La gestión de riesgos de proveedores es «la disciplina de reducir o eliminar el riesgo residual al que se enfrentan las empresas y los gobiernos cuando trabajan con proveedores de servicios externos y proveedores de TI, así como con terceros relacionados».[1] La gestión de riesgos de proveedores implica:
- Incorporación y centralización de la gestión de terceros
- Clasificar a los proveedores según el riesgo inherente que suponen para el negocio.
- Evaluación de terceros, según sus niveles, en relación con las normas de cumplimiento y seguridad.
- Remediación de riesgos hasta un nivel aceptable de riesgo residual.
- Informar a los equipos internos y a las agencias reguladoras sobre los avances.
El problema con muchos programas de gestión de riesgos de proveedores es que gran parte de esta actividad se gestiona con hojas de cálculo manuales y correos electrónicos. Este enfoque lento y costoso puede dar lugar a errores y perpetuar riesgos innecesarios. Muchas empresas desean realizar este trabajo de forma más eficiente, pero tienen dificultades para identificar las capacidades adecuadas que les ayuden a conseguirlo.
Repasemos cinco categorías de criterios que hay que tener en cuenta a la hora de seleccionar una solución para automatizar y acelerar su programa de gestión de riesgos de proveedores.
5 categorías de criterios para seleccionar una solución de gestión de riesgos de proveedores
Una solución de gestión de riesgos de proveedores (VRM) debe madurar progresivamente su programa en cinco categorías clave:
1) Gestiona todos tus proveedores en un solo lugar.
La primera categoría se centra en tomar el control inicial de su ecosistema de terceros. Aquí es donde se evalúan las capacidades de una solución para incorporar proveedores y evaluar su riesgo inherente. