Cómo crear métricas de riesgo de terceros

A medida que las organizaciones están cada vez más interconectadas, conceder acceso a terceros a los datos y sistemas no solo resulta beneficioso, sino necesario. Sin embargo, esto puede abrir la puerta a vulnerabilidades e incidentes de terceros, como violaciones de datos y ataques a la cadena de suministro, con posibles consecuencias graves. Por ello, los consejos de administración y los líderes empresariales exigen una mayor visibilidad de los vastos ecosistemas de terceros de sus organizaciones.

Para mitigar el impacto de estos riesgos, es fundamental comprender este ecosistema multifacético y sus partes móviles: las personas involucradas, los procesos y las tecnologías. La gestión de riesgos de terceros (TPRM) puede ayudarle a abordar estos retos. Cuando se implementa correctamente, un programa de TPRM puede permitirle identificar y mitigar los riesgos antes de que afecten negativamente a su organización.

Informes sobre TPRM: una tarea compleja

Aunque los informes sobre TPRM son fundamentales para identificar y priorizar los riesgos, pueden resultar una tarea compleja tanto para equipos noveles como para equipos con experiencia. Incluso identificar un punto de partida puede ser una tarea complicada. Como resultado, muchos equipos tienen dificultades para comunicar eficazmente los riesgos de terceros, y algunos siguen utilizando métodos y paneles de control obsoletos, excesivamente técnicos y complejos. No es de extrañar que el tema de los riesgos de terceros a menudo genere confusión entre la junta directiva, la dirección ejecutiva y los equipos funcionales.

Por lo tanto, es fundamental identificar, formular e implementar las métricas de TPRM adecuadas para su organización. Abordar los retos asociados con la identificación y mitigación de los riesgos de terceros también requiere una planificación minuciosa y una comprensión integral de la correlación entre las métricas y los objetivos empresariales.

Para abordar estas preocupaciones, esta publicación:

• Explique qué son las métricas TPRM y por qué son esenciales.

• Le guiamos a través del proceso de desarrollo e implementación de las métricas adecuadas de TPRM en las diferentes etapas del ciclo de vida de la gestión de riesgos de proveedores externos.

• Compartir las mejores prácticas y los factores críticos que se deben tener en cuenta al formular métricas de TPRM.

Métricas TPRM y su importancia

Antes de decidir qué métricas configurar, debemos profundizar en qué son las métricas TPRM, su importancia y qué tipos de categorías de métricas debes tener en cuenta.

Las métricas de TPRM son indicadores que ayudan a una organización a evaluar el progreso de su estrategia y programa de TPRM. Cuando se ejecutan correctamente, estas métricas garantizan a los directivos, al consejo de administración y a los auditores de la organización que los terceros con los que trabajan presentan un nivel de riesgo aceptable. Si estos terceros están asociados a riesgos inaceptables, disponer de las métricas adecuadas simplificará los procesos de corrección y mitigación.

Por lo tanto, es importante que una organización cuente con métricas significativas que consistan en un conjunto consolidado de indicadores clave de riesgo (KRI) e indicadores clave de rendimiento (KPI). Estos ayudarán a reducir el análisis de paneles de seguridad grandes y complejos y permitirán a los equipos filtrar los datos relevantes que necesitan para identificar y remediar los riesgos.

Identificar, formular y realizar un seguimiento de las métricas adecuadas de TPRM son tareas cruciales por las siguientes razones:

Identificación y evaluación de riesgos

Es fundamental que los equipos sean capaces de discernir y evaluar los distintos niveles de riesgo a lo largo de todo el ciclo de vida de los proveedores externos. Las métricas específicas para la incorporación, la gestión y la salida revelarán los riesgos relevantes que los equipos deben abordar de forma proactiva en cada etapa.

Requisitos normativos y de cumplimiento

Con aproximadamente 160 legislaciones y marcos normativos diferentes a nivel mundial, como ISO, CCPA, GDPR, PCI y NIST, cada uno con sus propios requisitos para gestionar los riesgos de terceros, es esencial que las organizaciones regulen adecuadamente a los terceros y cumplan los requisitos de conformidad.

Gestión del rendimiento de los proveedores

Muchas organizaciones carecen de una forma sencilla de gestionar los acuerdos de nivel de servicio (SLA) con sus proveedores, lo que aumenta la probabilidad de que se introduzcan riesgos en el ecosistema. La implementación de herramientas, métricas y programas que faciliten la supervisión continua de las disposiciones contractuales le permitirá garantizar el cumplimiento de los SLA.

