Los equipos de adquisiciones, seguridad de la información y gestión de riesgos suelen llevar a cabo algún tipo de diligencia debida con respecto a terceros cuando buscan y contratan nuevos proveedores. Estos equipos deben asegurarse de que el nuevo proveedor sea resistente y pueda cumplir de manera fiable sus objetivos contractuales; cuente con los controles de seguridad y privacidad necesarios para regular el acceso a los datos de los clientes y evitar problemas de cumplimiento o violaciones de datos; goce de buena salud financiera; y no suponga un riesgo para la reputación que pueda afectar a las operaciones de la empresa.
Sin embargo, el estudio anual sobre gestión de riesgos de terceros realizado por Prevalent reveló que la mayoría de las organizaciones no amplían sus evaluaciones de proveedores más allá de las evaluaciones de seguridad habituales para incluir áreas de riesgo como el rendimiento de los proveedores y la gestión de los acuerdos de nivel de servicio (SLA) o la salida y la rescisión, cada una de las cuales constituye una etapa importante en el ciclo de vida del riesgo de los proveedores.
¿Qué está frenando a las organizaciones? Los procesos manuales basados en hojas de cálculo que dejan lagunas en la identificación de riesgos de terceros y complican en exceso el análisis y la mitigación de riesgos, lo que genera frustración en los distintos equipos internos que se ocupan de los riesgos de terceros.
Es evidente que las organizaciones deben madurar sus programas de TPRM para automatizar mejor las evaluaciones de riesgos y mejorar la inteligencia en cada etapa del ciclo de vida de los proveedores, o se arriesgan a sufrir las consecuencias de violaciones de datos, incumplimientos normativos o interrupciones del negocio.
Mejores prácticas de TPRM: claves para garantizar el éxito en cada etapa del ciclo de vida del riesgo de los proveedores
Prevalent realizó una encuesta entre sus clientes para conocer cómo gestionan el riesgo de los proveedores a lo largo del ciclo de vida de los terceros. Los resultados de la encuesta, disponibles en nuestro nuevo informe técnico, «Navegando por el ciclo de vida del riesgo de los proveedores: claves para el éxito en cada etapa», proporcionan una guía útil y las mejores prácticas para aumentar la visibilidad y reducir el riesgo.
Esta publicación resume los resultados del estudio y ofrece información sobre cómo medir la madurez del programa TPRM y comprender todas las etapas del ciclo de vida de un proveedor. Para obtener información completa, descargue el documento completo. Como ventaja adicional, obtendrá casos prácticos reales de clientes y una lista de verificación de capacidades con las que comparar la solución.
Medición de la madurez del programa TPRM
Antes de saber hacia dónde vas, tienes que saber dónde estás. Nuestro estudio muestra que las organizaciones pueden encontrarse en cualquier punto de su programa TPRM y madurez de procesos, pero hemos agrupado a las empresas en tres (3) categorías amplias y no lineales:
- Centradas en la automatización: Las organizaciones que se encuentran en este nivel de madurez se ven impulsadas por la necesidad de automatizar mejor sus procesos en respuesta a los ineficaces enfoques basados en hojas de cálculo. Estos equipos sufren a diario intensas dificultades personales para gestionar a los proveedores y reaccionar ante incidentes de terceros sin las herramientas y los procesos necesarios para simplificarlo todo. Sin embargo, el riesgo no suele formar parte de la filosofía de la organización.
- Centradas en el cumplimiento: las empresas de este tipo tienen el mandato organizativo de cumplir un requisito normativo que les obliga a informar sobre las políticas de seguridad y privacidad de sus terceros. Tienen un
para hacerlo. Es en esta categoría donde las empresas se dan cuenta de que necesitan un programa, no un proyecto. Probablemente estén sufriendo los procesos manuales o el peso de una herramienta de GRC que no se ajusta completamente a su propósito. - Centradas en la gestión de riesgos: poco frecuentes fuera de las grandes entidades altamente reguladas, las organizaciones de esta categoría cuentan con funciones de gestión de riesgos a nivel empresarial, y el riesgo forma parte de la filosofía de la empresa. Gozan del apoyo de los ejecutivos, de la visibilidad del consejo de administración y de los recursos necesarios para, como mínimo, satisfacer las demandas diarias.
