Evaluación de riesgos de proveedores: La guía definitiva

Llevar a cabo una evaluación de riesgos de proveedores antes de incorporar a un nuevo proveedor o dar acceso a un tercero a sistemas críticos para la empresa es esencial para mantener su postura de ciberseguridad.

Personal de Mitratech
Personal de Mitratech 24 de junio de 2024 11 min read
 

Las evaluaciones de riesgos de proveedores son un componente fundamental de los programas de gestión de riesgos de terceros. Cuando se utilizan soluciones y servicios de terceros, es importante comprender los riesgos potenciales que pueden introducir en su organización. Entre ellos se incluyen los riesgos de ciberseguridad, privacidad de datos, cumplimiento, operativos, financieros y de reputación. La realización de evaluaciones puede ayudarle a revelar y remediar estos riesgos a lo largo del ciclo de vida del proveedor.

Las evaluaciones de riesgos de proveedores permiten a su organización identificar y mitigar de forma proactiva los riesgos de terceros y le ayudan a estar mejor preparada para cuando se produzcan incidentes. Las evaluaciones bien gestionadas pueden fortalecer las relaciones con los proveedores, demostrar la diligencia debida a los reguladores y arrojar luz sobre las mejores prácticas de controles de seguridad.

Definición de la evaluación de riesgos de proveedores y tipos de riesgos

 

¿Qué es una evaluación de riesgos de proveedores?

La evaluación de riesgos de proveedores es un proceso que utilizan las empresas para evaluar los riesgos potenciales cuando trabajan con terceros, como vendedores, proveedores, contratistas u otros socios comerciales. Implica evaluar los riesgos durante las distintas fases de la relación con el proveedor, desde la contratación y la selección hasta la salida y la rescisión.

Las evaluaciones suelen incluir la recopilación de información sobre la seguridad, los controles de privacidad, los datos financieros y operativos y las políticas del proveedor, a menudo mediante cuestionarios. A continuación, los riesgos identificados se clasifican en función de su gravedad, probabilidad y otros factores. Los resultados se suelen ajustar a los requisitos reglamentarios, las normas de cumplimiento y los marcos de seguridad, como ISO y NIST.

Las evaluaciones del riesgo de los proveedores tienen en cuenta una serie de factores durante las distintas etapas del ciclo de vida de la gestión de proveedores, entre ellos:

  • Durante la contratación y la selección, identificar y preseleccionar a los proveedores de bajo riesgo.
  • Durante la incorporación, como diligencia debida para calibrar el riesgo inherente antes de conceder acceso a sistemas y datos críticos.
  • Periódicamente, para comprobar los acuerdos de nivel de servicio, evaluar el cumplimiento de los contratos o satisfacer los requisitos de auditoría.
  • Durante la baja, asegúrese de que el acceso al sistema ha finalizado y de que los datos se han protegido o destruido de acuerdo con la normativa.
  • Durante la respuesta a incidentes para determinar el alcance potencial y el impacto de las violaciones de seguridad

¿Por qué son esenciales las evaluaciones del riesgo de los proveedores?

En los últimos años, el mundo ha experimentado importantes interrupciones de la cadena de suministro y de negocio a causa de la actual pandemia COVID-19, fenómenos meteorológicos extremos, ciberataques cada vez más importantes y otros acontecimientos. Como resultado, las organizaciones se enfrentaron a interrupciones operativas, pérdidas financieras y acciones legales. Aunque muchos de estos sucesos no se pudieron evitar, las organizaciones con programas eficaces de gestión de riesgos de terceros (GTRP) a menudo fueron capaces de reducir o mitigar significativamente sus impactos.

La implantación de flujos de trabajo de evaluación de riesgos de terceros que se centren en los riesgos operativos, la continuidad del negocio y los riesgos de seguridad puede permitir a su organización agilizar los procesos de adquisición, mejorar la resistencia de la cadena de suministro y satisfacer las auditorías de cumplimiento. Es más, el coste de crear y mantener una práctica estratégica de evaluación de terceros es mucho menor que el daño potencial que pueden causar los proveedores de alto riesgo.