Consideraciones financieras

La introducción de métricas TPRM también es crucial para los procesos de selección de proveedores, negociación de contratos y rescisión de contratos de una organización. Estas métricas permiten a los equipos planificar, supervisar, identificar y mitigar cualquier riesgo detectado.

Informes para la junta directiva y las partes interesadas

Con las métricas adecuadas, los equipos pueden informar periódicamente al consejo de administración, la dirección y los auditores de la organización, lo que les permite tomar decisiones informadas sobre cualquier riesgo potencial que pueda surgir.

Mejora continua del programa TPRM

Medir las métricas adecuadas de TPRM no solo permite a los equipos identificar y mitigar los riesgos potenciales, sino que también ayuda a varios departamentos a coordinar las evaluaciones de riesgos de terceros y a incorporar, gestionar y dar de baja a los proveedores externos.

Desarrollo de métricas TPRM

Una vez examinada la importancia de los indicadores TPRM, profundicemos en el proceso de desarrollo de indicadores TPRM eficaces para que los utilicen los equipos. La figura 1 ilustra el proceso:

Figura 1: El proceso de desarrollo de métricas TPRM

Personas: Nombramiento de líderes

El director ejecutivo y el consejo de administración de la organización suelen encargar al director de riesgos (CRO) que coordine y armonice el proceso a través de un Consejo de Riesgos Empresariales (ERC), un grupo de trabajo formado por miembros de diferentes unidades de negocio. En el caso de organizaciones más pequeñas que no cuentan con un CRO, el ERC podría estar formado por el director de seguridad de la información (CISO) o el director de TI, el director de compras y el director financiero (CFO). El objetivo es facilitar la colaboración entre departamentos, independientemente del tamaño de la empresa.

Proceso: Definición de quién y qué medir

Paso 1: Establecer los objetivos empresariales

Una vez establecido el ERC, se determinan los objetivos empresariales para el TPRM. El ERC comienza planteando preguntas estratégicas, entre las que se incluyen:

• ¿Cuáles son nuestros objetivos? ¿Qué pretendemos lograr?

• ¿Tenemos alguna métrica en mente?

• ¿Qué normativas se aplican a nosotros?

• ¿Por qué invierte la empresa en este programa?

• ¿Cómo podemos demostrar la implementación exitosa de TPRM a gran escala?

• ¿Cómo hacemos un seguimiento del éxito de la reducción de riesgos en el programa a lo largo del tiempo?

Tras abordar estas cuestiones, el ERC desarrolla los objetivos empresariales para el TPRM, utilizando potencialmente una solución ofrecida por un proveedor de TPRM. Estos pueden incluir:

• Proteger los datos confidenciales y la propiedad intelectual de la organización y los clientes.

• Garantizar el cumplimiento normativo y legal de los proveedores y distribuidores.

• Implementación de medidas para reducir los riesgos de ciberseguridad.

• Aplicación de medidas para mitigar los riesgos operativos y financieros.

• Proteger la reputación de la organización.

• Mejorar la eficiencia operativa de la organización.

• Garantizar la resiliencia empresarial con un plan de acción claro y asegurarse de que los miembros del equipo comprendan sus funciones y responsabilidades.

• Implementación de un programa de TPRM que respalde la toma de decisiones informadas.

Categorías de métricas TPRM: descripción general

Antes de proceder a establecer objetivos departamentales específicos, es importante comprender claramente las diferentes categorías de métricas de TPRM
que se pueden tener en cuenta.

En este punto, también es esencial comprender la diferencia entre los KPI y los KRI, ya que ambos son igualmente importantes para las métricas de TPRM.

• Los indicadores clave de rendimiento (KPI) miden la eficacia de los procesos y funciones organizativos.

• Indicadores clave de riesgo (KRI)
  miden el nivel de riesgo al que se enfrenta la organización y la eficacia con la que se gestiona.

Como parte de una sólida estrategia de gestión de riesgos de terceros, su organización debe centrarse en cuatro áreas principales de medición. Cada área consta de KPI y KRI que proporcionan información muy valiosa sobre su relación con los proveedores.

• Métricas de riesgo

Estas métricas ayudan a evaluar los riesgos asociados a proveedores específicos. Proporcionan información sobre posibles amenazas, las estrategias de mitigación correspondientes y el cumplimiento por parte del proveedor de los controles primarios y remunerativos.

• Métricas de amenazas

Estas métricas consisten en datos disponibles públicamente relacionados con aspectos cibernéticos, operativos, financieros y de reputación. Ayudan a abordar cómo los datos de riesgo de los proveedores se correlacionan con las amenazas observables externamente.

