Evaluar adecuadamente los peligros potenciales planteados por terceros es un elemento crucial de la estrategia de gestión de riesgos de una organización. Los riesgos de terceros pueden incluir amenazas de ciberseguridad, problemas de privacidad de datos, cuestiones de cumplimiento y riesgos operativos, así como riesgos medioambientales, sociales y de gobernanza (ASG), riesgos financieros y riesgos para la reputación. Mediante la realización de evaluaciones exhaustivas de los riesgos de terceros adaptadas a un perfil de riesgo específico, su organización puede identificar y mitigar los riesgos inaceptables a lo largo del ciclo de vida de sus relaciones con vendedores y proveedores.
Las evaluaciones de riesgos de terceros no sólo permiten a su organización detectar y reducir los riesgos de forma proactiva, sino que también la ayudan a prepararse para posibles incidentes. Además, la realización de evaluaciones exhaustivas de riesgos de terceros fomenta la confianza de los clientes, proporciona pruebas adicionales de cumplimiento a los organismos reguladores y capacita a su organización para descubrir y comprender los riesgos en toda su cadena de suministro distribuida.
¿Qué es una evaluación de riesgos por terceros?
Las evaluaciones de riesgos de terceros se llevan a cabo a lo largo del ciclo de vida del riesgo de proveedores para evaluar de forma holística el riesgo organizativo que plantean proveedores y vendedores específicos. Las organizaciones suelen realizar evaluaciones en varios momentos de la relación con terceros, entre ellos:
-
Durante la fase inicial de selección y aprovisionamiento, identificar y priorizar a los posibles proveedores y vendedores con perfiles de riesgo aceptables.
-
Antes de conceder acceso a sistemas y datos sensibles durante el proceso de incorporación, como una forma de diligencia debida para evaluar los peligros potenciales.
-
Periódicamente a lo largo de la asociación para verificar el cumplimiento de los acuerdos de nivel de servicio, evaluar la adhesión a los contratos y cumplir los requisitos de auditoría.
-
Durante el proceso de baja, garantizar que el acceso al sistema finaliza y que los datos se protegen o eliminan de acuerdo con la normativa.
-
En caso de incidente de seguridad, determinar el alcance y el impacto de la violación
Las evaluaciones de riesgos de terceros utilizan cuestionarios que solicitan información sobre los controles de seguridad y privacidad de un tercero. También pueden recabar información sobre los datos financieros y operativos del tercero, así como sobre sus políticas en materia medioambiental, social y de gobernanza (ASG). Los riesgos identificados durante el proceso de evaluación suelen valorarse en función de factores como la gravedad del problema y la probabilidad de que se produzca. Los resultados se suelen relacionar con los requisitos clave descritos en los marcos normativos o del sector, como ISO, HIPAA, PCI DSS, UK Modern Slavery ACT, GDPR, NIST CSF y otras normativas básicas. Esto ayuda a las organizaciones a adoptar un enfoque proactivo para identificar y mitigar los riesgos asociados al trabajo con socios externos.
¿Por qué son esenciales las evaluaciones de riesgos por terceros?
En los últimos años, las empresas y las cadenas de suministro mundiales se han visto gravemente perturbadas por acontecimientos como la actual pandemia COVID-19, condiciones meteorológicas extremas, ciberataques importantes y otras crisis. Estas perturbaciones han provocado fallos operativos, pérdidas financieras y desafíos legales para muchas organizaciones. Aunque muchos de estos acontecimientos eran inevitables, las organizaciones con sólidos programas de gestión de riesgos de terceros (GTRP) a menudo fueron capaces de minimizar o mitigar sus efectos.
Mediante la aplicación de un sólido proceso de evaluación de riesgos de terceros, su organización puede profundizar en el conocimiento de su cadena de suministro de terceros y evaluar de forma holística riesgos difíciles de encontrar, como el riesgo de concentración, el riesgo ESG de cuarta parte y el riesgo reputacional. Esto refuerza su resistencia durante las crisis, al tiempo que le permite tomar decisiones empresariales inteligentes e informadas sobre el riesgo que plantea la contratación de nuevos proveedores.
¿Cuáles son las distintas categorías de riesgo frente a terceros?
Cuando se trabaja con terceros, hay que tener en cuenta tres tipos principales de riesgos: perfilados, inherentes y residuales. Estos tipos de riesgo determinan el nivel de profundidad que debe tener su proceso de evaluación y las medidas correctoras que debe exigir a los proveedores en función de sus prácticas empresariales y de seguridad de la información.
-
El riesgo perfilado es el riesgo que un tercero supone para su organización en función de información observable externamente, como su ubicación, sector, uso de terceros, propiedad o políticas básicas de ASG. Los terceros con operaciones en una región geopolíticamente inestable o que recurren a varios terceros propios pueden merecer un escrutinio adicional durante el proceso de evaluación del riesgo de terceros.
-
El riesgo inherente es el riesgo que plantea un tercero en función de sus controles internos y prácticas empresariales. Por ejemplo, una organización que accederá a los datos de sus clientes y que ha sido auditada por terceros y verificada para cumplir con el GDPR puede tener una puntuación de riesgo inherente más baja que una organización sin un programa formalizado de seguridad de la información o privacidad de los datos.