¿Cuáles son las distintas categorías de riesgo de los proveedores?

Hay tres tipos principales de riesgo cuando se trata con terceros: riesgo perfilado, riesgo inherente y riesgo residual. He aquí un breve desglose de los tres:

  • El riesgo perfilado está directamente relacionado con la relación del proveedor con su organización. Algunos proveedores plantean más riesgos. Por ejemplo, es probable que una empresa de procesamiento de tarjetas de crédito suponga un riesgo sustancialmente mayor para su organización que una agencia de publicidad digital. Las organizaciones con un mayor nivel de riesgo perfilado requieren un escrutinio adicional durante la selección de proveedores.
  • Los riesgos inherentes se refieren a los riesgos que el proveedor plantea debido a sus propias prácticas de seguridad de la información, operativas, financieras y otras prácticas empresariales antes de implantar cualquier control requerido por su organización. Determinar la puntuación de riesgo inherente de un proveedor potencial requiere una combinación de cuestionarios detallados de evaluación del proveedor y de supervisión de amenazas externas.
  • El riesgo residual es el nivel de riesgo que queda una vez que la organización en cuestión ha implantado los controles obligatorios de su organización. El riesgo residual nunca puede eliminarse, pero puede llevarse a un nivel que la organización considere aceptable.

¿Cómo se puntúan los riesgos de los proveedores?

El cálculo básico para puntuar el riesgo de los proveedores es Probabilidad x Impacto = Riesgo. Por ejemplo, supongamos que un proveedor de un hospital procesa grandes cantidades de información sanitaria protegida (PHI) pero no cumple la HIPAA. En virtud de la HIPAA, se clasificaría como asociado comercial y estaría sometido al mismo escrutinio normativo que el proveedor de asistencia sanitaria. En este caso, el impacto es una multa cuantiosa tanto para el proveedor de asistencia sanitaria como para el asociado comercial (por ejemplo, impacto importante o grave), y la probabilidad es la posibilidad de que su incumplimiento sea descubierto por los reguladores (por ejemplo, probable o extremadamente probable). Esto representaría un riesgo inaceptable para cualquier organización sanitaria y probablemente daría lugar a la rescisión del contrato.

Matriz de riesgos de los proveedores

El ejemplo anterior pone de relieve la importancia de realizar evaluaciones exhaustivas de los riesgos de los proveedores. Esto es aún más importante para las organizaciones que manejan grandes cantidades de datos confidenciales, como los contratistas del gobierno y los proveedores de atención sanitaria. En muchos casos, normativas como la HIPAA responsabilizan a la organización principal del incumplimiento por parte del proveedor.

Pasos de la evaluación de riesgos de proveedores

1. Reunir a las partes interesadas internas

Los programas de evaluación de riesgos de proveedores más exitosos implican la aportación y/o participación de las partes interesadas, que representan múltiples roles con diferentes prioridades. Estos pueden incluir:

 

Papel Ejemplo de prioridades
Gestión de riesgos Unificar las evaluaciones de proveedores con iniciativas más amplias de gestión de riesgos organizativos e integrar los datos de riesgos de terceros con plataformas GRC.
Adquisiciones y contratación Buscar proveedores de bajo riesgo, realizar la diligencia debida previa al contrato, evaluar el rendimiento de los proveedores y garantizar el cumplimiento de las obligaciones contractuales.
Seguridad e informática Identificar, analizar y remediar los riesgos de ciberseguridad relacionados con terceros.
Auditoría y cumplimiento Comprender e informar sobre los riesgos de los proveedores en el contexto de las normativas gubernamentales y los marcos del sector.
Protección de datos Identificación de los proveedores que manejan datos privados, realización de evaluaciones del impacto sobre la privacidad y elaboración de informes en función de los requisitos de cumplimiento de la privacidad.

Reunir un equipo interfuncional para planificar y orientar su programa de evaluación contribuirá a garantizar su adopción por parte de la organización y su éxito a largo plazo.

