En un mundo empresarial cada vez más conectado, ya no es aceptable ignorar los riesgos que suponen para su organización las prácticas de seguridad deficientes de sus socios, proveedores o distribuidores. Los ciberdelincuentes saben que la forma más sencilla de atacar a una organización es a través de sus terceros.
De hecho, el estudio Prevalent 2023 Third-Party Risk Management Study reveló que el 41 % de las empresas sufrieron una filtración de datos de terceros con repercusiones importantes en los últimos 12 meses y, como resultado, los equipos de seguridad de la información se están involucrando cada vez más en las iniciativas del programa de gestión de riesgos de terceros (TPRM).
Ventajas de madurar su programa de gestión de riesgos de terceros
La mejora continua de su programa de TPRM es fundamental para mantenerse al día de los riesgos de terceros, en constante evolución. Contar con un programa de TPRM maduro tiene varias ventajas:
- Los programas maduros protegen mejor a una organización al garantizar que los proveedores externos, los proveedores y los socios sean debidamente evaluados y supervisados al inicio y a lo largo de la relación comercial.
- Los programas de TPRM más maduros también son más eficientes y eficaces. Al crear procesos repetibles, su organización puede evaluar y supervisar el riesgo con menos procesos manuales y ad hoc que podrían dar lugar a interrupciones, infracciones o multas.
- Un programa maduro de TPRM mejora la toma de decisiones al proporcionar una mayor visibilidad de las relaciones con terceros. Esto permite a los equipos tomar decisiones más informadas sobre con quién asociarse, las preguntas adecuadas que deben plantearse mientras mantienen esas relaciones y cuándo poner fin a una relación.
A pesar de estas claras ventajas, crear y desarrollar un programa de TPRM puede parecer una tarea abrumadora. Para abordar este reto, este artículo:
- Analiza los retos a los que se enfrentan los equipos a la hora de crear y ampliar procesos más maduros, así como los tipos de riesgos que deben gestionarse.
- Define la madurez del programa TPRM en el contexto del Modelo de Madurez de Capacidades, un marco común para medir la madurez.
- Examina cada etapa del modelo de madurez del TPRM y los pasos necesarios para avanzar hacia niveles más maduros.
Retos para madurar su programa de gestión de riesgos de terceros
Antes de definir cómo es un programa maduro de TPRM, hay que tener en cuenta los retos comunes a los que se enfrentan las organizaciones y que inhiben su madurez.
Mantenimiento de silos
En muchas organizaciones, el TPRM es responsabilidad del equipo de seguridad informática, pero el departamento de compras es el encargado de las relaciones. Otros equipos de la empresa, como el jurídico, también suelen intervenir en las relaciones con terceros. Si los diferentes equipos de su organización no comparten datos ni aprovechan procesos comunes, será difícil crear y ampliar su programa.
Uso de procesos manuales
El seguimiento de los requisitos, las respuestas de los proveedores y las tareas de mitigación en hojas de cálculo o documentos compartidos es propenso a errores e inconsistencias en los datos. Este enfoque tampoco es auditable si se realizan cambios. Y lo que es más importante, los procesos manuales simplemente no son escalables. Si bien es posible realizar un seguimiento de un solo proveedor utilizando una hoja de cálculo, gestionar manualmente cientos o miles de proveedores es imposible.
Centrarse únicamente en la incorporación
En la mayoría de los casos, las evaluaciones de riesgos de terceros se llevan a cabo antes de incorporar a un nuevo proveedor. Si bien las evaluaciones iniciales son obviamente importantes, los programas maduros de TPRM incluyen un monitoreo continuo de todos los factores de riesgo en todos los proveedores. Después de todo, el riesgo no es estático. Puede aumentar si un proveedor tiene un cambio en la gestión, vende una línea de negocio, sufre una violación de la ciberseguridad o no supera una auditoría reglamentaria. El riesgo también puede disminuir con la introducción de un nuevo producto o un cambio de proveedor que mejore la calidad o reduzca los costes.