-
El riesgo residual es el nivel de riesgo que queda después de que el proveedor haya implementado los requisitos de su organización o si ha implementado los controles compensatorios adecuados. El riesgo residual se denomina a veces "riesgo aceptable" cuando una organización acepta los riesgos restantes asociados al tercero.
Es importante tener en cuenta estos tres tipos de riesgos a la hora de evaluar y gestionar a terceros para identificar, mitigar y gestionar eficazmente los peligros potenciales que puedan suponer para su organización.
¿Cómo se puntúan los riesgos de terceros?
Evaluar el riesgo de terceros implica calcular puntuaciones de riesgo que tengan en cuenta la probabilidad de que se produzca un suceso y su impacto potencial. Por ejemplo, consideremos un proveedor que presta servicios a un hospital y maneja grandes cantidades de información sanitaria protegida (PHI), pero que no cumple la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA).
En este caso, el proveedor se clasificaría como asociado comercial y estaría sujeto a los mismos requisitos normativos que el proveedor de asistencia sanitaria. El impacto en este escenario sería significativo, pudiendo dar lugar a multas tanto para el proveedor de asistencia sanitaria como para el socio comercial. También sería alta la probabilidad de que los reguladores descubrieran el incumplimiento. Esto representaría un riesgo inaceptable para cualquier organización sanitaria y probablemente daría lugar a la rescisión del contrato.
Este ejemplo pone de relieve la importancia de llevar a cabo evaluaciones exhaustivas de los riesgos de terceros, en particular para las organizaciones que manejan grandes cantidades de datos confidenciales, como los contratistas del gobierno y los proveedores de atención médica. En muchas situaciones, normativas como la HIPAA responsabilizan a la organización principal del incumplimiento de sus proveedores, por lo que es crucial que las organizaciones evalúen y mitiguen adecuadamente los riesgos asociados a sus relaciones con terceros.
Pasos de la evaluación de riesgos de terceros
1. Reunir a las partes interesadas internas
Los programas más exitosos de evaluación de riesgos de terceros implican la aportación y/o participación de las partes interesadas, que representan múltiples roles con diferentes prioridades. Comprender estas prioridades puede ayudar a racionalizar su programa y garantizar que no se omitan o pasen por alto pasos clave. Al reunir un equipo multifuncional para planificar y guiar su programa de evaluación, puede ayudar a garantizar la adopción organizativa y el éxito a largo plazo.
2. Defina su nivel aceptable de riesgo residual
Es importante comprender que, incluso con los mejores esfuerzos, siempre existirá cierto nivel de riesgo al trabajar con terceros. Antes de evaluar a los posibles socios, debe establecer qué nivel de riesgo es aceptable para su organización. Esto ayudará a que la selección de proveedores y la gestión de riesgos sean más eficaces y uniformes. Este método también puede ayudarle a identificar rápidamente a terceros que puedan no ajustarse a sus objetivos empresariales y a su tolerancia al riesgo.
3. Construya su proceso de evaluación de riesgos de terceros
Para gestionar eficazmente el riesgo de terceros, es esencial disponer de un proceso estandarizado. Sin embargo, el proceso de evaluación de riesgos puede variar en función del tercero, su nivel de criticidad para su cadena de suministro, el acceso a datos sensibles y la susceptibilidad a eventos de continuidad. Por ejemplo, los terceros con un alto nivel de criticidad y riesgo potencial requerirán una diligencia debida más exhaustiva que aquellos con un riesgo menor. Un proceso estructurado permitirá que su programa funcione de forma más eficiente y le ayudará a tomar mejores decisiones, basadas en el riesgo, sobre sus relaciones con terceros.
Empezar con una evaluación interna de perfiles y niveles puede ayudar a clasificar a sus proveedores y a determinar el tipo, el alcance y la frecuencia de la evaluación necesaria para cada grupo.
4. Envío de cuestionarios de evaluación de riesgos a terceros
Para gestionar eficazmente el riesgo de terceros, es importante recabar información sobre los controles internos del proveedor. Una forma de hacerlo es enviando cuestionarios. Estos cuestionarios pueden abarcar una amplia gama de temas, como las prácticas de seguridad de la información, los requisitos de cumplimiento, la estabilidad financiera y los datos de proveedores de cuarta y enésima parte.
A la hora de elegir cuestionarios para las evaluaciones primarias de riesgos, las empresas deben decidir si utilizan un cuestionario estándar del sector o crean uno propio. Los cuestionarios normalizados, como el cuestionario de recopilación de información estándar (SIG), el cuestionario H-ISAC para organizaciones sanitarias y el cuestionario del Marco de Cumplimiento Prevalente (PCF), son ampliamente aceptados y conocidos por la mayoría de los vendedores y proveedores. Sin embargo, si un tercero ya dispone de una certificación de seguridad de la información, como CMMC o SOC 2, puede aceptarse en lugar de exigir una respuesta de evaluación. Otra posibilidad es complementarlas con evaluaciones propias y/o ad hoc para recabar información sobre controles específicos o riesgos potenciales ajenos a la ciberseguridad.
