Comprender el ciclo de vida de la gestión de riesgos de terceros de su organización es crucial para identificar y remediar los riesgos de vendedores y proveedores. Sin embargo, es un error común considerar la gestión de riesgos de terceros (GTRP) como una iniciativa única de evaluación y corrección de riesgos.
El hecho es que su organización se enfrenta a distintos riesgos en cada paso de la relación con el proveedor, por lo que es importante desarrollar un programa de TPRM que pueda abordar todo el ciclo de vida de terceros. Un proceso programático es el camino más rápido para detener el dolor de la gestión de riesgos de terceros, tomar decisiones informadas basadas en el riesgo, y adaptar y hacer crecer su programa con el tiempo. Este post cubre las etapas clave del ciclo de vida de terceros y comparte las mejores prácticas para mitigar el riesgo en cada etapa.
1. Búsqueda y selección de proveedores
La gestión del riesgo de los proveedores comienza con la selección de éstos, en la que a menudo participan varios equipos con prioridades diversas. Por ejemplo, el departamento de ingeniería da prioridad a las capacidades técnicas del proveedor, el de compras se centra en la estabilidad del negocio, el de seguridad evalúa los controles de protección de datos y el de cumplimiento comprueba la presentación de informes y auditorías.
Además, los proveedores suelen dar respuestas incoherentes o contradictorias en los cuestionarios de evaluación de riesgos. Esto puede dificultar enormemente la evaluación precisa del riesgo que suponen para su organización. Estos problemas pueden agravarse especialmente cuando las organizaciones carecen de una única fuente de información veraz sobre los proveedores.
Mejores prácticas para la búsqueda y selección de proveedores
Utilizar una base de datos de gestión de riesgos de proveedores
Muchas organizaciones siguen atascadas en el uso de hojas de cálculo para correlacionar las respuestas al cuestionario de evaluación de riesgos de proveedores
con los controles de seguridad, el cumplimiento y otros requisitos. Considere la posibilidad de utilizar una base de datos de gestión de riesgos de proveedores o una plataforma de gestión de riesgos de terceros para acelerar la selección, mejorar la identificación de riesgos de proveedores y mantener una única fuente de verdad para los datos de proveedores.
Basar los cuestionarios normalizados en el perfil de riesgo
Cada proveedor tiene un grado diferente de riesgo perfilado (es decir, riesgo relacionado con el servicio que prestan a su organización). Un proveedor que maneje información personal identificable (IPI) o información sanitaria protegida (IPS) tendrá un perfil de riesgo mucho mayor que una empresa de fontanería. Cree cuestionarios estandarizados para los distintos niveles de proveedores en función del perfil de riesgo. Para las empresas con un perfil de riesgo bajo, puede bastar con un cuestionario sencillo, mientras que las empresas que interactúan con su entorno informático o con datos confidenciales pueden necesitar un cuestionario más exhaustivo.
Incorpore ESG a su proceso de selección de proveedores
El riesgo medioambiental, social y de gobernanza (ASG) es cada vez más importante para las empresas de todo el mundo. Tanto los inversores como los consumidores empiezan a esperar que las empresas consideren cuidadosamente los costes medioambientales, éticos y sociales asociados a sus terceros. Incorporar el riesgo ASG desde el principio del ciclo de vida de la gestión de riesgos de proveedores junto con las evaluaciones de los controles de seguridad y privacidad de datos puede ayudarle a evitar empresas con historiales cuestionables en relación con la destrucción del medio ambiente, la esclavitud moderna y otras prácticas empresariales éticamente problemáticas.
2. Admisión e incorporación
El proceso de incorporación de proveedores suele implicar una carga manual o masiva de información de perfil. Conectar una hoja de cálculo preconfigurada o una API a una solución existente de gestión de proveedores o de adquisiciones es una forma más eficiente de crear un repositorio central de proveedores. Aproveche el acceso basado en funciones para que los distintos equipos puedan rellenar los datos de los proveedores e invitar a otros empleados a contribuir.