Sin visibilidad sobre los cuartos y enésimos terceros
El riesgo va más allá de sus socios y proveedores directos. Los proveedores de sus proveedores, los denominados cuartos y enésimos, también pueden suponer un riesgo. La mayoría de los programas de TPRM, en particular los manuales, son incapaces de identificar y supervisar adecuadamente a estas partes ampliadas.
Tipos de riesgos de terceros abordados por programas maduros de gestión de riesgos de terceros (TPRM)
Otro reto al que puede enfrentarse su organización en el camino hacia la madurez del programa TPRM es comprender los riesgos operativos que surgen cuando un proveedor o distribuidor no puede cumplir los acuerdos de nivel de servicio (SLA) requeridos. Sin embargo, un programa más maduro le permitirá discernir una gama más amplia de amenazas y riesgos, entre los que se incluyen:
Ciberriesgos
La ciberseguridad es fundamental en las evaluaciones de riesgos de terceros. El ransomware, los ataques distribuidos de denegación de servicio (DDoS) y otros tipos de ataques pueden paralizar su organización, imposibilitando que su empresa cumpla con sus obligaciones comerciales. Si bien la brecha de seguridad de SolarWinds en 2020, en la que los atacantes comprometieron el código base de Orion de SolarWinds para instalar puertas traseras, fue quizás la brecha cibernética más significativa de los últimos años, no fue en absoluto la única brecha de seguridad de terceros.
- Un ataque contra Latitude Financial Services, un importante proveedor australiano de préstamos personales, expuso la información personal de más de 330 000 clientes de dos de los proveedores de servicios de Latitude. Los datos expuestos incluían pasaportes y números de pasaporte. Los atacantes violaron la seguridad de un proveedor para obtener las credenciales de inicio de sesión de los empleados de Latitude.
- La información de red privada del cliente (CPNI) de más de 9 millones de clientes de telefonía móvil de AT&T fue robada después de que unos atacantes violaran la seguridad de un proveedor de marketing de AT&T.
- Los datos personales de millones de jubilados del sindicato United Auto Workers fueron robados del administrador de prestaciones NationBenefits, incluyendo identificaciones de planes de salud, información de Medicare y números de la Seguridad Social. Los atacantes aprovecharon una vulnerabilidad de ciberseguridad en el software de transferencia de archivos utilizado por NationBenefits para obtener acceso.
Riesgo de cumplimiento
La mayoría de las organizaciones operan bajo una gran cantidad de requisitos normativos en constante evolución relacionados con la protección de datos y sistemas confidenciales. Muchas de estas normativas, entre ellas la HIPAA, la Ley de Privacidad del Consumidor de California (CCPA), la Ley de Protección de Datos del Consumidor de Virginia y el Reglamento General de Protección de Datos (RGPD) de Europa, exigen a las organizaciones que protejan la información privada de sus consumidores, clientes y empleados. Otras normativas se refieren a la protección de la información financiera no pública. Las infracciones pueden dar lugar a multas y daños a la reputación.
Riesgo financiero
Los equipos de compras deben tener visibilidad sobre la estabilidad financiera de sus proveedores y distribuidores externos, incluidas las deudas que estos tienen y el crédito que conceden a los clientes. Una declaración de quiebra puede provocar la pérdida de negocios y la interrupción de la cadena de suministro.
Responsabilidad social corporativa
Las preocupaciones de los inversores en torno a las prácticas medioambientales, sociales y de gobernanza (ESG) siguen aumentando. Por ejemplo, tras la invasión de Ucrania por parte de Rusia, hacer negocios con empresas afiliadas al Gobierno ruso se convirtió en algo inaceptable para muchas compañías. Las organizaciones también necesitan protegerse frente a acusaciones de que su cadena de suministro está involucrada en violaciones de los derechos humanos, emplea mano de obra infantil o causa daños medioambientales.