¿Cómo se clasifica su organización en cuanto a la madurez de su proceso de TPRM? Descargue el documento para obtener criterios adicionales que le permitirán evaluar su posición.
Etapas del ciclo de vida de terceros
Los resultados de nuestro estudio mostraron que hay siete (7) etapas distintas en el ciclo de vida de un proveedor, cada una con sus propios riesgos y soluciones ideales. ¿Cuáles son las etapas y qué buscan lograr las empresas en cada una de ellas?
- Búsqueda y selección de proveedores. Perfiles de riesgo completos que permiten comparar a los proveedores de forma más rápida y sencilla, y realizar comprobaciones rápidas con respecto a controles y prácticas comunes en materia de reputación, finanzas, seguridad y privacidad.
- Admisión e incorporación de proveedores. Flujos de trabajo de incorporación sencillos y opciones de importación de proveedores para crear un perfil completo del proveedor, combinados con un proceso de admisión personalizable que se puede compartir con cualquier persona dentro (o fuera) de la organización para que participe en el proceso de incorporación.
- Puntuación de riesgos inherentes. Clasifique, perfile y categorice automáticamente a los proveedores según prácticamente cualquier criterio para ajustar adecuadamente los esfuerzos de diligencia debida.
- Evaluación de proveedores y corrección de riesgos. Múltiples cuestionarios predefinidos (estándar y personalizados); la opción de aprovechar la biblioteca de evaluaciones completadas, o de que alguien realice la recopilación, el análisis y la corrección por usted; y orientación integrada sobre correcciones e informes de cumplimiento para simplificarlo todo.
- Supervisión continua de los riesgos de seguridad, reputación y financieros. Una visión global de los riesgos que va más allá de una evaluación anual e incluye alertas periódicas sobre la ciberseguridad, la reputación y las finanzas de los proveedores. Con esta información, las organizaciones obtienen una visión más actualizada de los riesgos de los proveedores, en lugar del enfoque estático estándar propio de las hojas de cálculo.
- Gestión del rendimiento continuo de los proveedores y los acuerdos de nivel de servicio (SLA). La capacidad de un proveedor para cumplir sus promesas es tan importante como sus controles de ciberseguridad. Las organizaciones quieren soluciones que supervisen continuamente los acuerdos de nivel de servicio (SLA) y alerten de posibles problemas de rendimiento, junto con sus evaluaciones de riesgos cibernéticos, de privacidad u otros.
- Desvinculación y rescisión de proveedores. Flujos de trabajo fáciles de entender, gestión de documentos y listas de verificación para garantizar que se apliquen controles de seguridad físicos y virtuales a medida que la relación comercial llega a su fin.
Siguiente paso: Desarrolle su programa de TPRM como lo hacen los líderes
Si su organización desea crear o mejorar su programa de gestión de riesgos de proveedores (TPRM), Prevalent puede ayudarle. Descargue el informe técnico «Navegando por el ciclo de vida del riesgo de los proveedores: claves para el éxito en cada etapa» y obtenga información útil sobre:
- Cómo determinar en qué punto se encuentra su organización en cuanto a madurez de TPRM (y cómo pasar al siguiente nivel)
- Consejos, mejores prácticas y errores que hay que evitar.
- Lo que están haciendo los clientes reales para resolver sus problemas de TPRM
- Capacidades críticas que hay que buscar al evaluar las soluciones de gestión de riesgos de los proveedores
Tanto si eres nuevo en la gestión de riesgos de terceros como si eres un profesional experimentado, obtendrás información útil para que tu programa sea un éxito.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
