Nuevos requisitos de información sobre ciberseguridad de la SEC: implicaciones para la gestión de riesgos de terceros

Las empresas públicas deberán formalizar sus programas de gestión de riesgos de terceros para cumplir con los nuevos requisitos de información de la SEC. Aquí le indicamos por dónde empezar.

Personal de Mitratech
Personal de Mitratech 30 de marzo de 2022 6 min leer
Decorative image

La Comisión de Bolsa y Valores de Estados Unidos (SEC) ha introducido recientemente nuevos requisitos para que las empresas que cotizan en bolsa notifiquen al gobierno cuando son víctimas de un ataque informático. Estas actualizaciones en la presentación de informes tienen por objeto informar mejor a los inversores sobre la gobernanza y las prácticas en materia de ciberseguridad de las empresas de sus carteras.

En particular, en lo que respecta a los programas de gestión de riesgos de terceros, las nuevas divulgaciones de gobernanza exigirán actualizaciones de las evaluaciones de riesgos, con especial énfasis en los riesgos que la empresa puede asumir al utilizar servicios externos o de terceros. Según la normativa propuesta, también se preguntará a las empresas sobre las auditorías de seguridad, los planes de continuidad del negocio y cómo encaja la ciberseguridad en su estrategia empresarial general.

Para las empresas públicas que carecen de un programa formalizado de gestión de riesgos de terceros, ahora es el momento de añadir cierta estructura a sus procesos. A continuación se indican seis pasos que deben seguir.

1. Comience con una evaluación de la madurez.

Comience por determinar el grado de madurez de sus procesos actuales de gestión de riesgos de terceros (TPRM). Recomendamos aprovechar el Modelo de Madurez de Capacidades para obtener una visión general de los procesos actuales. Este modelo de madurez evalúa cinco aspectos de su programa TRPM:

  1. Cobertura: ¿Qué tan completo es el alcance del programa? ¿Tiene visibilidad de todos los proveedores y distribuidores del ecosistema de terceros de su organización?
  2. Contenido: ¿Dispone de procesos para garantizar que los cuestionarios de evaluación de riesgos se mantengan actualizados y sean adecuados para todos los tipos de terceros que se evalúan?
  3. Funciones y responsabilidades: ¿Son conscientes los colaboradores de su programa TPRM de sus responsabilidades y del nivel de participación que se espera de ellos en los flujos de trabajo operativos?
  4. Remediación: ¿Se lleva a cabo la remediación de manera coherente y se han optimizado los procesos para mejorar la eficiencia del programa?
  5. Gobernanza: ¿Cómo se mide el rendimiento del programa? ¿Es capaz de demostrar su éxito? ¿Dispone de los indicadores adecuados para informar la dirección estratégica?

Califique cada una de las áreas anteriores en una escala del 1 (inicial) al 5 (optimización) para identificar cuáles requieren mayor atención. Prevalent ofrece un servicio gratuito de evaluación de la madurez del TPRM para guiarle a través de este proceso.

2. Centralizar la gestión de proveedores

No se puede gestionar lo que no se puede medir. Por lo tanto, deshágase de las hojas de cálculo y haga un inventario de sus proveedores con una plataforma centralizada. Esto garantizará que varios equipos internos puedan participar en la gestión de proveedores y que los procesos se puedan automatizar en beneficio de todos. Puede cargar sus hojas de cálculo de proveedores existentes en una plataforma central, utilizar una API para sistemas de adquisición u otros sistemas de registro, o pedir a las partes interesadas internas que rellenen un formulario de incorporación de proveedores.

3. Perfil y clasificación de todos los proveedores para prescribir la debida diligencia adecuada.

Una vez que sus proveedores estén gestionados de forma centralizada, realice una puntuación de riesgo inherente para crear perfiles de proveedores más completos y determinar la frecuencia y el alcance adecuados de las evaluaciones futuras. A medida que perfila y clasifica a sus terceros, tenga en cuenta atributos como:

  • Los tipos de pruebas que los proveedores deben presentar para demostrar los controles requeridos.
  • La importancia de los terceros para el rendimiento de su negocio
  • Ubicaciones de la empresa y cualquier obligación legal o reglamentaria asociada (por ejemplo, el RGPD).
  • El grado en que los servicios de cada tercero dependen de cuartos

4. Establecer cadencias de evaluación periódicas.

Una vez que haya incorporado a sus proveedores y haya evaluado su riesgo inherente, el siguiente paso es llevar a cabo evaluaciones de diligencia debida
. Estas evaluaciones pueden variar según los estándares de control y los requisitos de cumplimiento importantes para su organización.