2. Defina su nivel aceptable de riesgo residual

En un mundo perfecto, el riesgo podría eliminarse por completo. Desgraciadamente, al trabajar con terceros, siempre habrá algún elemento de riesgo. Antes de evaluar a los posibles proveedores para un proyecto, hay que definir qué nivel de riesgo es aceptable. Esto puede hacer que la selección de proveedores y todo el proceso de gestión de riesgos de terceros sea más rápido, eficiente y uniforme. Esto le permite identificar fácilmente a los proveedores que claramente no cumplirán sus objetivos empresariales y su tolerancia al riesgo. Además, puede ayudar a aclarar qué controles debe exigir a los proveedores antes de trabajar con ellos.

3. Construya su proceso de evaluación de riesgos de proveedores

Implantar un proceso con controles y requisitos estandarizados. Sin embargo, no existe un enfoque único para la evaluación del riesgo de los proveedores. Los distintos proveedores presentan diferentes niveles de riesgo para su organización, en función de factores como:

  • Su importancia en la cadena de suministro, especialmente si se trata de un proveedor único.
  • Su acceso a datos sensibles, como información personal identificable (PII), información sanitaria protegida (PHI) o información comercial sensible (CSI).
  • Su vulnerabilidad a las perturbaciones, como catástrofes naturales o conflictos geopolíticos.

Comience con una evaluación interna de perfiles y niveles para clasificar a sus proveedores y determinar el tipo, el alcance y la frecuencia de la evaluación necesaria para cada grupo. Por ejemplo, los proveedores críticos para su negocio y con un potencial de alto riesgo (por ejemplo, empresas de contabilidad o proveedores únicos) requieren una diligencia debida más exhaustiva que aquellos con perfiles de menor riesgo (por ejemplo, empresas de publicidad).

Contar con un proceso estructurado para cada categoría de proveedores hace que su programa de gestión de riesgos de terceros sea más eficaz y le ayuda a tomar mejores decisiones basadas en el riesgo sobre sus relaciones con los proveedores.

4. Envío de cuestionarios de evaluación de riesgos para proveedores

El siguiente paso consiste en seleccionar y enviar cuestionarios de evaluación de riesgos para cada proveedor o categoría de proveedores. Los cuestionarios proporcionan un enfoque basado en la confianza para recopilar información sobre los controles internos de cada proveedor. Pueden abarcar diversos temas, como las prácticas de seguridad de la información, los requisitos de cumplimiento, la estabilidad financiera y los datos de proveedores de cuarta y enésima parte.

Selección de un cuestionario

Una de las mayores opciones a las que se enfrentan las empresas a la hora de seleccionar cuestionarios para sus evaluaciones de riesgos primarios es si utilizar un cuestionario estándar del sector, como el cuestionario de recopilación de información estándar (SIG), o un cuestionario propio. En algunos casos, es posible que sus terceros ya dispongan de una certificación de seguridad de la información, como CMMC o SOC 2. Puede aceptar estas certificaciones en lugar de exigir una respuesta de evaluación o complementarlas con evaluaciones propias y/o ad hoc para recabar información sobre controles específicos o riesgos potenciales ajenos a la ciberseguridad. Para obtener más información sobre los pros y los contras de cada enfoque de evaluación, lea nuestro post sobre la selección de un cuestionario de evaluación de riesgos de proveedores.

Elegir un marco

Muchas organizaciones optan por emplear marcos al diseñar sus cuestionarios de evaluación de proveedores, como el Marco de Ciberseguridad del NIST, ISO 27001 y NIST 800-30, para garantizar que los cuestionarios sean estándar en toda la cadena de suministro y reflejen las mejores prácticas. Si requiere que sus proveedores cumplan con regulaciones específicas como el GDPR o PCI DSS, puede valer la pena incorporar preguntas en torno a esas normas directamente en su programa de gestión de riesgos de proveedores.

5. Complementar las evaluaciones con una supervisión continua de los riesgos

Las vulnerabilidades de ciberseguridad, los retos de la cadena de suministro y los requisitos de cumplimiento evolucionan continuamente. Por lo tanto, asegúrese de realizar una supervisión continua de los riesgos para detectar cualquier riesgo cibernético, empresarial o de reputación que surja entre sus evaluaciones periódicas de proveedores. También puede utilizar los datos de riesgo para verificar que las respuestas de evaluación de un tercero son coherentes con sus actividades empresariales en el mundo real.