Mejores prácticas de admisión e incorporación de proveedores
Crear un proceso formal de aprobación
Debe existir un proceso de aprobación formal y documentado para la incorporación de nuevos proveedores. Considere la posibilidad de incluir plantillas estándar para las condiciones de pago, facturación y normas de seguridad de la información como parte del proceso de incorporación de proveedores.
Establezca y comunique plazos de incorporación realistas
La incorporación puede ser un proceso largo. Hay que proporcionar a los proveedores las credenciales de acceso a las instalaciones o sistemas, asegurarse de que pueden desempeñar sus funciones y establecer las condiciones de pago y otros procesos. Asegúrese de fijar plazos de incorporación realistas y comuníqueselos tanto a sus proveedores como a los departamentos internos.
No perder de vista el cumplimiento de la normativa
Muchas organizaciones confían en su evaluación inicial del cumplimiento de terceros para mantener el cumplimiento a lo largo del ciclo de vida del proveedor. Sin embargo, es crucial considerar continuamente los requisitos de cumplimiento a medida que evoluciona el contrato. A menudo se produce una ampliación del alcance, lo que hace que los proveedores obtengan acceso a datos y sistemas confidenciales que no se tuvieron en cuenta inicialmente durante las fases de contratación y selección. Asegúrese de que comprende perfectamente la ubicación de sus datos y el alcance del acceso de sus proveedores durante la fase de incorporación. Revise y ajuste periódicamente el acceso de los proveedores y los controles de seguridad necesarios.
Automatizar siempre que sea posible
La incorporación de nuevos proveedores puede llevar mucho tiempo. Las limitaciones de tiempo pueden ser especialmente graves cuando se incorporan simultáneamente varios proveedores. Por eso la automatización es clave para un programa escalable de gestión de riesgos de terceros. Por ejemplo, puede automatizar la distribución de cuestionarios y facilitar que los miembros del equipo compartan los formularios de admisión.
3. Puntuación del riesgo inherente
La calificación del riesgo inherente es una parte clave del ciclo de vida de la gestión del riesgo de terceros. No todos los proveedores requieren el mismo escrutinio. Por ejemplo, un proveedor de material de oficina presenta un riesgo organizativo menor que uno que suministre piezas críticas o servicios jurídicos. Una organización situada en un lugar políticamente inestable, con un historial de infracciones o con un historial crediticio deficiente presenta más riesgo y justifica una mayor diligencia debida.
Para comprender correctamente el riesgo que plantea un proveedor, debe ser capaz de calcular el riesgo inherente. Este es el nivel de riesgo del proveedor antes de tener en cuenta cualquier control específico que requiera su organización. Obtener una visión completa de los riesgos inherentes establece una línea de base y orienta sus decisiones sobre la diligencia debida necesaria. Una vez establecida esta línea de base para el riesgo inherente, el cálculo del riesgo residual -el riesgo que queda después de aplicar los controles- resulta mucho más sencillo.
El riesgo inherente también desempeña un papel crucial en las decisiones relativas a los perfiles, niveles y categorías de los proveedores. Al alinear las evaluaciones de proveedores con los riesgos y normas más relevantes para una empresa, sus clientes y los organismos reguladores, este enfoque acelera las evaluaciones de riesgos.
Mejores prácticas de calificación de riesgos
Asigne su evaluación de riesgos de proveedores a los requisitos de conformidad
Los cuestionarios deben reflejar todos los requisitos de cumplimiento de su organización. Si su proveedor tiene acceso a información confidencial, como información de identificación personal, información de salud protegida o información financiera, debe asegurarse de que los requisitos de cumplimiento de su organización se reflejen en los cuestionarios de riesgo del proveedor. A continuación figuran algunas preguntas que deberían plantearse durante la evaluación de riesgos:
- ¿Está certificada la organización conforme a normas o marcos de seguridad de la información de terceros? (por ejemplo, SOC2, NIST 800-53, NIST CSF, CMMC)
- ¿Está la organización sujeta a requisitos de cumplimiento en materia de ciberseguridad o seguridad de la información? En caso afirmativo, ¿cuáles?
