Optimice las auditorías de gestión de riesgos de terceros: 5 pasos fundamentales para el cumplimiento normativo

La gestión del riesgo de terceros puede resultar abrumadora en el complejo entorno normativo actual. A continuación, describimos cinco pasos esenciales para sincronizar sus esfuerzos de cumplimiento de TPRM, lo que hará que las auditorías sean más manejables y eficientes.

Personal de Mitratech
Personal de Mitratech 25 de junio de 2024 8 minutos de lectura
Decorative image

Pocas palabras infunden tanto temor a los profesionales de la seguridad y la gestión de riesgos como «auditoría». Solo con leer la palabra se pueden sentir escalofríos. El reto que supone una auditoría de seguridad informática se magnifica cuando se extiende a terceros proveedores y distribuidores, lo que requiere recursos y tiempo adicionales.

El reto va más allá del tiempo dedicado a recopilar pruebas e identificar y notificar las deficiencias de control. Realizar una auditoría de riesgos de terceros significa navegar por un panorama normativo complejo y, a menudo, solapado. Entonces, ¿cómo puede un equipo de seguridad y gestión de riesgos responsable de la gestión de riesgos de terceros (TPRM) garantizar que sus proveedores y distribuidores sigan unos principios sólidos de gestión de riesgos sin agotar al equipo?

La clave para superar este reto reside en reconocer los puntos en común entre los distintos marcos normativos y de control de la seguridad informática, y basar los esfuerzos de cumplimiento en dichos puntos en común. Este blog describe cinco áreas superpuestas entre los requisitos comunes de TPRM para que las organizaciones puedan sentar unas bases sólidas para sus esfuerzos de auditoría y cumplimiento.

1. Planificación: Configure su programa para cumplir con la normativa TPRM.

Comprender la exposición al riesgo de su organización frente a terceros es fundamental en muchos marcos normativos y de control. Es imprescindible centrarse en dos tipos de terceros: los que proporcionan productos o servicios críticos y los que proporcionan software que da soporte a procesos empresariales clave. Muchos regímenes normativos exigen evaluaciones sistemáticas de la criticidad de los proveedores, una gestión centralizada y la supervisión del software de terceros.

Establecer un equipo multifuncional de TPRM

Forme un equipo con representantes de toda la empresa, incluyendo seguridad informática, gestión de riesgos, asuntos legales, auditoría interna y adquisiciones. Este equipo será responsable de establecer la gobernanza adecuada y dirigir el programa TPRM, e incorporará las necesidades de todos los equipos que requieran información sobre terceros.

Consejo de TRPM: Busque soluciones de TPRM que proporcionen información consolidada sobre los riesgos para varios equipos y permitan una visión de los riesgos y la presentación de informes específica para cada función.

Determinar la importancia de los proveedores

Comprender qué proveedores externos son fundamentales para sus operaciones es la piedra angular de la planificación de TPRM. Los proveedores que prestan servicios esenciales o manejan información confidencial deben clasificarse como críticos, lo que requiere una diligencia debida avanzada y una supervisión continua.

Consejo de TRPM: Realice un ejercicio de perfilado y clasificación para determinar el riesgo inherente e identificar la importancia de los proveedores.

Centralizar el inventario de proveedores

Cree un inventario centralizado de terceros que permita a los equipos gestionar todos los proveedores a lo largo de su ciclo de vida. Desde el principio, debe prestar especial atención a todos los proveedores de software externos existentes relacionados con su organización. Con el aumento de los ataques a la cadena de suministro de software, es fundamental mantener un inventario actualizado de todo el software de terceros. Este inventario debe estar vinculado a sus procesos empresariales y a los terceros que los respaldan.

Consejo de TPRM: Dado que es probable que su organización ya esté utilizando un marco de control común para sus informes de seguridad informática, estructure sus evaluaciones de riesgos de terceros utilizando marcos como NIST SP 800-53 o ISO 27001.