Riesgo para la reputación
La cobertura mediática adversa o las noticias negativas sobre un proveedor pueden dañar la reputación de sus clientes. Esto puede ocurrir cuando el proveedor se ve involucrado en prácticas de contratación poco éticas, problemas de calidad con sus productos, actividades delictivas o desastres medioambientales.
Definición de la madurez del TPRM utilizando el modelo de madurez de capacidades
En general, los programas menos maduros se caracterizan por procesos impredecibles o mal controlados, mientras que los programas más maduros son proactivos, predecibles, mesurados y controlados. Un modelo de madurez puede proporcionar un plan para evaluar y mejorar las prácticas empresariales de su organización en un momento dado y ayudar a definir un camino hacia una mayor madurez de los procesos. En este documento aprovechamos el Modelo de Madurez de Capacidades desarrollado por Watts Humphries y otros en el Instituto de Ingeniería de Software de la Universidad Carnegie Mellon a finales de la década de 1980 como base para examinar la madurez del programa TPRM.
El Modelo de Madurez de Capacidades reconoce que los procesos evolucionan con el tiempo y que, a medida que las organizaciones adquieren experiencia y conocimientos, pueden mejorar sus procesos para ser más eficientes, eficaces y predecibles. El modelo de madurez se puede aplicar a cualquier tipo de proceso organizativo, incluyendo el desarrollo de software, la gestión de proyectos, el control de calidad o la atención al cliente.
Los 5 pilares de la madurez del TPRM
El Modelo de Madurez de Capacidades para la Gestión de Riesgos de Terceros examina cinco pilares fundamentales necesarios para respaldar el éxito actual y continuo de un programa de TPRM. Dentro de cada pilar, examinamos enfoques menos maduros y más maduros.
1. Cobertura de entidades
La mayoría de las organizaciones comienzan sus programas de TPRM evaluando a sus proveedores más importantes. Se trata de un enfoque lógico, pero el riesgo puede provenir de cualquier entidad. Las organizaciones más maduras contarán con un método coherente para clasificar o puntuar el riesgo de los proveedores, con el fin de garantizar que todos ellos queden incluidos en el programa, incluidos los proveedores de cuarta y enésima parte.
2. Contenido
Los cuestionarios de evaluación de riesgos suelen comenzar como iniciativas ad hoc. Se envían preguntas a los proveedores y se reciben y evalúan respuestas de formato libre. Los programas más maduros revisan periódicamente las preguntas de la evaluación para comprender qué se pretende averiguar en términos de riesgo para la organización y ponderar las preguntas de forma adecuada. Los programas más maduros también se esmeran en garantizar que los proveedores proporcionen las pruebas de cumplimiento solicitadas.
3. Funciones y responsabilidades
Los programas menos maduros pueden seguir las directrices, pero carecen de documentación sobre los procedimientos y de funciones y responsabilidades claras. Los programas maduros formarán a los participantes en la evaluación y publicarán y seguirán un manual operativo para garantizar la estandarización de los procesos. Los programas más maduros contarán con gráficos RACI documentados que establezcan las personas responsables, consultadas e informadas en toda la organización.
4. Remediación
Las métricas de remediación se centran en la eficiencia, la estandarización y la calidad del enfoque de gestión de riesgos tras la identificación de los mismos. Los programas menos maduros identificarán los riesgos y solicitarán la remediación a los proveedores. Los programas más maduros implementan mecanismos de puntuación para ponderar los riesgos y las remediaciones, y prescriben directrices de remediación estandarizadas a los proveedores.
5. Gobernanza
La gobernanza incluye cómo se mide el programa y cómo se demuestra su éxito. Los programas menos maduros carecen de informes de evaluación suficientes y de auditorías de programas por parte de terceros. Los programas más maduros agregan datos de evaluación de terceros para proporcionar a los equipos la información necesaria para medir el riesgo y orientar la toma de decisiones, y evalúan a los proveedores y distribuidores externos en función de indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI).
Preguntas clave que hay que hacer
Una visión general de los pilares del programa que contribuyen a la madurez del TPRM.