• Métricas de cumplimiento

Estas métricas revelan en qué medida las prácticas de los proveedores cumplen con el entorno de control interno de su organización. También miden el cumplimiento de los requisitos y marcos normativos, lo cual es fundamental para mantener los estándares legales y del sector.

• Métricas de cobertura

Estas métricas están diseñadas para garantizar que su organización tenga un conocimiento completo de la huella global de sus proveedores. Ayudan a identificar a los terceros, cuartos y enésimos participantes en su cadena de suministro y a verificar si han sido clasificados adecuadamente en su programa.

Las dos primeras categorías, métricas de riesgo y amenaza, consisten principalmente en métricas KPI y KRI relacionadas con factores de riesgo e influencias externas. Las dos últimas categorías, métricas de cumplimiento y cobertura, están más orientadas a la evaluación y alineación interna de programas. Estas cuatro categorías juntas proporcionan un enfoque integral y equilibrado para la gestión de riesgos de terceros.

Ahora que comprendemos las diferentes categorías de métricas de TPRM, podemos proceder a establecer objetivos a nivel departamental.

Paso 2: Establecer los objetivos departamentales

Durante esta fase, el director general podría reunirse con los jefes de departamento e invitarlos al ERC. En organizaciones más pequeñas, el director general podría reunirse con el CISO o el jefe de TI, el jefe de adquisiciones y el director financiero. A continuación, los jefes de departamento definen los objetivos departamentales para la TPRM basándose en las recomendaciones del ERC.

Estas son algunas de las preguntas que considerarían:

• ¿Qué interacciones con terceros intervienen en las operaciones de nuestro departamento?

• ¿A qué datos y sistemas confidenciales de nuestro departamento pueden acceder terceros?

• ¿Qué normativas rigen nuestro departamento (por ejemplo, el RGPD)?

Una vez completado esto, se forman equipos departamentales, dirigidos por los jefes de departamento. Estos equipos tendrán varias responsabilidades que se destacan en los siguientes pasos.

Paso 3: Identificar a terceros

Los equipos departamentales comienzan por identificar a terceros, como proveedores, contratistas, socios logísticos, proveedores de servicios en la nube u otros. En esta etapa, los equipos pueden trabajar con los equipos de compras, cuentas por pagar u otros equipos internos que mantienen una lista de trabajo de proveedores y suministradores para centralizar a esos terceros y mejorar la gobernanza.

Paso 4: Identificar los riesgos que se deben medir

Una vez identificadas las terceras partes, los equipos determinan los riesgos potenciales asociados a cada una de ellas. Estos riesgos pueden incluir violaciones de datos, problemas de reputación, multas reglamentarias, problemas de solvencia financiera e interrupciones en la cadena de suministro.

[Cuadro de llamada]:

Recomendación: Es posible que su organización se enfrente a varios riesgos relacionados con los proveedores que antes desconocía. Descubra cuáles son estos diferentes tipos de riesgos y cómo mitigarlos leyendo el blog: Principales riesgos relacionados con los proveedores y cómo abordarlos.

Paso 5: Identificar los indicadores de rendimiento

Una vez identificados los terceros y los riesgos potenciales, los equipos crean y establecen indicadores de rendimiento para realizar un seguimiento periódico.

La siguiente sección ofrece algunas ideas sobre lo que define una buena métrica para la TPRM.

• Disponibilidad/calidad de los datos: esto garantiza que los datos estén disponibles para la elaboración de informes y que los equipos puedan acceder a un repositorio centralizado de perfiles de riesgo de proveedores holísticos.

• Estandarización/Coherencia: Armonizar los procesos y puntos de vista entre las unidades de negocio en relación con los posibles riesgos de los proveedores puede agilizar las operaciones.

• Integración de datos entre múltiples sistemas: se refiere a la consolidación e integración de plataformas para proporcionar una visión unificada del riesgo de los proveedores en toda la organización.

• Simplicidad del análisis:
  La automatización de los procesos programáticos puede ayudar a gestionar el gran volumen de datos que hay que analizar.

• Interpretación y contextualización: Implica comprender al público y el contexto para proporcionar información clara, concisa y significativa.

• Formato de informes y comunicación: La capacidad de sintetizar, comunicar y presentar datos en un formato fácil de usar es fundamental.

• Puntualidad y frecuencia: La capacidad de supervisar continuamente a los proveedores y comprender la evolución de los riesgos en tiempo real es fundamental en cualquier programa eficaz de TPRM.

