La gobernanza y la supervisión son esenciales para cualquier programa de gestión de riesgos de terceros (TPRM). Es fundamental identificar y supervisar a los proveedores importantes y sus puntos débiles. Sin embargo, incluso el gestor de riesgos de terceros más organizado puede tener dificultades para gestionar los riesgos de terceros sin una supervisión adecuada.
Sin una gobernanza adecuada de los programas, es posible que su organización carezca de los procesos, el personal y las tecnologías necesarios para gestionar eficazmente los riesgos de terceros. Esto compromete la capacidad de su organización para reducir el riesgo de violaciones de datos, mitigar los retos operativos y garantizar el cumplimiento de una miríada de regímenes normativos.
Exploremos cómo la gobernanza y la supervisión refuerzan su marco de TPRM, destaquemos el papel del Marco de Ciberseguridad (CSF) 2.0 del NIST y describamos 10 pasos prácticos para crear un programa de TPRM resistente y bien gestionado.
¿Qué es la gobernanza y la supervisión en la gestión de riesgos de terceros?
En la gestión de riesgos de terceros, la gobernanza y la supervisión implican identificar, establecer, supervisar y mejorar continuamente las políticas y los procesos que definen cómo una organización gestiona los riesgos de terceros. Esto suele incluir la adopción de un marco de gobernanza, la asignación de responsabilidades y la integración de prácticas de gestión de riesgos en funciones empresariales más amplias.
Uso del Marco de Ciberseguridad (CSF) del NIST para la gobernanza y supervisión de TPRM
Muchos programas de TPRM hacen hincapié en la ciberseguridad como una categoría de riesgo fundamental. El Marco de Ciberseguridad (CSF) 2.0 del NIST proporciona una base sólida para la gobernanza y la supervisión al introducir la función «Gobernar». Esta función informa sobre cómo las organizaciones priorizan y logran resultados en las seis funciones del marco —Gobernar, Identificar, Proteger, Detectar, Responder y Recuperar— en el contexto de una estrategia más amplia de gestión de riesgos empresariales.
La función «Gobernar» guía la supervisión de la estrategia de ciberseguridad, las funciones, las políticas y la gestión de riesgos de la cadena de suministro, lo que la convierte en un elemento central para una sólida gobernanza de los riesgos de terceros.
10 pasos para crear un programa de gestión de riesgos de terceros (TPRM) bien administrado
1. Establecer y alinear la estrategia, los objetivos, las políticas y los procesos de TPRM.
El primer elemento de la función de gobernanza, GV.SC-01, sienta las bases para el programa de gestión de riesgos de terceros (TPRM) de su organización. Se centra en definir los objetivos, políticas y procesos fundamentales que se ajustan a sus estrategias de seguridad de la información, gestión de riesgos y cumplimiento normativo.
El éxito comienza con la alineación de las partes interesadas, asegurándose de que todos comprendan y apoyen los objetivos y procedimientos del programa. Un programa sólido de TPRM también debe optimizar todo el ciclo de vida del riesgo de terceros, desde la contratación y la diligencia debida hasta la rescisión y la salida, en consonancia con la propensión al riesgo de su organización.
2. Definir y comunicar funciones y responsabilidades.
La segunda faceta de la función de gobernanza, GV.SC-02, se centra en definir y comunicar funciones claras dentro de su programa TPRM. Una matriz RACI puede ayudar a identificar quién es responsable, quién rinde cuentas, a quién se consulta y a quién se informa en cada nivel. Podría decirse que lo más importante aquí es establecer expectativas claras para los proveedores, socios y clientes.
Cada parte interesada externa debe comprender sus responsabilidades específicas, como la entrega puntual de evaluaciones, la presentación de pruebas, la notificación de incidentes y el mantenimiento de controles de seguridad sólidos. Una comunicación eficaz y la rendición de cuentas contribuyen a garantizar una colaboración más fluida y una gobernanza global del riesgo más sólida.
3. Integrar el riesgo de la cadena de suministro de ciberseguridad en la gestión de riesgos empresariales.
En GV.SC-03, el NIST hace hincapié en la importancia de integrar la TPRM en los programas generales de gestión de riesgos empresariales (ERM) y de seguridad de la información. Tratar la TPRM como una función aislada puede crear lagunas a largo plazo en la supervisión.
Integre datos de riesgos de terceros —que abarquen evaluaciones de riesgos cibernéticos, operativos, financieros y reputacionales— en los procesos generales de supervisión de la ciberseguridad de su organización. Alinee los indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI) con los objetivos de la organización para garantizar una visibilidad coherente y una mitigación de riesgos más proactiva.
