Realizar una revisión exhaustiva que demuestre el cumplimiento normativo de todos los proveedores en todos los niveles.
Capítulo uno
Introducción
Comunicar eficazmente el riesgo de TPRM al consejo de administración
Con el crecimiento sin precedentes de las violaciones de datos de los proveedores y las interrupciones en la cadena de suministro, los consejos de administración y los líderes empresariales anhelan una mayor visibilidad de sus ecosistemas de terceros.
El problema es que pocos profesionales de la seguridad y el riesgo saben cómo comunicar eficazmente el riesgo de terceros, y a menudo se basan en paneles de control complejos, técnicos y puntuales que provocan confusión y/o desinterés en la junta directiva.
¿Cómo pueden los CISO comunicar eficazmente los riesgos de terceros al consejo de administración?
- Hable el idioma de la junta directiva: el riesgo y su impacto financiero.
- Proporcionar una visión concisa y de alto nivel de métricas significativas y casi en tiempo real.
Este libro electrónico te ayudará a empezar de la siguiente manera:
- Aclarar la diferencia entre los KPI y los KRI
- Identificación de cuatro categorías de métricas para medir
- Recomendar 25 KPI y KRI para informar a la junta directiva y a los directivos.
- Revelar qué tipos de métricas son las más adecuadas para los CISO, los directivos empresariales y el consejo de administración.
Capítulo dos
La diferencia entre los KPI y los KRI
Ambos son igualmente importantes a la hora de medir la tríada personas-procesos-tecnología.
Indicadores clave de rendimiento (KPI)
medir la eficacia de las funciones y los procesos.
Indicadores clave de riesgo (KRI)
medir el nivel de riesgo al que se enfrenta una organización y qué medidas de gestión del riesgo aplicar.
Capítulo tres
Cuatro categorías de métricas clave
Para la gestión de riesgos de terceros, su organización debe evaluar cuatro áreas. Cada área incluye KPI y KRI.
Métricas de riesgo
| Indicador clave de rendimiento | Qué significa |
|---|---|
| % de cobertura de la base de proveedores por nivel (1, 2, 3, 4) con inteligencia sobre amenazas | Segmenta la base de proveedores para proporcionar una comprensión de alto nivel de la criticidad. |
| Porcentaje de proveedores que han completado una evaluación inicial de riesgos inherentes a la incorporación. | Un porcentaje bajo de proveedores en este KPI podría significar que la empresa está expuesta a riesgos desconocidos en la fase inicial de la relación. |
| Número de proveedores que han superado/suspendido la evaluación inicial de riesgos inherentes a la incorporación. | Un número elevado de proveedores en este KPI proporciona orientación sobre cuáles son los más riesgosos y requieren evaluaciones de riesgo más exhaustivas y un seguimiento continuo. |
| Tiempo medio para completar las evaluaciones de proveedores | Un tiempo prolongado para completar las evaluaciones podría indicar una falta de compromiso por parte del proveedor o que la evaluación es demasiado complicada según su nivel. |
| Indicador clave de riesgo | Qué significa |
|---|---|
| Número de incidentes de seguridad de prioridad 1 generados por la cadena de suministro en el último trimestre. | Se trata más bien de un indicador rezagado, pero si este KRI muestra una tendencia al alza, es posible que deba ampliar el alcance de sus evaluaciones de ciberseguridad o implementar una supervisión continua para mantenerse al tanto de los riesgos emergentes. |
| Número de proveedores dentro de la cadena de suministro con una puntuación de riesgo elevada. | Este KRI, un indicador adelantado, le permite priorizar la diligencia debida en los proveedores más riesgosos. |
| Número de proveedores que siguen presentando un alto riesgo tras una incorporación satisfactoria. | Un número elevado indicaría que los proveedores no han aplicado las medidas correctivas recomendadas; la empresa podría recurrir al contrato para aplicar medidas coercitivas, considerar controles compensatorios o aceptar el riesgo. |
| Tiempo medio para completar las evaluaciones de proveedores | Ayuda a determinar qué dominios de seguridad requieren mayores esfuerzos de diligencia debida y supervisión, más allá del conjunto básico de controles. |