- ¿Qué políticas y procesos existen para compartir los datos de los clientes con terceras y cuartas partes?
No vaya solo
El uso de una plataforma TPRM puede acelerar drásticamente las evaluaciones de riesgos de proveedores y permitirle asignar rápidamente las respuestas del cuestionario a los requisitos de cumplimiento. Además, las soluciones dedicadas a la gestión de riesgos de terceros, como Prevalent, ofrecen cuestionarios de riesgos inherentes integrados y personalizables que facilitan la identificación de los riesgos de los proveedores.
Utilizar la puntuación para normalizar los resultados y proporcionar información práctica
Es importante comprender las ramificaciones potenciales del incumplimiento de un proveedor a la hora de suministrar productos o servicios a su organización. Por ello, debe utilizar un sistema de puntuación para determinar el nivel de cada proveedor. Podría incluir los siguientes criterios:
- Procesos operativos o de cara al cliente
- Interacción con datos protegidos
- Situación financiera e implicaciones
- Obligaciones legales y reglamentarias
- Reputación
- Geografía (por ejemplo, riesgo de concentración)
Una vez definidos los niveles de proveedores, debería ser fácil comprender qué proveedores son los más importantes. Por ejemplo, debería poder ejecutar un informe sobre todos los proveedores con sede en EE.UU., que manejan datos personales y que son de primer nivel.
Disponer de información vetada en una fase temprana del proceso y en un lugar de fácil acceso le permite "dimensionar correctamente" las iniciativas de diligencia debida, centrarse en los proveedores con mayor riesgo y acelerar el proceso general.
4. Evaluación de proveedores y corrección de riesgos
El nivel de riesgo que plantean los distintos terceros variará en función de su importancia para su empresa y de otros factores. Del mismo modo, los criterios para cada nivel de terceros también variarán. Por ejemplo, los criterios para un proveedor de piezas serán diferentes de los utilizados para evaluar los servicios de alojamiento en la nube.
Las organizaciones con programas TPRM inmaduros pueden abordar diferentes niveles de proveedores mediante la creación de encuestas individuales basadas en hojas de cálculo para cada nuevo proyecto; constantemente "reinventando la rueda". Las respuestas a estas encuestas pueden diferir en el nivel de detalle y exhaustividad, lo que dificulta la evaluación del riesgo global y los controles necesarios. Hacer un seguimiento de los elementos abiertos que requieren corrección y garantizar que los controles de corrección son coherentes y adecuados puede resultar difícil, lo que supone una carga innecesaria para los escasos recursos de seguridad, riesgo y cumplimiento.
Mejores prácticas de evaluación y corrección de proveedores
Aprovechar una biblioteca compartida
Los procesos de gestión de riesgos de terceros pueden resultar agotadores para los equipos con pocos recursos. Los procesos de recopilación de datos y las comunicaciones de ida y vuelta con los proveedores representan la mayor parte del tiempo necesario para reducir el riesgo y completar la garantía de evaluación. Para agravar este problema está el panorama normativo en constante cambio, que requiere conocimientos especializados para interpretar las obligaciones de presentación de informes de cumplimiento. Lograr el cumplimiento y satisfacer los requisitos de gestión de riesgos de los proveedores al tiempo que se maximizan los conjuntos de habilidades de su equipo es un acto de equilibrio, sin duda.
Para adaptarse a las limitaciones de recursos, muchas organizaciones -especialmente las que cuentan con un sólido plan de jerarquización de proveedores- optan por aprovechar los contenidos completos ya enviados y compartidos en un intercambio del sector. Estos intercambios de proveedores son profecías que se autocumplen: cuantos más proveedores participen, mayor será el solapamiento con otras empresas. Esto acelera los procesos de identificación y mitigación de riesgos y minimiza el tiempo dedicado a recopilar datos.