2. Diligencia debida y selección de terceros

Una vez establecidas las reglas para determinar la importancia crítica de los proveedores y elaborado un inventario del software y los servicios de terceros existentes, es el momento de aplicar principios sólidos de diligencia debida a la selección de nuevas soluciones. Es fundamental elegir una solución o servicio que no solo sea adecuado para el propósito, sino que también se ajuste al perfil de riesgo de la organización. Un proceso integral de diligencia debida de los proveedores permite a las organizaciones recopilar por adelantado información relevante sobre los proveedores y abordar los controles clave en muchos marcos normativos.

El proceso de diligencia debida del vendedor implica unos sencillos pasos:

  • Evalúe al proveedor analizando sus prácticas de ciberseguridad y privacidad de datos, factores comerciales y operativos, reputación, estado de cumplimiento normativo, políticas ESG y finanzas tras su incorporación. Realice una diligencia debida previa al contrato antes de la incorporación.
  • Centralice los riesgos y las deficiencias de control en un único registro de riesgos para obtener visibilidad en toda la empresa. Esto impulsará el desarrollo y la aplicación de planes de corrección de los proveedores y facilitará los debates internos sobre la aceptabilidad del riesgo de los proveedores.
  • Aproveche el inventario central de terceros creado en la fase de planificación para gestionar de forma eficiente el ciclo de vida de las relaciones. Incluya atributos como datos de la empresa proveedora, información financiera y ubicación.

Consejo de TPRM: El objetivo de llevar a cabo la diligencia debida exigida por la normativa es mitigar los riesgos identificados, no solo realizar la evaluación para «marcar la casilla». Por lo tanto, aplique medidas correctivas para garantizar que los terceros se ajusten a los umbrales de riesgo de su organización.

Visibilidad de su cadena de suministro ampliada

Para contar con un programa eficaz de gestión de riesgos de terceros (TPRM), es necesario tener visibilidad sobre la cadena de suministro ampliada. Las cadenas de suministro ampliadas que incluyen subcontratistas y terceros presentan riesgos operativos significativos, y la falta de visibilidad puede provocar fallos en la resiliencia durante las interrupciones. Muchas violaciones de datos a gran escala pueden atribuirse a compromisos de terceros, pero cuando se investigan, a menudo se descubre que el compromiso se inició a nivel de los subcontratistas.

3. Negociación del contrato: establecer expectativas claras

Las organizaciones pueden ser consideradas responsables de las infracciones normativas cometidas por sus terceros y subcontratistas. Por lo tanto, considere la posibilidad de añadir estos tres requisitos fundamentales a los contratos con terceros:

  • El derecho a auditar a terceros para verificar el cumplimiento de las medidas clave de seguridad y protección de la privacidad de los datos.
  • Notificación oportuna de infracciones para una respuesta más rápida a los incidentes de seguridad.
  • Solución de los problemas identificados para mitigar el riesgo de que los fallos de control afecten a la organización.

Asegúrese de que estas disposiciones se extiendan a todos los subcontratistas y cuartas o quintas partes, haciéndoles responsables de cualquier problema. Las pruebas de esta aplicación o supervisión deben estar disponibles si se solicitan.

Consejo de TPRM: Exija a los terceros que revelen quiénes son sus subcontratistas e incorpore disposiciones contractuales clave para garantizar la transparencia y la rendición de cuentas.

4. Supervisión continua: mantener la vigilancia

La supervisión continua de los proveedores externos es fundamental para mantener el cumplimiento de las normas de gestión de riesgos de terceros (TPRM). Supervise diversos riesgos, como amenazas a la ciberseguridad, cambios operativos, inestabilidad financiera y problemas de cumplimiento. Un enfoque consolidado de la supervisión ayuda a agilizar el proceso y proporciona una visión completa de los riesgos.

Consejo de TPRM: Utilice un marco unificado para la supervisión continua con el fin de validar la diligencia debida inicial y garantizar el cumplimiento continuo.

