarizados con este tipo de preguntas y estén preparados para dar respuestas detalladas. En lugar de conformarse con un enfoque estandarizado que suele acompañar al uso de plantillas, las organizaciones deben adaptar estas plantillas para satisfacer las necesidades específicas de su negocio, ajustándolas según sea necesario en función de la tolerancia al riesgo, el sector y los requisitos normativos. De este modo, se garantiza que el cuestionario recopile información relevante, precisa y oportuna.
Sin embargo, como la mayoría de las cosas importantes en los negocios, los cuestionarios que ayudan a una organización a evaluar el riesgo conllevan sus propios retos.
Los cuestionarios y sus retos
Las organizaciones deben superar una serie de retos para que los cuestionarios de evaluación de riesgos alcancen su máximo potencial. Los cuestionarios, por ejemplo, pueden ser:
Requiere mucho trabajo: completar un cuestionario puede llevar mucho tiempo, especialmente si una organización tiene numerosos proveedores. La creación, distribución y análisis de cuestionarios de evaluación de riesgos requiere recursos y conocimientos especializados.
Una instantánea, no una película: los cuestionarios de seguridad ofrecen una visión limitada del perfil de seguridad de un proveedor en un momento determinado. Sin embargo, la naturaleza del riesgo cambia constantemente y pueden surgir nuevas vulnerabilidades después de que se haya completado y archivado un cuestionario.
Complejidad de la cadena de suministro: las cadenas de suministro interconectadas obligan a las organizaciones a evaluar los riesgos asociados a los proveedores externos y subcontratistas. Esto supone una complejidad adicional para el proceso de gestión de riesgos.
Cansancio de los proveedores: los proveedores pueden retrasar o dejar de dar prioridad a la cumplimentación de dichos cuestionarios, ya que pueden estar cansados de rellenar tantos. Esto puede ralentizar el calendario de evaluación de sus riesgos.
Para combatir este cansancio, las organizaciones pueden optimizar los cuestionarios con programas de inteligencia artificial que rellenan automáticamente un nuevo cuestionario a partir de uno anterior o extrayendo detalles de fuentes como los informes SOC2 o las declaraciones de aplicabilidad ISO. Adaptar los cuestionarios a la función específica del proveedor también puede reducir la carga y aumentar el compromiso. Y el uso de un flujo de trabajo automatizado para los seguimientos puede aliviar aún más la carga.
Cómo sacar el máximo partido a los cuestionarios
Una vez que una organización ha superado los retos y ha creado un cuestionario sólido para la gestión de riesgos, es el momento de ponerlo en práctica. A continuación se ofrecen algunos consejos para sacarle el máximo partido:
No se conforme con un cuestionario fijo y rígido. No caiga en la «parálisis por análisis» al intentar crear un cuestionario perfecto. El enfoque de «una sola vez» no es suficiente cuando se trata de la naturaleza dinámica del riesgo. La información comienza a quedar obsoleta en el momento en que se completa el cuestionario, por lo que debe tener en cuenta que mantener el conocimiento y la conciencia del riesgo en tiempo real requiere una evaluación continua.
Prepárese para personalizar. Una organización debe poder importar o crear elementos para su revisión a medida que avanza el proceso de evaluación, junto con opciones de personalización para añadir preguntas a medida que se identifican necesidades más específicas.
Reevalúe periódicamente a los terceros. La evaluación de riesgos debe repetirse periódicamente, especialmente si algún proveedor conlleva riesgos adicionales. La frecuencia con la que se realice la reevaluación dependerá de la importancia del proveedor para sus operaciones y también de la sensibilidad de los datos que maneja. Es posible que las organizaciones deban reevaluar a sus proveedores anualmente o con mayor frecuencia en sectores altamente regulados, dependiendo de los requisitos de cumplimiento.
Los riesgos evolucionan rápidamente en nuestro mundo digital y conectado, por lo que la postura de seguridad de un proveedor puede cambiar fácilmente a medida que salen a la luz nuevas vulnerabilidades, incidentes o cambios en los procesos empresariales. Por eso, la automatización y la supervisión continua son esenciales para adelantarse a esos cambios.
Próximos pasos del proceso
Un programa sólido de gestión de riesgos de terceros comienza con un cuestionario de evaluación de riesgos. Estos documentos pueden combinarse con la supervisión de la seguridad en tiempo real, productos automatizados de gestión de riesgos y la supervisión continua de los proveedores para gestionar y mitigar los riesgos de terceros de la forma más eficaz.
Las herramientas y estrategias, en la combinación adecuada, ayudarán a cualquier organización a mitigar los riesgos que conlleva un gran ecosistema de proveedores, garantizando la seguridad del negocio.
Las mejores prácticas de TPRM siempre deben incluir el uso de la supervisión en tiempo real para evaluar continuamente el rendimiento de los proveedores y validar la eficacia de los controles «en la práctica», reevaluando a los proveedores periódicamente para garantizar que sus medidas de seguridad siguen siendo eficaces y personalizando el cuestionario para reflejar los riesgos específicos que plantea cada proveedor.
Sin embargo, todo programa TPRM exitoso comienza con algo más sencillo: el cuestionario de evaluación de riesgos.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