| Riesgo residual (tras la aplicación de controles) de cada categoría de dominio de seguridad (por ejemplo, control de acceso, gestión de activos, seguridad física, etc.) dentro de la cadena de suministro. | Un alto nivel de riesgo residual podría obligar a la empresa a considerar controles compensatorios, aceptar el riesgo o intentar rescindir el contrato. |
Métricas de amenazas
| Indicador clave de rendimiento | Qué significa |
|---|---|
| % de cobertura de la base de proveedores por nivel (1, 2, 3, 4) con inteligencia sobre amenazas | Un porcentaje bajo de proveedores de primer nivel (por ejemplo, de nivel 1) supervisados por inteligencia de amenazas significa que algunos de sus proveedores más importantes solo se someten a evaluaciones periódicas (por ejemplo, anuales), lo que crea una brecha de riesgo en la información sobre los proveedores. |
| Tiempo medio de respuesta (MTTA) para el responsable del riesgo tras la activación de la inteligencia sobre amenazas. | Un MTTA alto podría indicar que el responsable del riesgo está abrumado por el ruido, lo que dificulta encontrar los eventos que requieren investigación. También podría tratarse de una falta de habilidades o una amenaza compleja de investigar. |
| Precisión de la fuente de inteligencia sobre amenazas medida por el número de falsos positivos/número de alertas (expresado en porcentaje). | Un alto porcentaje de falsos positivos requeriría ajustar el umbral de alerta o investigar más a fondo la fuente de inteligencia sobre amenazas. |
| Indicador clave de riesgo | Qué significa |
|---|---|
| Diferencia porcentual entre la autodeclaración del proveedor y las amenazas basadas en fuentes de inteligencia. | Un alto porcentaje de hallazgos de inteligencia que entran en conflicto con las respuestas de la evaluación podría indicar que el proveedor no está respondiendo con precisión a sus evaluaciones. Podría dar lugar a una reevaluación o a una evaluación complementaria que requiera pruebas adicionales. |
| Número de proveedores de nivel (1, 2, 3, 4) con indicadores activos de inteligencia de amenazas «altos». | Una cifra elevada podría indicar que su base de proveedores es vulnerable a ciberataques o que está siendo objeto de ataques activos. Recomiende evaluaciones de riesgos complementarias específicas para medir la eficacia de los controles internos de los proveedores para resistir dichos ataques. |
| Tiempo medio de resolución (MTTR) para indicadores de amenaza de nivel (1, 2, 3, 4) | Al igual que el KPI MTTA anterior, un MTTR elevado podría indicar una falta de competencias o una amenaza compleja que investigar. Un MTTR elevado podría requerir la contratación de especialistas en seguridad externos o una revisión contractual de los proveedores para garantizar que siguen los procedimientos adecuados para mitigar las amenazas. |
Métricas de cumplimiento
| Indicador clave de rendimiento | Qué significa |
|---|---|
| Número de proveedores que se clasifican como incluidos en el ámbito de aplicación de un programa de cumplimiento (por ejemplo, SOX, PCI, GDPR). | Un elevado número de proveedores que requieren evaluaciones de cumplimiento específicas pondrá de manifiesto el grado de escrutinio que debe prestarse a la normativa en cuestión, por ejemplo, la privacidad de los datos. |
| Calidad de los informes de cumplimiento de los proveedores por nivel (1, 2, 3, 4) | Un alto porcentaje de preguntas sin responder o con respuestas incorrectas (por ejemplo, de baja calidad) puede prolongar los plazos de evaluación y la corrección. Puede requerir evaluaciones complementarias que exijan pruebas específicas o la validación de controles por parte de un auditor externo. |
| Indicador clave de riesgo | Qué significa |
|---|---|
| Número de proveedores fuera del nivel 1 con obligaciones de cumplimiento | Por lo general, se aplica un mayor nivel de escrutinio a los proveedores de nivel 1, pero es posible que un gran número de proveedores que no son de nivel 1 con obligaciones de cumplimiento requieran evaluaciones reglamentarias específicas complementarias para medir el cumplimiento de los requisitos. |
| Número de proveedores de todos los niveles que presentan deficiencias importantes en materia de inteligencia sobre amenazas o control que no se gestionan de forma eficaz. | Un número elevado indica un alto nivel de riesgo. Las deficiencias de control pendientes y los hallazgos de inteligencia sobre amenazas deben abordarse de acuerdo con las prioridades y los umbrales de tolerancia al riesgo. |