Fugas de datos de proveedores, credenciales expuestas y otros riesgos cibernéticos

Las filtraciones de datos de terceros, los ataques de ransomware y otros incidentes cibernéticos son amenazas constantes y omnipresentes para las organizaciones hoy en día. Por lo tanto, es fundamental llevar a cabo una supervisión externa de los riesgos de ciberseguridad en todo su ecosistema de proveedores. Los principales riesgos a los que hay que prestar atención son:

  • exposiciones de credenciales
  • violaciones de datos e incidentes confirmados
  • errores de configuración y vulnerabilidades de las aplicaciones web
  • typosquatting y otras amenazas para las marcas

Finanzas, prácticas comerciales y reputación de los proveedores

Aunque las infracciones de terceros y los incidentes de ciberseguridad tienden a monopolizar los titulares, la quiebra financiera de un proveedor, las interrupciones operativas o la mala prensa pueden tener graves consecuencias para su negocio. Estos riesgos "no informáticos" también se extienden a los retos medioambientales, sociales y de gobernanza (ASG), como la esclavitud moderna, el soborno/corrupción y los problemas de protección de los consumidores.

Busque noticias, información financiera y relaciones con terceros que puedan indicar problemas. Examine las prácticas empresariales de los proveedores, el abastecimiento de materias primas y otros procesos empresariales clave que puedan plantear problemas éticos o de reputación a su empresa. Además, pida referencias de clientes y socios que utilicen los productos y servicios del tercero. Hable con las referencias para obtener más información sobre la capacidad del tercero para cumplir los acuerdos de nivel de servicio y otras obligaciones contractuales.

Selección de una estrategia de seguimiento

Desde inteligencia de fuentes abiertas hasta sitios web públicos, no faltan lugares donde encontrar inteligencia sobre sus terceros. Sin embargo, crear desde cero un programa de supervisión completo y eficaz puede resultar difícil. Muchas empresas utilizan software automatizado de supervisión de amenazas de proveedores para la identificación y puntuación de riesgos.

6. Clasificar y remediar los riesgos

Los riesgos pueden clasificarse como aceptables o inaceptables. Los riesgos inaceptables deben remediarse antes de trabajar con el proveedor. La corrección de riesgos de terceros puede adoptar diversas formas. Una organización puede optar por pedir a un proveedor potencial que obtenga una certificación de seguridad como SOC 2, cesar las relaciones con proveedores de cuarta y enésima parte, o cambiar las prácticas empresariales que podrían causar interrupciones en la cadena de suministro u otras.

Además, las organizaciones deben contar con una estrategia de respuesta a incidentes de terceros en caso de que un proveedor sufra una filtración de datos u otra interrupción. Contar con una estrategia definida para hacer frente a los riesgos que se materialicen puede acortar drásticamente el tiempo que se tarda en montar una respuesta eficaz y reducir los trastornos en la organización.

Cómo iniciar un programa de evaluación de riesgos de proveedores

Un error que cometen muchas empresas al poner en marcha un programa de evaluación es confiar en el correo electrónico y las hojas de cálculo para realizar el trabajo. A menos que solo se trabaje con un puñado de proveedores, este enfoque manual de las evaluaciones puede ser una pesadilla para auditores y proveedores, además de aportar pocos datos útiles.

Si desea poner en marcha un programa de evaluación, un buen punto de partida es suscribirse a una red de inteligencia de proveedores, que ofrece acceso a una biblioteca de informes de riesgo de proveedores basados en datos de evaluación estandarizados. A continuación, para una mayor personalización y control, considere una solución automatizada de evaluación de riesgos de proveedores que le permita llevar a cabo y gestionar sus iniciativas de evaluación. O, si prefiere un enfoque menos intervencionista, un proveedor de servicios gestionados puede realizar las evaluaciones en su nombre.

Próximos pasos

Prevalent ofrece soluciones y servicios de evaluación de riesgos de proveedores como parte de nuestra completa plataforma de gestión de riesgos de terceros. Para analizar sus necesidades específicas con un experto de Prevalent, solicite hoy mismo una demostración personalizada.