A continuación se indican algunos aspectos importantes que hay que tener en cuenta al planificar las evaluaciones:

  • ¿Sus contratos con proveedores obligan a terceros a responder a las evaluaciones de riesgos de manera oportuna?
  • ¿Con qué frecuencia es necesario evaluar a cada proveedor? Los resultados de la clasificación calculados en el paso 3 pueden ayudar a tomar esta decisión.
  • ¿Qué cuestionario se utilizará para recopilar información sobre los controles de su proveedor? ¿Utilizará encuestas estándar del sector o encuestas propias? Las encuestas estándar del sector, como las evaluaciones SIG, NIST
    o ISO
    , pueden simplificar las comparaciones entre proveedores. Las evaluaciones propias o personalizadas pueden ser necesarias si tiene requisitos únicos.
  • ¿Tiene la capacidad de revisar contenidos alternativos y pruebas presentadas, como cuando un proveedor presenta un informe SOC 2 en lugar de completar su evaluación de riesgos?

Responder a estas preguntas le ayudará a determinar qué método de recopilación utilizar. Por ejemplo, gestionar la recopilación usted mismo, aprovechar los repositorios de cuestionarios prellenados, externalizar la recopilación a un socio o una combinación de cada uno de ellos. El nivel de recursos y experiencia de su organización probablemente guiará esta decisión.

Independientemente del método de recopilación, aproveche las recomendaciones integradas para remediar los riesgos hasta un nivel tolerable para la empresa.

5. Supervisar continuamente a terceros.

Las evaluaciones periódicas basadas en cuestionarios son excelentes, pero aún así dejan lagunas en la visibilidad. Puede cubrir estas lagunas realizando un seguimiento cibernético continuo de sus proveedores y distribuidores. Las fuentes típicas de inteligencia cibernética de terceros incluyen foros criminales, páginas onion, foros de acceso especial a la web oscura, fuentes de amenazas, sitios de pegado para credenciales filtradas, comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades y hackeos/violaciones.

Sin embargo, no todos los ataques se señalan a través de las fuentes mencionadas anteriormente. Los cambios en el comportamiento comercial o el rendimiento financiero de una empresa pueden indicar un cambio de estrategia o una falta de financiación para las defensas cibernéticas. Por lo tanto, amplíe su supervisión para incluir fuentes públicas y privadas de información sobre reputación, sanciones e información financiera, tales como:

  • Negocios: actividad de fusiones y adquisiciones, noticias empresariales, noticias negativas, información normativa y legal, actualizaciones operativas.
  • Financiero: volumen de negocios, pérdidas y ganancias, fondos de los accionistas.
  • Listas de sanciones globales: OFAC, UE, ONU, BOE, FBI, BIS, FDA, US HHS, UK FSA, SEC, etc.
  • Selección de empresas estatales
  • Listas de personas políticamente expuestas (PEP)

Puede supervisar estas fuentes por separado o utilizar una solución de supervisión de riesgos de proveedores para centralizar y unificar esta información en su programa de riesgos de terceros.

6. Preparar los informes de auditoría con antelación.

Dado que la gestión de riesgos de terceros será un aspecto clave de los nuevos requisitos de la SEC, es importante demostrar los avances realizados para cumplir con dichos requisitos, tanto para los auditores externos como internos de su organización. Los informes de cumplimiento normativo
pueden ser complejos y llevar mucho tiempo, por lo que los informes integrados para las normativas comunes y los marcos del sector pueden acelerar y simplificar el proceso.

Obtener visibilidad sobre el nivel de cumplimiento de cada proveedor puede facilitar la elaboración de informes. Comience por establecer un umbral porcentual de «aprobado» en materia de cumplimiento para cada categoría de riesgo (por ejemplo, un X % de cumplimiento con respecto a un marco o directriz concretos). Todos los informes se vincularán a esa calificación de porcentaje de cumplimiento, y su equipo podrá centrarse en las subáreas en las que las tasas de cumplimiento sean bajas. Asegúrese también de realizar evaluaciones de cumplimiento a nivel macro en todos los proveedores, no solo a nivel de proveedor. Los informes a nivel macro serán importantes para su junta directiva, ya que tratarán de determinar el grado de cumplimiento de su organización con respecto a la normativa «de moda».

Próximos pasos

Al final del día, tener datos centralizados de evaluación de riesgos de todos los proveedores en una sola plataforma permitirá:

  • Permita que los equipos de seguridad y gestión de riesgos gestionen los riesgos con mayor coherencia y disciplina, mejorando así la gobernanza.
  • Facilitar la aceptación por parte de las empresas de las iniciativas de gestión de riesgos de terceros.
  • Simplifique la presentación de informes según los requisitos de auditoría periódicos de la SEC.

Prevalent puede ayudarle. Descargue «Navegando por el ciclo de vida del riesgo de los proveedores: claves para el éxito en cada etapa» para obtener más pasos y orientación prescriptivos, o solicite una demostración en
para hablar hoy mismo de sus necesidades.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.