Otra opción es utilizar marcos al diseñar cuestionarios de evaluación de proveedores. Marcos como el Marco de Ciberseguridad del NIST, ISO 27001 y NIST 800-30 pueden ayudar a garantizar que los cuestionarios sean estándar en toda la cadena de suministro y reflejen las mejores prácticas. Además, si se aplican regulaciones específicas como el GDPR o PCI-DSS, puede ser beneficioso incorporar preguntas relacionadas con esas normas directamente en el programa.
5. Complementar las evaluaciones con una supervisión continua de los riesgos
Las vulnerabilidades de ciberseguridad, los retos de la cadena de suministro y los requisitos de cumplimiento evolucionan continuamente. Por lo tanto, realice una supervisión continua de los riesgos para detectar cualquier riesgo cibernético, empresarial, financiero o de reputación que surja entre sus evaluaciones periódicas de proveedores. También puede utilizar los datos de riesgos para verificar que las respuestas de evaluación de un tercero son coherentes con las actividades empresariales del mundo real.
Fugas de datos de proveedores, credenciales expuestas y otros riesgos cibernéticos
En el actual panorama cibernético en constante evolución, las organizaciones deben supervisar de forma proactiva los riesgos de ciberseguridad externos en todo su ecosistema de proveedores, en lugar de adoptar un enfoque puntual para evaluar el riesgo de los proveedores. Entre los posibles riesgos a tener en cuenta se incluyen:
-
Exposición de credenciales
-
Incidentes y violaciones de datos confirmados
-
Aplicaciones web mal configuradas y vulnerabilidades
-
Typosquatting y otras amenazas para las marcas.
Para obtener más información sobre la identificación de estos y otros riesgos, consulte nuestro post sobre Mejores prácticas de gestión de riesgos en la cadena de suministro cibernética (C-SCRM).
Finanzas, prácticas comerciales y reputación de terceros
Además de los riesgos de ciberseguridad, es crucial vigilar la estabilidad financiera, las prácticas empresariales y la reputación de los proveedores. El fracaso financiero, las interrupciones operativas o la prensa negativa pueden tener implicaciones significativas para su negocio y para los retos medioambientales, sociales y de gobernanza (ESG), como la esclavitud moderna, el soborno/corrupción y los problemas de protección del consumidor. Para mitigar estos riesgos, investigue las prácticas empresariales de los proveedores, el abastecimiento de materias primas y otros procesos clave que puedan plantear problemas éticos o de reputación. Además, solicite referencias de clientes y socios para obtener más información sobre la capacidad del tercero para cumplir los acuerdos de nivel de servicio y otras obligaciones contractuales.
Selección de una estrategia de seguimiento
Es importante contar con una estrategia completa y eficaz a la hora de crear un programa de supervisión. Muchas empresas aprovechan el software automatizado de supervisión de amenazas de proveedores para la identificación y puntuación de riesgos. Esto puede ayudar a las organizaciones a recopilar inteligencia de varias fuentes, como la inteligencia de código abierto.
6. Clasificar y remediar los riesgos
Al evaluar los riesgos de terceros, es esencial clasificarlos como aceptables o inaceptables. Los riesgos inaceptables deben abordarse antes de trabajar con el proveedor. La corrección de estos riesgos puede adoptar diversas formas, como exigir una certificación de seguridad como la SOC 2, poner fin a las relaciones con proveedores de cuarta y enésima parte, o cambiar las prácticas empresariales que podrían provocar interrupciones en la cadena de suministro o de otro tipo.
Contar con una estrategia definida de respuesta a incidentes también es crucial en caso de violación de datos u otra interrupción causada por un proveedor. Con un plan preestablecido, puede acelerar significativamente el tiempo de respuesta y minimizar el impacto en su organización.
Cómo iniciar un programa de evaluación de riesgos de terceros
Muchas empresas cometen el error de utilizar una combinación de correo electrónico y hojas de cálculo a la hora de poner en marcha un programa de evaluación. Este enfoque manual puede llevar mucho tiempo y ser difícil de gestionar, sobre todo cuando se trabaja con muchos proveedores. También suele dar como resultado datos limitados y poco fiables.
Para crear un programa de evaluación eficaz, considere la posibilidad de utilizar una red de inteligencia de proveedores que proporcione acceso a una biblioteca de informes de riesgo de proveedores basados en datos de evaluación estandarizados. Otra opción es una solución automatizada de evaluación de riesgos de terceros, que permite una mayor personalización y control sobre el proceso de evaluación. Alternativamente, un proveedor de servicios gestionados puede llevar a cabo las evaluaciones en su nombre si prefiere un enfoque menos intervencionista.
Próximos pasos
Prevalent ofrece soluciones y servicios de evaluación de riesgos de terceros como parte de nuestra plataforma integral de gestión de riesgos de terceros. Para analizar sus necesidades específicas con un experto de Prevalent, solicite hoy mismo una demostración personalizada.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
