Nota del editor: Este artículo, escrito por Brad Hibbert, director de operaciones y director de seguridad de Prevalent, se publicó originalmente en www.sdcexec.com.

Cada día, las noticias están repletas de ejemplos de violaciones de datos de terceros con graves repercusiones financieras tanto para las empresas como para los consumidores. Inevitablemente, esas violaciones llamarán la atención de los reguladores gubernamentales, cada uno de los cuales ofrecerá su propia versión de las mejores prácticas y controles obligatorios para evitar que se repita una violación de ese tipo (o, al menos, para minimizar su impacto).

Sin embargo, a pesar de la frecuencia con la que se producen infracciones por parte de terceros y de toda la «ayuda» normativa que se pueda desear, las organizaciones siguen teniendo dificultades para controlar los riesgos que plantean los terceros. Analicemos por qué y cómo las organizaciones pueden abordar los riesgos que plantean los terceros con resultados significativos.

No hay escasez de regulaciones

A continuación se enumeran algunos de los regímenes normativos más activos a nivel sectorial, regional y no relacionado con las tecnologías de la información que cuentan con disposiciones específicas destinadas a mejorar la gobernanza de las empresas en lo que respecta a las relaciones con terceros.

A nivel industrial

El sector de los servicios financieros y la banca es líder en exigir a las organizaciones que ejerzan el control sobre las relaciones con terceros. Algunos ejemplos son las normativas de la Oficina del Contralor de la Moneda (OCC), el Consejo Federal de Inspección de Instituciones Financieras (FFIEC), la Autoridad de Regulación Prudencial y la Autoridad de Conducta Financiera (FCA) del Reino Unido y la Autoridad Bancaria de la UE. Incluso en este ámbito tan maduro están surgiendo nuevos requisitos destinados a armonizar los requisitos; la Guía Interinstitucional es un ejemplo de ello.

Regional

Otra capa de regulación es la regional. Específicamente para las organizaciones que operan en estas geografías, el Reino Unido cuenta con los requisitos de terceros del Centro Nacional de Ciberseguridad (NCSC). La UE cuenta con el RGPD para regular la gobernanza de datos de terceros. Singapur cuenta con la Autoridad Monetaria y la Ley de Protección de Datos Personales (PDPA).

No relacionado con la informática

A pesar de que las violaciones de terceros acaparan los titulares, los reguladores están poniendo el foco en cuestiones importantes, como el impacto del ecosistema de la cadena de suministro de una empresa en el cambio climático, su susceptibilidad al soborno y la corrupción, y si emplean mano de obra infantil. La Ley contra la esclavitud moderna del Reino Unido, la Ley alemana de diligencia debida en la cadena de suministro y la Directiva de la UE sobre responsabilidad social corporativa (CSRD) contienen disposiciones importantes que exigen la presentación periódica de informes y certificaciones al respecto.

5 razones por las que las organizaciones siguen teniendo dificultades

A pesar de todo el escrutinio, ¿por qué las organizaciones tienen dificultades para controlar los riesgos de terceros? Se debe a cinco razones.

1) Es un tema delicado para la organización.

Los datos del estudio TPRM 2022 de Prevalent mostraron que, en el 50 % de las organizaciones, la seguridad informática es responsable del TPRM, mientras que el 22 % de los equipos de compras se encargan de ello. Si no hay un responsable claro, ¿cómo se garantiza que se evalúen y aborden todos los riesgos?

2) Hojas de cálculo

La mayoría de las organizaciones siguen utilizando hojas de cálculo para evaluar a sus terceros, y ese número sigue creciendo. ¿Cómo se puede llevar un seguimiento de todos esos proveedores en una hoja de cálculo, hacer las preguntas adecuadas, registrar las respuestas y puntuarlas de esa manera?

3) Cada proveedor es único.

Un enfoque único para todos rara vez funciona con todos los proveedores, ya que normalmente interactúan con diferentes sistemas o conjuntos de datos, o prestan servicios con un alcance diferente al de otros. La evaluación de los proveedores supone una carga para quienquiera que sea el responsable de la gestión de riesgos de terceros (TPRM). Sin cierta estandarización (por ejemplo, en relación con un conjunto de principios de buenas prácticas estándar del sector), reina el caos.

4) El TPRM fluctúa en cuanto a recursos y prioridad, y es difícil medir los resultados.

Dado que el TPRM tiene tanto que ver con los procesos y las personas como con la tecnología, es difícil justificar el presupuesto necesario para darle prioridad. Si cuenta con algunos gestores de proveedores que, al menos, evalúan a los proveedores de alta prioridad, ya ha cumplido con su obligación, ¿no?

5) Las medidas correctivas rara vez se aplican.

Ya es bastante difícil conseguir que los proveedores rellenen un cuestionario y presenten pruebas, por no hablar de que hagan algo al respecto. Pero aquí está el problema... a menos que el proveedor haga algo para subsanar sus deficiencias en materia de seguridad o cumplimiento, esas deficiencias quedarán expuestas a ser explotadas. Lo que deja a su organización expuesta a ser explotada.

¿Qué hacer al respecto?

Aquí hay cuatro cosas que puede empezar a hacer de inmediato para que el proceso de presentación de informes reglamentarios sobre riesgos de terceros sea más manejable:

  1. Empiece por incluir revisiones de riesgos de terceros, evaluaciones y derecho a auditoría en los contratos con sus proveedores. Establezca acuerdos de nivel de servicio (SLA) para la respuesta y directrices específicas para las pruebas, la certificación y la presentación de informes; de lo contrario, se verá obligado a correr detrás de su propia cola mientras los reguladores le presionan.
  2. Implemente un sistema único que reúna a sus equipos internos bajo una única versión de la verdad, una única base de datos de terceros. Esto le permitirá perfilar y clasificar de forma centralizada a los terceros y establecer objetivos de reducción de riesgos a largo plazo para su programa.
  3. Cree un proceso estándar de evaluación y supervisión continua que permita realizar comparaciones eficientes entre proveedores. Involucre a las partes interesadas, como los departamentos de compras y jurídico, para definir el alcance y la periodicidad de las evaluaciones. Un resultado secundario de este proceso será un mejor marco de respuesta si su organización (o un tercero) sufre una infracción u otra interrupción.
  4. Obtenga ayuda para la remediación. Una vez comprendido el alcance del riesgo de terceros y definidos los volúmenes y objetivos del programa, busque proveedores de tecnología y/o servicios gestionados que le ayuden a cumplir sus plazos y objetivos establecidos. Soluciones como estas pueden ayudarle a llevar a buen término sus iniciativas de TPRM y a atar todos los cabos sueltos desde el punto de vista normativo.

Las iniciativas de gestión de riesgos de terceros pueden dar resultados. Avance gradualmente hacia la mejora de la gobernanza de terceros siguiendo estos pasos. Su equipo se lo agradecerá y los reguladores, bueno, seguirán siendo reguladores.

Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.