Niveles de madurez en la gestión de riesgos de terceros
En el Modelo de Madurez de Capacidades, la madurez del programa en cada uno de los cinco pilares se clasifica en cinco niveles, desde inmaduro (1) hasta visionario (5). La puntuación está estandarizada para garantizar que todos los programas TPRM se evalúen y puntúen de manera coherente. De este modo, se puede comparar la puntuación de madurez de un proveedor con la de otros proveedores de similar escala, complejidad y sector vertical. .
El modelo de madurez de las capacidades de TPRM.
Nivel 1: Inmaduro
Las organizaciones que se encuentran en el primer nivel del Modelo de Madurez no dan prioridad al TPRM. La gestión de riesgos está fragmentada. La actividad es puntual y reactiva, y solo se lleva a cabo cuando surge un problema o cuando las señales de alerta de los proveedores son evidentes. Dado que los procesos no están documentados y están mal definidos, es poco probable que una evaluación satisfactoria de un solo proveedor sea repetible.
El TPRM en el nivel 1 es un proceso manual para un número limitado de proveedores. Los cuestionarios para proveedores son inconsistentes y se distribuyen en hojas de cálculo independientes. Las respuestas pueden ser narrativas y difíciles de evaluar en términos de riesgo. No existen normas para los controles de mitigación de riesgos. Los equipos no supervisan a los proveedores en cuanto al cumplimiento continuo o los nuevos riesgos.
Requisitos para avanzar al Nivel 2: En el Nivel 1, las organizaciones no se han comprometido a comprender ni medir el riesgo de terceros. Los equipos incipientes no han definido ni documentado procesos que permitan su replicación. Avanzar al Nivel 2 requiere una disciplina adicional para definir políticas y procesos que logren la coherencia entre las evaluaciones.
Nivel 2: Desarrollo
En el nivel 2, algunos equipos (pero no todos) han definido y documentado procesos que permiten obtener resultados repetibles. Por ejemplo, los equipos de seguridad pueden haber estandarizado los cuestionarios y los requisitos de las pruebas de penetración, o el departamento financiero puede haber estandarizado los parámetros de divulgación financiera. Sin embargo, otros equipos siguen trabajando de forma ad hoc. Este enfoque aislado da lugar a evaluaciones inconsistentes e impide la ampliación de los programas.
Sin un enfoque estandarizado, no es posible clasificar a los proveedores según sus niveles de riesgo. Esto conlleva un mayor riesgo si los proveedores críticos se evalúan de forma superficial y una ineficiencia si los proveedores de bajo riesgo se someten a un escrutinio excesivo. Las organizaciones de nivel 2 siguen utilizando hojas de cálculo y documentos compartidos, lo que hace imposible llevar a cabo una gestión de riesgos de proveedores (TPRM) fiable, auditable y exhaustiva.
Requisitos para avanzar al Nivel 3: Las organizaciones de Nivel 2 carecen de información, documentación y coherencia. Necesitan el apoyo de la dirección para definir los requisitos de TPRM en todas las funciones y un medio para informar sobre los riesgos y las medidas de mitigación. Para lograr un programa escalable se requiere automatización.
Nivel 3: Escalable
En el nivel 3, el TPRM cuenta con los recursos adecuados y los procesos son coherentes dentro de las funciones individuales de una organización. Se han eliminado la mayoría de los silos y los equipos han estandarizado, documentado e integrado las actividades para identificar y evaluar los riesgos. La supervisión de riesgos se ha ampliado más allá de los riesgos empresariales y tecnológicos para incluir el gobierno corporativo, el cumplimiento normativo y el riesgo reputacional. Clasificación de riesgos
se estandariza, y las organizaciones comienzan a instaurar la gestión del ciclo de vida de los contratos y procedimientos formales de baja.