Los equipos también pueden solicitar apoyo y recomendaciones a su proveedor de TPRM en esta fase. Los proveedores con experiencia suelen ofrecer bibliotecas con contenido relevante, manuales y otra información útil para identificar los riesgos pertinentes, realizar un seguimiento de los indicadores de rendimiento, elaborar estrategias de presentación de informes y abordar otras cuestiones.

[Cuadro de llamada]:

Siga estos consejos para evitar errores comunes al configurar métricas de TPRM: Evite la situación de «diseño por comité»: cada grupo de trabajo responsable de la TPRM puede tener una visión única sobre las métricas relevantes. [CB2] Esfuércese por adoptar un enfoque integrado, en lugar de uno inconexo. Presta atención a las necesidades específicas de tu organización: alinea las métricas con los objetivos de tu programa de TPRM para garantizar que sean adecuadas y significativas. Evita la sobrecarga de información: logra que los equipos se pongan de acuerdo sobre los datos específicos que se van a medir y cómo se deben usar. No todos los datos son relevantes o útiles. No dé por sentado que los indicadores son fáciles de identificar y rastrear: este proceso requiere diligencia y revisión de contratos para garantizar que se recopilen todos los datos relevantes. Facilitar la colaboración entre departamentos: Involucrar a equipos de distintos departamentos para revisar las métricas, garantizando una perspectiva integral. Evite centrarse demasiado en el rendimiento y no lo suficiente en el riesgo: un énfasis excesivo en los KPI y una atención insuficiente a los KRI pueden dar lugar a conclusiones sesgadas. Evite depender excesivamente de una sola métrica: una sola métrica no representa completamente el programa en su conjunto; es fundamental tener en cuenta múltiples medidas. Reconozca que no hay una solución única para todos: las diferentes métricas se aplicarán de manera diferente a diversas situaciones, por lo que debe evitar dar por sentada la uniformidad. No tema solicitar datos a sus proveedores en las primeras fases del proceso: el acceso temprano a los datos facilita la toma de decisiones informadas. No vea el TPRM como una iniciativa puntual: es un proceso continuo y dinámico.

Paso 6: Armonizar las métricas a lo largo del ciclo de vida del TPRM

En este paso, el ERC colabora con los jefes de departamento y establece grupos de trabajo para alinear todos los riesgos identificados y los indicadores de rendimiento. A continuación, los grupos trabajan para estandarizar y sincronizar las métricas en cada etapa del ciclo de vida de la gestión de riesgos de proveedores externos.

El siguiente cuadro destaca algunas métricas que deben tenerse en cuenta en cada etapa, junto con el departamento que normalmente participaría en ellas:

Etapa del ciclo de vida del riesgo de terceros	Seleccionar métricas TPRM	Relevante para estos equipos multifuncionales
1. Abastecimiento y selección	Número de proveedores de nivel 1 que no han devuelto la autodeclaración Calificación crediticia u otra puntuación financiera Puntuación de reputación o exposición mediática adversa procedente de fuentes de inteligencia externas.	Adquisiciones Seguridad informática
2. Admisión e incorporación	Número de proveedores en uso sin un perfil detallado o información sobre el servicio o producto utilizado. Número de proveedores que siguen presentando un alto riesgo tras una incorporación satisfactoria. Tiempo medio de incorporación (MTTO): el tiempo transcurrido desde la contratación hasta la finalización de la evaluación inicial de riesgos de diligencia debida para un nuevo proveedor.	Adquisiciones Gestión de riesgos
3. Puntuación del riesgo inherente	Porcentaje de proveedores que han completado, superado y suspendido una evaluación inicial de riesgos inherentes a la incorporación. Riesgo inherente a cada categoría de dominio de seguridad (por ejemplo, control de acceso, gestión de activos, seguridad física, etc.) dentro de la cadena de suministro. Número de proveedores que reciben pagos y que no tienen un estado de incorporación.	Seguridad informática Gestión de riesgos Finanzas
4. Evaluar y remediar	Tiempo medio para completar las evaluaciones de proveedores Riesgo residual (tras la aplicación de controles) de cada categoría de dominio de seguridad (por ejemplo, control de acceso, gestión de activos, seguridad física, etc.) dentro de la cadena de suministro. Calidad de los informes de cumplimiento de los proveedores por nivel (1, 2, 3, 4)	Seguridad informática Auditoría interna y cumplimiento normativo
5. Supervisar y validar	Diferencia porcentual entre la autodeclaración del proveedor y las amenazas basadas en fuentes de inteligencia. Precisión de la fuente de inteligencia sobre amenazas medida por el número de falsos positivos/número de alertas (expresado en porcentaje). Número de proveedores de nivel (1, 2, 3, 4) con indicadores activos de inteligencia de amenazas «altos».	Seguridad informática Gestión de riesgos
6. Gestionar el rendimiento continuo	Número de incidentes de seguridad de prioridad 1 generados por la cadena de suministro en el último trimestre. Número de proveedores dentro de la cadena de suministro con una puntuación de alto riesgo. % de cobertura de la cadena de suministro a nivel mundial	Seguridad informática Adquisiciones Gestión de riesgos
7. Despido y salida	Número de proveedores de todos los niveles que presentan deficiencias importantes en materia de inteligencia sobre amenazas o control que no se gestionan de forma eficaz. Número de proveedores que se clasifican como incluidos en el ámbito de aplicación de un programa de cumplimiento (por ejemplo, SOX, PCI, GDPR). Número de proveedores fuera del nivel 1 con obligaciones de cumplimiento	Seguridad informática Gestión de riesgos Adquisiciones Auditoría interna y cumplimiento normativo