Métricas de cobertura
| Indicador clave de rendimiento | Qué significa |
|---|---|
| % de cobertura de la cadena de suministro a nivel mundial | Un porcentaje bajo de proveedores gestionados, evaluados o supervisados activamente por las organizaciones indica un mayor nivel de riesgo al que está expuesta la empresa. Todos los proveedores deben clasificarse, categorizarse y gestionarse en consecuencia. |
| Número de proveedores que reciben pagos y que no tienen un estado de incorporación. | Una cifra elevada en este caso indica una falta de cumplimiento en el proceso de diligencia debida del proveedor (o la ausencia total de dicho proceso). Sin una incorporación adecuada, que incluya una evaluación de riesgos inherentes, la empresa queda expuesta a riesgos de seguridad, operativos, contractuales y financieros. |
| Tiempo medio de incorporación (MTTO): el tiempo transcurrido desde la contratación hasta la finalización de la evaluación inicial de riesgos de diligencia debida para un nuevo proveedor. | Si se tarda poco tiempo en completar la evaluación de incorporación de un nuevo proveedor, es posible que el cuestionario no sea lo suficientemente exhaustivo y que se estén pasando por alto importantes métricas de riesgo. Por otro lado, si se tarda mucho tiempo en completar la diligencia debida inicial, es posible que la evaluación sea demasiado compleja. Revise la evaluación para asegurarse de que se está recopilando la información adecuada para la posición del proveedor en el ciclo de vida de terceros. |
Capítulo cuatro
Compartir las métricas adecuadas con las partes interesadas adecuadas
Utilice esta guía para presentar las métricas adecuadas a las partes interesadas adecuadas.
CISO
-
-
Presentar un análisis detallado de la inteligencia sobre amenazas que detalle los riesgos inherentes y residuales de cada proveedor en todos los niveles.
-
Priorizar las medidas y los planes de corrección para todos los problemas identificados.
Negocios
-
Mostrar a los usuarios empresariales análisis de amenazas/riesgos casi en tiempo real para sus proveedores.
-
Realizar análisis exhaustivos proactivos de los proveedores de nivel 1 y los proveedores críticos de nivel 2 para mejorar las relaciones con los proveedores.
-
Identificar un plan de acción claro para impulsar la corrección y resolución de todos los problemas identificados.
Junta directiva
-
Presentar una visión consolidada de la exposición actual al riesgo de la organización desde la cadena de suministro.
-
Comunicar el estado actual de los proveedores críticos que apoyan los principales esfuerzos de la empresa.
-
Mostrar el riesgo inherente y residual de las fuentes de información sobre amenazas para demostrar los avances en la reducción del riesgo a lo largo del tiempo.
-
Determinar dónde se necesita apoyo ejecutivo
Capítulo cinco
Introducción a los KPI y KRI para la gestión de riesgos de terceros.
Para reducir eficazmente el riesgo de terceros es necesario comprender cómo se comportan las personas, los procesos y la tecnología con respecto a las expectativas. Sin embargo, los productos tradicionales de gestión de riesgos de proveedores no son capaces de ofrecer la visibilidad necesaria para gestionar y realizar un seguimiento del rendimiento y el riesgo a lo largo del ciclo de vida del proveedor.
Mitratech puede ayudar a simplificar la medición del riesgo y la eficacia de los programas mediante:
- Identificar los KPI y KRI que se gestionarán a lo largo del ciclo de vida del proveedor como parte del proceso inicial de contratación.
- Detección de excepciones de umbral y envío de alertas
- Proporcionar orientación sobre medidas correctivas y realizar un seguimiento del proceso de resolución.
- Entrega de informes personalizables para múltiples partes interesadas.
Descargue nuestra Guía de métricas TPRM para empezar a adaptar los KPI y KRI a su programa.
¿Tienes un proyecto en mente?
Póngase en contacto con nuestro equipo de expertos para descubrir cómo Mitratech puede ayudarle a optimizar y ampliar la gestión de riesgos de proveedores.
Solicitar una demostración
©2026 Mitratech, Inc. Todos los derechos reservados.
©2026 Mitratech, Inc. Todos los derechos reservados.