Los procesos del nivel 3 están semiautomatizados. Por ejemplo, la incorporación puede aprovechar cuestionarios automatizados, mientras que la supervisión de las medidas correctivas y el cumplimiento continuo de los requisitos sigue siendo manual. Esto permite a los equipos escalar moderadamente el TPRM, pero aún así puede dejar lagunas en la visibilidad.
Requisitos para avanzar al Nivel 4: Se requieren procesos estandarizados , informes y automatización en todos los departamentos. Los informes en el Nivel 3 suelen ser elaborados por departamentos individuales. Para avanzar, las organizaciones deben centrarse en eliminar los silos e instituir informes centralizados.
Nivel 4: Optimizado
Las organizaciones de nivel 4 consideran que la TPRM es un requisito estratégico y han estandarizado las políticas y los procedimientos en todos los departamentos. Los equipos de TPRM realizan evaluaciones automatizadas y estandarizadas del riesgo de los proveedores con supervisión del riesgo de los proveedores, flujo de trabajo de evaluación y gestión de correcciones a lo largo de todo el ciclo de vida del proveedor. Se formalizan los controles de mitigación de riesgos y se implementa plenamente la supervisión de los proveedores. La automatización también permite que el programa sea totalmente auditable.
Las organizaciones de nivel 4 pueden ampliar el TPRM a todos los proveedores a lo largo de todo el ciclo de vida del proveedor. La presentación de informes sobre los KPI y los KRI se automatiza y las iniciativas de mejora continua se basan en datos. Las comunicaciones con terceros se centran en los beneficios mutuos de un programa TPRM.
Requisitos para avanzar al Nivel 5: Institucionalizar un programa para examinar cada parte del programa TPRM con el fin de realizar mejoras incrementales a lo largo del tiempo. Reexaminar los riesgos de TI y no relacionados con TI, así como las estrategias de mitigación, al menos una vez al año.
Nivel 5: Visionario
El nivel 5 es un nivel de madurez ambicioso que pocas organizaciones pueden alcanzar. Representa un programa de TPRM totalmente automatizado que anticipa los riesgos, asigna controles eficaces y supervisa a los proveedores en materia de riesgos cibernéticos, operativos, financieros, medioambientales, de cumplimiento, de reputación, ESG y de rendimiento. Una organización visionaria colabora de forma proactiva con los proveedores para mejorar su negocio y reducir los riesgos.
En el nivel 5, el riesgo residual permanece, pero puede abordarse rápidamente, cuando sea necesario, mediante procedimientos formales y probados, y luego ser aceptado por la empresa.
Criterios de madurez del TPRM por pilar y nivel.
El siguiente paso en el proceso de maduración de su programa TPRM: realice la evaluación gratuita.
Un programa maduro de TPRM puede ayudar a identificar y mitigar los riesgos potenciales asociados con las relaciones con terceros, reduciendo la probabilidad de impactos negativos en la organización. Anticiparse a los riesgos de terceros ayuda a las organizaciones a evitar costosas interrupciones, así como daños financieros y de reputación. Al automatizar la identificación y el control de riesgos, e integrar las necesidades de todas las partes interesadas, un programa maduro de TPRM proporciona a las organizaciones información más precisa y completa sobre las relaciones con terceros, lo que permite una mejor toma de decisiones.
Calcule la madurez de su programa TPRM
Tanto si acaba de iniciar su programa de gestión de riesgos de terceros como si está trabajando para perfeccionar un programa ya existente, Prevalent puede ayudarle. Prevalent automatiza la gestión de riesgos de terceros mediante una única plataforma que recopila información sobre los riesgos de terceros, cuantifica los riesgos, recomienda soluciones y proporciona plantillas para la elaboración de informes. La plataforma Prevalent incluye una biblioteca con más de 750 evaluaciones estandarizadas, capacidades de personalización, supervisión continua de riesgos y flujo de trabajo y soluciones integrados.
Para identificar en qué punto se encuentra su programa de TPRM utilizando el modelo continuo de madurez de capacidades, solicite hoy mismo una evaluación gratuita de la madurez del programa.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