Garantizar la flexibilidad del cuestionario
Los cuestionarios de riesgo de proveedores no son "talla única". Utilizar una plataforma de gestión de riesgos de terceros que disponga de múltiples opciones para los cuestionarios, así como la capacidad de generar cuestionarios personalizados, puede simplificar mucho las evaluaciones de proveedores. El uso de una plataforma especializada puede reducir en un 50% el trabajo manual que conlleva la gestión de encuestas y respuestas a proveedores y garantizar que los cuestionarios de evaluación se ajusten adecuadamente al perfil de riesgo de cada proveedor.
Ahorre tiempo con la guía de corrección integrada
A veces, las evaluaciones de proveedores revelan hechos preocupantes. Puede ser que el proveedor en cuestión haya sufrido una violación de datos, no cumpla la normativa sobre privacidad de datos o carezca de un programa formal de ciberseguridad. Las plataformas que ofrecen orientación integrada para la corrección pueden proporcionar plantillas sencillas para las solicitudes de corrección, además de capacidades de flujo de trabajo y gestión de tareas para facilitar y agilizar todo el proceso.
Cumplimiento de la normativa
En muchos casos, es necesario tener en cuenta la seguridad de la información y el cumplimiento de la privacidad de los datos cuando se trabaja con proveedores. A la hora de identificar su estrategia de gestión de riesgos de terceros, tenga en cuenta cómo gestionan las distintas plataformas los informes de cumplimiento. Utilizar una plataforma TPRM que incluya informes de cumplimiento automatizados para una serie de requisitos de cumplimiento nacionales e internacionales puede simplificar drásticamente las auditorías y reducir el riesgo de incumplimiento.
Escala de informes con capacidades de IA
Asegúrese de considerar el valor que la IA introduce en el análisis de riesgos y la elaboración de informes. Aunque la inteligencia artificial no es un concepto nuevo, la reciente introducción generalizada de tecnologías de IA generativa permite a las organizaciones resolver problemas empresariales a una escala sin precedentes. Las IA conversacionales entrenadas en miles de millones de eventos y años de experiencia pueden ofrecer conocimientos expertos de gestión de riesgos en el contexto de directrices del sector como NIST, ISO, SOC 2 y otras.
5. Control continuo
Aunque las evaluaciones periódicas son esenciales para comprender cómo gobiernan los proveedores sus programas de seguridad de la información y privacidad de los datos, una evaluación de riesgos típica sólo puede proporcionar una instantánea del perfil de riesgo de su organización en un momento dado. Este perfil puede cambiar rápidamente a medida que evolucionan las amenazas, se producen nuevas violaciones y surgen retos empresariales.
La supervisión constante de las prácticas de ciberseguridad de terceros es importante. También lo es obtener visibilidad de otros tipos de cambios empresariales, como los problemas financieros, de reputación, de cumplimiento normativo y de la cadena de suministro, que pueden crear riesgos empresariales.
Lamentablemente, las organizaciones rara vez tienen acceso a estos datos de forma que los equipos de seguridad y riesgos puedan ser notificados rápidamente, y a menudo no se incorporan a un registro central para la toma de decisiones. En su lugar, muchas organizaciones dependen de procesos manuales, herramientas dispares, notificaciones de proveedores e informes de noticias.
Buenas prácticas de supervisión por terceros
No se olvide de la Cuarta y la Enésima Fiesta
Puede ser tentador supervisar diligentemente a sus terceros mientras se olvida de sus terceros y enésimas partes. Si su proveedor depende de otras empresas para cumplir los contratos y dirigir su negocio, las exposiciones de seguridad o los problemas operativos de estas otras partes pueden afectar en última instancia a su organización.
Por lo tanto, durante el proceso de evaluación de riesgos, debe identificar cualquier cuarta parte crítica para el éxito de su tercera parte. En función del riesgo que supongan para su tercero, considere la posibilidad de aplicar un proceso de supervisión financiera y cibernética a escala reducida para estos terceros.