4. Conocer y priorizar a los proveedores según su importancia
GV.SC-04 en el NIST CSF destaca la importancia de clasificar a los proveedores en función de su importancia para las operaciones comerciales. Para hacerlo de manera eficaz, es necesario cuantificar los riesgos inherentes a todos los terceros utilizando factores como:
- Importancia crítica para el rendimiento y las operaciones empresariales
- Tipo de contenido necesario para validar los controles
- Ubicación(es) y consideraciones legales o normativas relacionadas
- Nivel de dependencia de terceros
- Exposición a procesos operativos o de atención al cliente
- Interacción con datos protegidos
- Situación financiera y salud
- Reputación
Una vez cuantificados los riesgos, clasifique a los proveedores en niveles. Los proveedores de nivel superior requieren evaluaciones más exhaustivas, supervisión continua y controles más estrictos para proteger sus operaciones y datos.
5. Reforzar las cláusulas de ciberseguridad en los contratos y acuerdos con proveedores.
Para cumplir con el requisito GV.SC-05 del marco NIST CSF, debe centralizar y automatizar la gestión de los contratos con los proveedores. Desde la creación y revisión hasta la renovación y retención, todas las etapas del ciclo de vida del contrato deben estar estandarizadas y ser auditables.
Las capacidades clave para cumplir este requisito incluyen:
- Seguimiento centralizado de todos los contratos y atributos, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en funciones.
- Funciones de flujo de trabajo (basadas en el tipo de usuario o contrato) para automatizar la gestión de contratos.
- Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones.
- Discusión centralizada de contratos y seguimiento de comentarios
- Almacenamiento de contratos y documentos con permisos basados en roles y registros de auditoría de todos los accesos.
- Seguimiento del control de versiones que admite la edición de contratos y documentos sin conexión.
- Permisos basados en roles que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.
Incluir estas características en su programa TPRM le permite articular cláusulas de derecho a auditoría y establecer responsabilidades claras en los contratos con los proveedores. A continuación, puede realizar un seguimiento y gestionar los acuerdos de nivel de servicio (SLA) para optimizar su gobernanza y supervisión de la gestión de riesgos de terceros.
6. Realizar una diligencia debida exhaustiva antes de incorporar a los proveedores.
Antes de iniciar cualquier relación formal con un proveedor o tercero, las organizaciones deben llevar a cabo un exhaustivo proceso de diligencia debida. El control GV.SC-06 exige a las empresas centralizar y automatizar los procesos de solicitud de propuestas (RFP) y solicitud de información (RFI) para evaluar a los proveedores de forma coherente y eficiente.
Una solución centralizada y automatizada sólida debería permitirle comparar solicitudes de información y solicitudes de propuestas en función de atributos clave, como las tecnologías utilizadas, las puntuaciones ESG, la estabilidad financiera, el historial de infracciones y la reputación, con el fin de crear perfiles detallados de riesgo de los proveedores. Esto permite tomar decisiones de selección informadas y reduce el riesgo restante antes de que comience la colaboración formal.
7. Identificar, registrar, priorizar, evaluar, responder y supervisar los riesgos que plantea un proveedor a lo largo de la relación.
En virtud de la norma GV.SC-07, el NIST CSF exige la identificación, evaluación y supervisión continuas de los riesgos de los proveedores. Un programa sólido de TPRM lo consigue combinando automatización, visibilidad e inteligencia.
Automatizar las evaluaciones de riesgos
Utilice una plataforma TPRM centralizada con una biblioteca de plantillas de evaluación de riesgos predefinidas. Realice evaluaciones en etapas clave:
- Incorporación de nuevos proveedores
- Renovaciones de contratos
- A intervalos regulares (trimestralmente, anualmente o según sea necesario)
- Ajustar la frecuencia en función de los cambios en los materiales o los eventos de riesgo emergentes.
Aumentar la visibilidad y la responsabilidad
Un sistema de gestión centralizado automatiza los flujos de trabajo, la asignación de tareas y la revisión de pruebas. Esto garantiza que su equipo:
- Tiene visibilidad en tiempo real de los riesgos de los proveedores.
- Recibe orientación automatizada sobre medidas correctivas.
- Recopila pruebas verificadas para los auditores.
Seguir las amenazas externas
La supervisión no debe limitarse a las evaluaciones internas. Refuerce la supervisión mediante el seguimiento de:
- Amenazas cibernéticas y vulnerabilidades en Internet y la web oscura
- Datos sobre reputación, sanciones y riesgos financieros procedentes de fuentes públicas y privadas.
Correlacionar y centralizar datos
Combine toda la información en un registro de riesgos unificado para optimizar la presentación de informes, la corrección y la respuesta. Incorpore datos operativos y financieros para analizar el contexto y las tendencias a lo largo del tiempo.
Al unificar sus datos y automatizar las evaluaciones, se crea un ciclo continuo de retroalimentación que mejora la visibilidad, acelera los tiempos de respuesta y reduce el riesgo general de terceros.
8. Incluir a terceros en la respuesta ante incidentes y la recuperación.
Como parte de su estrategia general de gestión de incidentes, debe ser capaz de identificar rápidamente, responder, informar y mitigar el impacto de los incidentes de seguridad de los proveedores. Esta capacidad es fundamental para el control GV.SC-08.
