He pasado la mayor parte de los últimos 15 años trabajando como profesional en la gestión de riesgos de terceros, así como asesorando a cientos de clientes de todos los sectores para ayudarles a crear sus programas de TPRM. Lo que he aprendido a lo largo de este tiempo es que hay cinco pilares que constituyen la base de un programa de TPRM exitoso. Cada pilar es sucesivo, lo que significa que se puede avanzar de abajo hacia arriba para alcanzar el objetivo final de un programa transparente, eficiente y escalable.
A continuación se ofrece una descripción general de los componentes básicos del TPRM y por qué son importantes.
1. Comprender
Lo que usted entiende sobre su programa actual de gestión de riesgos de terceros influye en cómo toma decisiones muy importantes y, de hecho, en dónde comenzar el programa. Empiece por comprender su universo de proveedores para determinar el panorama de riesgos de su cartera de proveedores. ¿Qué proveedores tiene?
2. Clasificar
A continuación, organice los datos en categorías para informar sobre la clasificación adecuada de los riesgos. He observado que muchas empresas no cuentan con un modelo de clasificación formalizado, incluso algunas de las empresas más grandes y maduras carecen de él. Sin un modelo de clasificación, no podrá clasificar a sus proveedores ni determinar qué tipo de diligencia debida aplicar. Para clasificar adecuadamente a sus proveedores, comience por identificar cuáles son los datos más críticos que requieren la mayor diligencia debida y trabaje a partir de ahí. Y recuerde, el tamaño del proveedor no siempre determina el nivel de diligencia debida. Las pequeñas empresas familiares pueden suponer un mayor riesgo dependiendo del tipo de datos que manejen.
3. Estratificar
Una vez que haya clasificado a sus proveedores en función de los datos que manejan, identifique otros factores de riesgo clave, como el alcance del compromiso, la ubicación del servicio, el volumen de datos, el tipo de servicio, etc., para llevar a cabo una debida diligencia de riesgos adecuada. Realice una encuesta entre los equipos internos para identificar qué tipo de compromiso tiene el proveedor, qué tipo de alojamiento utiliza y qué tipo de contenido está expuesto.
4. Estandarizar
Aquí, por fin, empiezas a comparar las respuestas de los proveedores con los estándares de control. Una vez que se observa el riesgo a través de la inteligencia sobre amenazas o las respuestas al cuestionario, determina la tolerancia al riesgo basándote en los controles clave de tu empresa (por ejemplo, los imprescindibles) para tomar decisiones bien informadas y basadas en el riesgo. En esta etapa, se configura la forma de llevar a cabo la debida diligencia. Y recuerde, no es necesario aplicar medidas de mitigación de riesgos para todos los riesgos; si la organización considera que los riesgos se encuentran dentro de los niveles aceptables de tolerancia al riesgo, puede centrarse en los casos atípicos.
5. Actuar
Hasta este momento, usted ha tomado decisiones sobre quiénes son sus proveedores; la clasificación y estratificación basada en los datos que manejan y otros atributos; y qué tolerancia al riesgo está dispuesto a aceptar. Este último elemento fundamental es donde se produce la disposición al riesgo. Determine si su organización exige que el proveedor cuente con controles compensatorios, o si usted aplica un programa de mitigación de riesgos para reducir los riesgos a un nivel aceptable.
¿Cubrirán estos elementos básicos el 100 % de sus requisitos de gestión de riesgos de terceros? Probablemente no. Sin embargo, constituyen un punto de partida sólido para abordar las áreas críticas que las organizaciones tienden a eludir en su prisa por crear programas de TPRM.
Prevalent puede ayudar
Prevalent ofrece la única plataforma unificada y diseñada específicamente para la gestión de riesgos de terceros del sector. La plataforma Prevalent, que se ofrece con la simplicidad de la nube, combina evaluaciones automatizadas de proveedores, supervisión continua de amenazas y una red de evaluaciones estándar compartidas para que las organizaciones obtengan una visión de 360 grados de los proveedores con el fin de simplificar el cumplimiento, reducir los riesgos y mejorar la eficiencia. Además, Prevalent ofrece a los clientes servicios de asesoramiento especializado para optimizar y ampliar sus programas de gestión de riesgos.
¿Por qué no empezar con una evaluación de madurez? Prevalent puede ayudarle a determinar en qué punto se encuentra el desarrollo de su programa y proporcionarle una hoja de ruta para alcanzar mayores niveles de madurez. Póngase en contacto con nosotros hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