Considerar varios tipos de ciberriesgos
La identificación de vulnerabilidades en los sistemas informáticos de cara al público de un proveedor es sólo una parte de la ecuación de la supervisión continua. Es importante ir más allá de la exploración de vulnerabilidades para revelar otros indicadores de riesgo cibernético, incluyendo:
- Incidentes de filtración: un gran volumen de filtraciones indica vulnerabilidades en el programa de seguridad de un proveedor y podría dar lugar a presiones normativas.
- Charlas en la Dark Web - Las menciones recientes y frecuentes de una empresa en la Dark Web suelen correlacionarse con una mayor actividad de amenazas contra la empresa, lo que aumenta la probabilidad de ataque. La atención en los mercados de la Dark Web puede indicar la venta ilícita de activos o cuentas de la empresa, o esquemas de fraude.
- Abuso de dominio/typosquatting - Los nuevos registros de dominio con similitud de estilo typosquatting a dominios corporativos existentes son indicaciones potenciales de abuso de dominio (como phishing), registro defensivo para prevenir o mitigar el abuso de dominio, o ambos.
- Seguridad del correo electrónico: configuraciones de políticas de marco de directivas de remitente (SPF); correo identificado por claves de dominio (DKIM); y autenticación, notificación y conformidad de mensajes basados en dominios (DMARC).
- Filtración de credenciales : las credenciales y correos electrónicos expuestos indican una posible reutilización de contraseñas o direcciones de correo electrónico corporativas por parte de los empleados de la empresa, lo que aumenta el riesgo de ataques de relleno de credenciales y de ataque por parte de agentes de amenazas.
- Incidentes - Las revelaciones de brechas de seguridad y los informes validados de ciberataques señalan cuándo una empresa ha sufrido probablemente un ciberataque, una brecha o un suceso reciente que haya puesto en peligro los activos de información de la empresa.
- Exposiciones de la infraestructura : incluyen infracciones de la política de TI, abuso de la infraestructura de la empresa, infecciones en la infraestructura de la empresa, malware, configuraciones erróneas, vulnerabilidades, hosts infectados y software no compatible.
- Seguridad de aplicaciones web: certificados SSL/TLS y configuraciones.
No se detenga en los riesgos cibernéticos
Muchas empresas se centran en el riesgo cibernético porque suele ser fácilmente cuantificable y sencillo de abordar. Sin embargo, la supervisión del riesgo c ibernético debe complementarse con la supervisión operativa, financiera y de reputación. Cuando elabore su programa de supervisión de terceros, asegúrese de tener en cuenta estos otros tipos de riesgo. Algunas cuestiones a tener en cuenta:
- ¿Este proveedor goza de buena salud financiera? ¿Existe la posibilidad de que quiebre o sufra otros problemas financieros en un futuro próximo?
- ¿Este proveedor aplica prácticas comerciales éticas?
- ¿Cumple este proveedor las leyes y normativas aplicables?
6. Gestión del rendimiento continuo y los acuerdos de nivel de servicio
La gestión del riesgo es un proceso continuo. Incluso los socios fiables pueden sufrir interrupciones, y los incentivos para aplicar los controles prometidos pueden disminuir una vez firmado el acuerdo. Este entorno de riesgo cambiante requiere no sólo una supervisión continua de los riesgos externos, sino también una visibilidad permanente de las obligaciones de rendimiento de los proveedores.
Algunos proveedores pueden requerir un escrutinio para garantizar el cumplimiento de los compromisos de corrección, y todos deben medirse en función de sus acuerdos de nivel de servicio (SLA). Tratar de gestionar esto con hojas de cálculo u otros métodos manuales puede aumentar la probabilidad de incumplimiento de los SLA y las interrupciones de negocio asociadas.
Mejores prácticas de gestión de proveedores
Evaluar periódicamente el rendimiento de los proveedores
Puede resultar tentador adoptar un enfoque de "uno y ya está" a la hora de evaluar a los proveedores. Sin embargo, esto puede dar lugar a malos resultados y al fracaso de las relaciones comerciales. Realizar evaluaciones periódicas para asegurarse de que los proveedores cumplen sus acuerdos de nivel de servicio y otras obligaciones contractuales puede ayudar a detectar cualquier problema a tiempo.