Aunque un equipo interno puede gestionar este proceso, muchas organizaciones carecen de los conocimientos especializados y la capacidad necesarios para responder eficazmente a incidentes de terceros. En estos casos, asociarse con un proveedor de servicios gestionados puede resultar muy eficaz.
Un servicio gestionado cuenta con expertos dedicados que pueden:
- Gestiona de forma centralizada las comunicaciones y la coordinación con los proveedores.
- Realizar evaluaciones proactivas de los riesgos de los eventos.
- Puntuación y correlación de riesgos con inteligencia de supervisión cibernética continua.
- Proporcionar orientación específica para la remediación.
Estos servicios reducen significativamente el tiempo necesario para identificar y contener los incidentes relacionados con los proveedores y garantizan una solución oportuna en toda la cadena de suministro. Un servicio eficaz de respuesta a incidentes de terceros debe incluir:
- Cuestionarios sobre eventos e incidentes personalizables y actualizados continuamente.
- Seguimiento del progreso en tiempo real para completar la respuesta
- Responsables de riesgos claramente definidos con recordatorios automáticos.
- Informes y alertas proactivos de proveedores
- Paneles de control consolidados que muestran clasificaciones de riesgo, puntuaciones y respuestas señaladas.
- Guías de flujo de trabajo automatizadas activadas por la gravedad de los incidentes
- Plantillas de informes integradas para partes interesadas internas y externas.
- Recomendaciones de remediación integradas para reducir el riesgo
- Mapeo de datos y relaciones para visualizar conexiones entre terceros, cuartos y enésimos.
Refuerce su visión con información histórica sobre infracciones
Mejore su visibilidad aprovechando bases de datos que registran datos históricos sobre violaciones de seguridad en miles de organizaciones, detallando los tipos de datos robados, los problemas de cumplimiento normativo y las notificaciones de violaciones en tiempo real. Esta información proporciona un contexto valioso sobre la susceptibilidad de cada proveedor a sufrir incidentes.
Con esta información, su equipo podrá evaluar con mayor precisión el alcance y el impacto de cada incidente, comprender qué datos se vieron afectados, cómo se vieron afectadas las operaciones de los proveedores y verificar que se hayan completado todas las medidas correctivas.
9. Supervisar continuamente el rendimiento y el cumplimiento de los proveedores a lo largo de todo el ciclo de vida de la relación.
Abordar la faceta GV.SC-09 de la función «Gobernar» requiere un fuerte enfoque en la gestión del rendimiento. Evalúe si los proveedores cumplen los acuerdos de nivel de servicio (SLA), aplican las medidas correctivas recomendadas y se adhieren a los mandatos de cumplimiento necesarios mediante una supervisión y evaluación continuas.
Defina y supervise los KRI y los KPI para medir el rendimiento de los proveedores en comparación con los parámetros de referencia establecidos. El uso de una plataforma TPRM centralizada facilita la visualización de tendencias, la identificación de deficiencias y la puesta de relieve de las mejoras, lo que favorece tanto la excelencia operativa como el cumplimiento normativo.
10. Gestionar los riesgos relacionados con la salida de los empleados y el fin de los contratos
El elemento final, GV.SC-10, recomienda que las organizaciones gestionen eficazmente la salida de los proveedores y la exposición al riesgo tras la finalización del contrato.
Automatizar los procedimientos de salida
Implementar flujos de trabajo para:
- Revisar los contratos y confirmar que se cumplan todas las obligaciones.
- Verificar la destrucción de datos y la eliminación del acceso al sistema.
- Realizar un seguimiento del cumplimiento normativo, los pagos y las certificaciones.
Mantener la documentación y la continuidad
Almacene todos los acuerdos de confidencialidad, acuerdos de nivel de servicio y contratos en un sistema seguro y centralizado con análisis de documentos impulsado por IA para validar el cumplimiento y los criterios.
Apoyo a la continuidad del negocio
Un componente fundamental de este paso es garantizar la continuidad del negocio durante el período de transición entre la rescisión del contrato y la incorporación de un nuevo proveedor.
Conclusión: la gobernanza y la supervisión impulsan el éxito de la gestión del riesgo de transacción (TPRM).
La gobernanza y la supervisión son la brújula que guía su trayectoria en materia de TPRM. Sin un acuerdo sobre los procesos y las métricas clave, es poco probable que logre sus objetivos de reducción de riesgos. Como dijo el Gato de Cheshire en Alicia en el País de las Maravillas: «Si no sabes adónde vas, cualquier camino te llevará allí».
Con una gobernanza clara, siempre sabrá cuál es su destino y cuál es el camino correcto para llegar hasta él. El uso de la función Govern del NIST CSF 2.0 le proporcionará una base sólida para integrar la gobernanza en su programa de gestión de riesgos de terceros.
¿Listo para abordar la gobernanza de TPRM?
Descubra cómo Mitratech puede ayudarle a automatizar la gobernanza, optimizar la supervisión y perfeccionar su programa de gestión de riesgos de terceros. Solicite hoy mismo una demostración personalizada.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