 

Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.

 

Las evaluaciones de riesgos de proveedores son un componente fundamental de los programas de gestión de riesgos de terceros. Cuando se utilizan soluciones y servicios de terceros, es importante comprender los riesgos potenciales que pueden introducir en su organización. Entre ellos se incluyen los riesgos de ciberseguridad, privacidad de datos, cumplimiento, operativos, financieros y de reputación. La realización de evaluaciones puede ayudarle a revelar y remediar estos riesgos a lo largo del ciclo de vida del proveedor.

Las evaluaciones de riesgos de proveedores permiten a su organización identificar y mitigar de forma proactiva los riesgos de terceros y le ayudan a estar mejor preparada para cuando se produzcan incidentes. Las evaluaciones bien gestionadas pueden fortalecer las relaciones con los proveedores, demostrar la diligencia debida a los reguladores y arrojar luz sobre las mejores prácticas de controles de seguridad.

Definición de la evaluación de riesgos de proveedores y tipos de riesgos

 

¿Qué es una evaluación de riesgos de proveedores?

La evaluación de riesgos de proveedores es un proceso que utilizan las empresas para evaluar los riesgos potenciales cuando trabajan con terceros, como vendedores, proveedores, contratistas u otros socios comerciales. Implica evaluar los riesgos durante las distintas fases de la relación con el proveedor, desde la contratación y la selección hasta la salida y la rescisión.

Las evaluaciones suelen incluir la recopilación de información sobre la seguridad, los controles de privacidad, los datos financieros y operativos y las políticas del proveedor, a menudo mediante cuestionarios. A continuación, los riesgos identificados se clasifican en función de su gravedad, probabilidad y otros factores. Los resultados se suelen ajustar a los requisitos reglamentarios, las normas de cumplimiento y los marcos de seguridad, como ISO y NIST.

Las evaluaciones del riesgo de los proveedores tienen en cuenta una serie de factores durante las distintas etapas del ciclo de vida de la gestión de proveedores, entre ellos:

  • Durante la contratación y la selección, identificar y preseleccionar a los proveedores de bajo riesgo.
  • Durante la incorporación, como diligencia debida para calibrar el riesgo inherente antes de conceder acceso a sistemas y datos críticos.
  • Periódicamente, para comprobar los acuerdos de nivel de servicio, evaluar el cumplimiento de los contratos o satisfacer los requisitos de auditoría.
  • Durante la baja, asegúrese de que el acceso al sistema ha finalizado y de que los datos se han protegido o destruido de acuerdo con la normativa.
  • Durante la respuesta a incidentes para determinar el alcance potencial y el impacto de las violaciones de seguridad

¿Por qué son esenciales las evaluaciones del riesgo de los proveedores?

En los últimos años, el mundo ha experimentado importantes interrupciones de la cadena de suministro y de negocio a causa de la actual pandemia COVID-19, fenómenos meteorológicos extremos, ciberataques cada vez más importantes y otros acontecimientos. Como resultado, las organizaciones se enfrentaron a interrupciones operativas, pérdidas financieras y acciones legales. Aunque muchos de estos sucesos no se pudieron evitar, las organizaciones con programas eficaces de gestión de riesgos de terceros (GTRP) a menudo fueron capaces de reducir o mitigar significativamente sus impactos.

La implantación de flujos de trabajo de evaluación de riesgos de terceros que se centren en los riesgos operativos, la continuidad del negocio y los riesgos de seguridad puede permitir a su organización agilizar los procesos de adquisición, mejorar la resistencia de la cadena de suministro y satisfacer las auditorías de cumplimiento. Es más, el coste de crear y mantener una práctica estratégica de evaluación de terceros es mucho menor que el daño potencial que pueden causar los proveedores de alto riesgo.

¿Cuáles son las distintas categorías de riesgo de los proveedores?