Definir los KPI y KRI adecuados
Definir los indicadores clave de rendimiento y los indicadores clave de riesgo adecuados es fundamental para evaluar eficazmente el rendimiento de los proveedores. Los KPI ayudan a garantizar el cumplimiento de las obligaciones contractuales y de los objetivos empresariales a lo largo del ciclo de vida del contrato. Los KRI pueden ayudarle a comprender los riesgos que plantean los proveedores desde su incorporación hasta su retirada.
7. Rescisión y baja
El riesgo puede persistir una vez finalizada la relación con el proveedor. Un proveedor desvinculado que posea datos confidenciales debe devolverlos y/o destruirlos de forma segura; es necesario poner fin al acceso a los sistemas internos; y las obligaciones de soporte pueden durar más que un acuerdo de compra. Sin embargo, el estudio de Prevalent reveló que el 39% de las empresas no controla ni corrige los riesgos de terceros durante la externalización. Esto supone riesgos continuos para la empresa, la seguridad y la propiedad intelectual.
Mejores prácticas para la incorporación de proveedores
No dé por hecho que los datos se han borrado
Es común suponer que los terceros eliminarán los datos sensibles de los clientes y otra información al finalizar sus contratos. Sin embargo, no siempre es así. Tómese el tiempo necesario para ponerse en contacto con sus terceros y asegurarse de que se ha borrado toda la información confidencial. Merece la pena hacerlo por escrito para asegurarse de que existe una pista de auditoría en caso de futuros incidentes.
Confirmar que se revoca el acceso a la infraestructura física y de TI
Una vez que haya dado de baja a un proveedor, asegúrese de que sus equipos de TI y de instalaciones hayan desprovisto correctamente a los empleados del contratista. Confirme que han revocado todos los accesos al edificio y eliminado todos los permisos de la nube y los entornos de TI. Si un proveedor conserva accidentalmente el acceso, su empresa podría estar expuesta a una futura infracción. La implementación de listas de comprobación basadas en flujos de trabajo en una plataforma central de TPRM puede ayudar a garantizar un proceso de desvinculación seguro.
Revisión exhaustiva del contrato
Una vez que un proveedor complete su trabajo para su organización, revise el contrato a fondo para asegurarse de que ha cumplido todos los entregables. No dé por sentado que ha alcanzado todos los hitos y KPI.
Ejecutar un informe final de conformidad
No es ningún secreto que las responsabilidades y el acceso de los proveedores pueden cambiar a lo largo de su ciclo de vida. Tómese su tiempo para revisar a fondo a qué sistemas y datos ha accedido su proveedor. Plantéese las siguientes preguntas:
- ¿Fueron adecuados los controles de ciberseguridad del proveedor para satisfacer sus requisitos de cumplimiento durante todo el ciclo de vida del proveedor?
- Durante el contrato, ¿se concedieron al proveedor permisos elevados o accesos innecesarios para realizar su trabajo?
- ¿Fue el proveedor responsable de algún incidente de seguridad durante el contrato?
- ¿Le ha puesto el proveedor en riesgo de incumplimiento de una o varias normativas durante el contrato?
Formular estas preguntas puede ayudarle a garantizar el cumplimiento de los requisitos aplicables. También puede proporcionar información valiosa sobre cómo gestionar más eficazmente el cumplimiento de los proveedores.
Próximos pasos para navegar por el ciclo de vida del proveedor
Third-party risk management can be difficult. There are dozens of moving parts across multiple departments, and it can be challenging to coordinate third-party risk assessments, ensure compliance requirements are met, and satisfy different siloed departments. The Mitratech Third-Party Risk Management Platform makes navigating the vendor lifecycle dramatically easier. Learn more about our approach by reading our best practices guide, Navigating the Vendor Risk Lifecycle: Keys to Success at Every Stage, or request a demo today.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