Muchos marcos normativos exigen una formación rutinaria en materia de seguridad para ayudar a los equipos a identificar los ataques de ingeniería social y phishing. La mejor práctica consiste en ampliar esta formación a los contratistas, subcontratistas y empleados de terceros, y documentar los procesos y resultados de la formación. Además, el cumplimiento de la TPRM exige la supervisión de la junta directiva y los altos ejecutivos, lo que incluye la elaboración de informes sobre tendencias, procesos de gestión de incidentes y comunicación con los reguladores. Una función de auditoría interna debe realizar revisiones independientes del programa TPRM como parte de la gobernanza de riesgos de la organización.

Consejo de TPRM: Documente todos los procesos y resultados de la formación para demostrar el cumplimiento y la preparación.

5. Rescisión: tenga una estrategia de salida clara.

La mayoría de los marcos normativos exigen a las organizaciones disponer de una estrategia de salida documentada cuando externalizan funciones empresariales críticas. Por ejemplo, las Directrices sobre externalización de la Autoridad Bancaria Europea (EBA) establecen lo siguiente: «Desarrollar y aplicar planes de salida que sean exhaustivos, estén documentados y, cuando proceda, se hayan probado suficientemente (por ejemplo, mediante un análisis de los posibles costes, repercusiones, recursos y consecuencias temporales de la transferencia de un servicio externalizado a un proveedor alternativo)».

Una estrategia de salida sólida garantiza la resiliencia operativa continua al rescindir las relaciones con terceros. Debe incluir objetivos tales como devolver o destruir toda la información confidencial confiada a terceros y subcontratistas, rescindir sus datos, infraestructura y acceso físico, confirmar que las cláusulas contractuales describen un proceso ordenado para la rescisión del contrato y cumplir con todos los requisitos legales.

Consejo de TRPM: Utilice listas de verificación y flujos de trabajo automatizados para informar sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, el cumplimiento de las leyes pertinentes, los pagos finales y mucho más. Este enfoque simplifica la salida de terceros y demuestra a los auditores que su organización cuenta con un proceso sólido y prospectivo.

Próximos pasos: ir más allá de lo básico

Siga estos cinco pasos para adelantarse al cumplimiento de los requisitos de TPRM. Recuerde que estas tareas son solo las básicas. Asegúrese de ponerse en contacto con su equipo de auditoría interna y con los auditores externos para ampliar esta lista con los requisitos de cumplimiento específicos de su organización.

Cómo puede ayudar Prevalent

Prevalent puede ayudar a su organización a establecer un programa integral de TPRM en consonancia con sus programas más amplios de seguridad de la información, gobernanza y gestión de riesgos empresariales. Con la plataforma de gestión de riesgos de terceros de Prevalent, su organización puede:

  • Cuantificar los riesgos inherentes para todos los terceros con el fin de clasificar y categorizar automáticamente a los proveedores y establecer los niveles adecuados de diligencia adicional.
  • Aproveche una amplia biblioteca con más de 750 plantillas prediseñadas para la diligencia debida de terceros, respaldadas por cuantificación de riesgos, flujo de trabajo y orientación de corrección integrada.
  • Mapea los ecosistemas de proveedores externos mediante evaluaciones específicas y análisis pasivos.
  • Centralice la distribución, discusión, retención y revisión de los contratos con proveedores para automatizar el ciclo de vida de los contratos y garantizar el cumplimiento de las cláusulas clave.
  • Realizar un seguimiento y análisis continuos de las amenazas externas a terceros, incluyendo la supervisión de Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información operativa sobre reputación, sanciones e información financiera.
  • Automatice las evaluaciones de contratos y los procedimientos de baja para reducir el riesgo de exposición de su organización tras la finalización del contrato.
  • Simplifique la presentación de informes reglamentarios con plantillas integradas para múltiples partes interesadas, marcos de control interno comunes y normativas específicas del sector.

Para obtener más información sobre cómo Prevalent puede ayudarle a simplificar el cumplimiento de las normas TPRM y adelantarse a los requisitos de auditoría, solicite hoy mismo una demostración o una llamada estratégica.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.