Hay tres tipos principales de riesgo cuando se trata con terceros: riesgo perfilado, riesgo inherente y riesgo residual. He aquí un breve desglose de los tres:

  • El riesgo perfilado está directamente relacionado con la relación del proveedor con su organización. Algunos proveedores plantean más riesgos. Por ejemplo, es probable que una empresa de procesamiento de tarjetas de crédito suponga un riesgo sustancialmente mayor para su organización que una agencia de publicidad digital. Las organizaciones con un mayor nivel de riesgo perfilado requieren un escrutinio adicional durante la selección de proveedores.
  • Los riesgos inherentes se refieren a los riesgos que el proveedor plantea debido a sus propias prácticas de seguridad de la información, operativas, financieras y otras prácticas empresariales antes de implantar cualquier control requerido por su organización. Determinar la puntuación de riesgo inherente de un proveedor potencial requiere una combinación de cuestionarios detallados de evaluación del proveedor y de supervisión de amenazas externas.
  • El riesgo residual es el nivel de riesgo que queda una vez que la organización en cuestión ha implantado los controles obligatorios de su organización. El riesgo residual nunca puede eliminarse, pero puede llevarse a un nivel que la organización considere aceptable.

¿Cómo se puntúan los riesgos de los proveedores?

El cálculo básico para puntuar el riesgo de los proveedores es Probabilidad x Impacto = Riesgo. Por ejemplo, supongamos que un proveedor de un hospital procesa grandes cantidades de información sanitaria protegida (PHI) pero no cumple la HIPAA. En virtud de la HIPAA, se clasificaría como asociado comercial y estaría sometido al mismo escrutinio normativo que el proveedor de asistencia sanitaria. En este caso, el impacto es una multa cuantiosa tanto para el proveedor de asistencia sanitaria como para el asociado comercial (por ejemplo, impacto importante o grave), y la probabilidad es la posibilidad de que su incumplimiento sea descubierto por los reguladores (por ejemplo, probable o extremadamente probable). Esto representaría un riesgo inaceptable para cualquier organización sanitaria y probablemente daría lugar a la rescisión del contrato.

Matriz de riesgos de los proveedores

El ejemplo anterior pone de relieve la importancia de realizar evaluaciones exhaustivas de los riesgos de los proveedores. Esto es aún más importante para las organizaciones que manejan grandes cantidades de datos confidenciales, como los contratistas del gobierno y los proveedores de atención sanitaria. En muchos casos, normativas como la HIPAA responsabilizan a la organización principal del incumplimiento por parte del proveedor.

Pasos de la evaluación de riesgos de proveedores

1. Reunir a las partes interesadas internas

Los programas de evaluación de riesgos de proveedores más exitosos implican la aportación y/o participación de las partes interesadas, que representan múltiples roles con diferentes prioridades. Estos pueden incluir:

 

Papel Ejemplo de prioridades
Gestión de riesgos Unificar las evaluaciones de proveedores con iniciativas más amplias de gestión de riesgos organizativos e integrar los datos de riesgos de terceros con plataformas GRC.
Adquisiciones y contratación Buscar proveedores de bajo riesgo, realizar la diligencia debida previa al contrato, evaluar el rendimiento de los proveedores y garantizar el cumplimiento de las obligaciones contractuales.
Seguridad e informática Identificar, analizar y remediar los riesgos de ciberseguridad relacionados con terceros.
Auditoría y cumplimiento Comprender e informar sobre los riesgos de los proveedores en el contexto de las normativas gubernamentales y los marcos del sector.
Protección de datos Identificación de los proveedores que manejan datos privados, realización de evaluaciones del impacto sobre la privacidad y elaboración de informes en función de los requisitos de cumplimiento de la privacidad.

Reunir un equipo interfuncional para planificar y orientar su programa de evaluación contribuirá a garantizar su adopción por parte de la organización y su éxito a largo plazo.

2. Defina su nivel aceptable de riesgo residual

En un mundo perfecto, el riesgo podría eliminarse por completo. Desgraciadamente, al trabajar con terceros, siempre habrá algún elemento de riesgo. Antes de evaluar a los posibles proveedores para un proyecto, hay que definir qué nivel de riesgo es aceptable. Esto puede hacer que la selección de proveedores y todo el proceso de gestión de riesgos de terceros sea más rápido, eficiente y uniforme. Esto le permite identificar fácilmente a los proveedores que claramente no cumplirán sus objetivos empresariales y su tolerancia al riesgo. Además, puede ayudar a aclarar qué controles debe exigir a los proveedores antes de trabajar con ellos.