[Cuadro de llamada]:

Recomendación: Para obtener más información sobre cómo identificar las métricas adecuadas para la gestión de riesgos de terceros, lea el libro electrónico «Los 25 KPI y KRI más importantes para la gestión de riesgos de terceros» y descargue la tarjeta de puntuación.

La solución TPRM predominante

Tanto si está iniciando un nuevo programa de TPRM como si desea optimizar sus iniciativas de métricas de TPRM existentes, Prevalent puede proporcionarle las soluciones, los servicios y el soporte que necesita.

La plataforma de gestión de riesgos de terceros Prevalent es una solución SaaS que permite a toda su organización colaborar en la identificación, comprensión y reducción de los riesgos de los proveedores. Con la plataforma Prevalent, usted puede:

• Crear una base de datos centralizada con los perfiles de riesgo de los proveedores y distribuidores, incluyendo el mapeo de las relaciones^{con terceros} y^cuartos.

• Automatice el proceso de evaluación de riesgos de terceros con una biblioteca de más de 200 cuestionarios estandarizados.

• Supervisar continuamente los riesgos cibernéticos, financieros, operativos y reputacionales nuevos y emergentes.

• Gestione y realice un seguimiento del proceso de remediación con funciones automatizadas de flujo de trabajo y manuales de estrategias.

• Comparte informes contextuales de métricas clave con las partes interesadas de toda la organización.

Esto cuenta con el respaldo de nuestro experimentado equipo de servicios profesionales (PS), que puede ayudarle a optimizar aún más el proceso mediante:

• Ayudar a identificar métricas KPI y KRI pertinentes a lo largo del ciclo de vida del proveedor.

• Establecer expectativas mínimas y activar alertas oportunas.

• Apoyándole durante todo el proceso de remediación, así como realizando un seguimiento de los procedimientos de resolución.

• Proporcionar acceso a una biblioteca completa de contenido sobre TPRM, específicamente en torno a informes personalizados, programas de TPRM y criterios de rendimiento relacionados.

• Trabajamos con usted para desarrollar informes personalizados adaptados a las necesidades de las distintas partes interesadas.

• Proporcionar a sus equipos el apoyo y la documentación esenciales basados en diversos flujos de trabajo de estado basados en perfiles.

Para empezar a medir las métricas clave, descargue el libro electrónico y la tarjeta de puntuación «Los 25 KPI y KRI más importantes para la gestión de riesgos de terceros». A continuación, programe una demostración para descubrir cómo Prevalent puede ayudarle a automatizar y acelerar su programa de métricas TPRM.

Acerca de Prevalent

Prevalent elimina las dificultades de la gestión de riesgos de terceros (TPRM). Las empresas utilizan nuestro software y nuestros servicios para eliminar los riesgos de seguridad y cumplimiento normativo que conlleva trabajar con proveedores y distribuidores a lo largo del ciclo de vida de los terceros. Nuestros clientes se benefician de un enfoque híbrido y flexible de la TPRM, con el que no solo obtienen soluciones adaptadas a sus necesidades, sino que también consiguen un rápido retorno de la inversión. Independientemente de dónde empiecen, ayudamos a nuestros clientes a eliminar las dificultades, tomar decisiones informadas y adaptar y madurar sus programas de TPRM con el tiempo.

Para obtener más información, visite www.prevalent.net.

[CB1]Hemos utilizado una frase similar anteriormente, pero en un contexto diferente. La he eliminado aquí, ya que no es realmente necesaria.

[CB2]Esta línea podría considerarse contradictoria con la siguiente, por lo que la he eliminado.

---

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.