3. Construya su proceso de evaluación de riesgos de proveedores

Implantar un proceso con controles y requisitos estandarizados. Sin embargo, no existe un enfoque único para la evaluación del riesgo de los proveedores. Los distintos proveedores presentan diferentes niveles de riesgo para su organización, en función de factores como:

  • Su importancia en la cadena de suministro, especialmente si se trata de un proveedor único.
  • Su acceso a datos sensibles, como información personal identificable (PII), información sanitaria protegida (PHI) o información comercial sensible (CSI).
  • Su vulnerabilidad a las perturbaciones, como catástrofes naturales o conflictos geopolíticos.

Comience con una evaluación interna de perfiles y niveles para clasificar a sus proveedores y determinar el tipo, el alcance y la frecuencia de la evaluación necesaria para cada grupo. Por ejemplo, los proveedores críticos para su negocio y con un potencial de alto riesgo (por ejemplo, empresas de contabilidad o proveedores únicos) requieren una diligencia debida más exhaustiva que aquellos con perfiles de menor riesgo (por ejemplo, empresas de publicidad).

Contar con un proceso estructurado para cada categoría de proveedores hace que su programa de gestión de riesgos de terceros sea más eficaz y le ayuda a tomar mejores decisiones basadas en el riesgo sobre sus relaciones con los proveedores.

4. Envío de cuestionarios de evaluación de riesgos para proveedores

El siguiente paso consiste en seleccionar y enviar cuestionarios de evaluación de riesgos para cada proveedor o categoría de proveedores. Los cuestionarios proporcionan un enfoque basado en la confianza para recopilar información sobre los controles internos de cada proveedor. Pueden abarcar diversos temas, como las prácticas de seguridad de la información, los requisitos de cumplimiento, la estabilidad financiera y los datos de proveedores de cuarta y enésima parte.

Selección de un cuestionario

Una de las mayores opciones a las que se enfrentan las empresas a la hora de seleccionar cuestionarios para sus evaluaciones de riesgos primarios es si utilizar un cuestionario estándar del sector, como el cuestionario de recopilación de información estándar (SIG), o un cuestionario propio. En algunos casos, es posible que sus terceros ya dispongan de una certificación de seguridad de la información, como CMMC o SOC 2. Puede aceptar estas certificaciones en lugar de exigir una respuesta de evaluación o complementarlas con evaluaciones propias y/o ad hoc para recabar información sobre controles específicos o riesgos potenciales ajenos a la ciberseguridad. Para obtener más información sobre los pros y los contras de cada enfoque de evaluación, lea nuestro post sobre la selección de un cuestionario de evaluación de riesgos de proveedores.

Elegir un marco

Muchas organizaciones optan por emplear marcos al diseñar sus cuestionarios de evaluación de proveedores, como el Marco de Ciberseguridad del NIST, ISO 27001 y NIST 800-30, para garantizar que los cuestionarios sean estándar en toda la cadena de suministro y reflejen las mejores prácticas. Si requiere que sus proveedores cumplan con regulaciones específicas como el GDPR o PCI DSS, puede valer la pena incorporar preguntas en torno a esas normas directamente en su programa de gestión de riesgos de proveedores.

5. Complementar las evaluaciones con una supervisión continua de los riesgos

Las vulnerabilidades de ciberseguridad, los retos de la cadena de suministro y los requisitos de cumplimiento evolucionan continuamente. Por lo tanto, asegúrese de realizar una supervisión continua de los riesgos para detectar cualquier riesgo cibernético, empresarial o de reputación que surja entre sus evaluaciones periódicas de proveedores. También puede utilizar los datos de riesgo para verificar que las respuestas de evaluación de un tercero son coherentes con sus actividades empresariales en el mundo real.

Fugas de datos de proveedores, credenciales expuestas y otros riesgos cibernéticos

Las filtraciones de datos de terceros, los ataques de ransomware y otros incidentes cibernéticos son amenazas constantes y omnipresentes para las organizaciones hoy en día. Por lo tanto, es fundamental llevar a cabo una supervisión externa de los riesgos de ciberseguridad en todo su ecosistema de proveedores. Los principales riesgos a los que hay que prestar atención son:

  • exposiciones de credenciales
  • violaciones de datos e incidentes confirmados
  • errores de configuración y vulnerabilidades de las aplicaciones web
  • typosquatting y otras amenazas para las marcas

Finanzas, prácticas comerciales y reputación de los proveedores

Aunque las infracciones de terceros y los incidentes de ciberseguridad tienden a monopolizar los titulares, la quiebra financiera de un proveedor, las interrupciones operativas o la mala prensa pueden tener graves consecuencias para su negocio. Estos riesgos "no informáticos" también se extienden a los retos medioambientales, sociales y de gobernanza (ASG), como la esclavitud moderna, el soborno/corrupción y los problemas de protección de los consumidores.

Busque noticias, información financiera y relaciones con terceros que puedan indicar problemas. Examine las prácticas empresariales de los proveedores, el abastecimiento de materias primas y otros procesos empresariales clave que puedan plantear problemas éticos o de reputación a su empresa. Además, pida referencias de clientes y socios que utilicen los productos y servicios del tercero. Hable con las referencias para obtener más información sobre la capacidad del tercero para cumplir los acuerdos de nivel de servicio y otras obligaciones contractuales.

Selección de una estrategia de seguimiento

Desde inteligencia de fuentes abiertas hasta sitios web públicos, no faltan lugares donde encontrar inteligencia sobre sus terceros. Sin embargo, crear desde cero un programa de supervisión completo y eficaz puede resultar difícil. Muchas empresas utilizan software automatizado de supervisión de amenazas de proveedores para la identificación y puntuación de riesgos.

6. Clasificar y remediar los riesgos

Los riesgos pueden clasificarse como aceptables o inaceptables. Los riesgos inaceptables deben remediarse antes de trabajar con el proveedor. La corrección de riesgos de terceros puede adoptar diversas formas. Una organización puede optar por pedir a un proveedor potencial que obtenga una certificación de seguridad como SOC 2, cesar las relaciones con proveedores de cuarta y enésima parte, o cambiar las prácticas empresariales que podrían causar interrupciones en la cadena de suministro u otras.

Además, las organizaciones deben contar con una estrategia de respuesta a incidentes de terceros en caso de que un proveedor sufra una filtración de datos u otra interrupción. Contar con una estrategia definida para hacer frente a los riesgos que se materialicen puede acortar drásticamente el tiempo que se tarda en montar una respuesta eficaz y reducir los trastornos en la organización.

Cómo iniciar un programa de evaluación de riesgos de proveedores

Un error que cometen muchas empresas al poner en marcha un programa de evaluación es confiar en el correo electrónico y las hojas de cálculo para realizar el trabajo. A menos que solo se trabaje con un puñado de proveedores, este enfoque manual de las evaluaciones puede ser una pesadilla para auditores y proveedores, además de aportar pocos datos útiles.

Si desea poner en marcha un programa de evaluación, un buen punto de partida es suscribirse a una red de inteligencia de proveedores, que ofrece acceso a una biblioteca de informes de riesgo de proveedores basados en datos de evaluación estandarizados. A continuación, para una mayor personalización y control, considere una solución automatizada de evaluación de riesgos de proveedores que le permita llevar a cabo y gestionar sus iniciativas de evaluación. O, si prefiere un enfoque menos intervencionista, un proveedor de servicios gestionados puede realizar las evaluaciones en su nombre.

Próximos pasos

Prevalent ofrece soluciones y servicios de evaluación de riesgos de proveedores como parte de nuestra completa plataforma de gestión de riesgos de terceros. Para analizar sus necesidades específicas con un experto de Prevalent, solicite hoy mismo una demostración personalizada.

 

Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.

Potenciar. Automatizar. Elevar. Mitratech

©2025 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2025 Mitratech, Inc. Todos los derechos reservados.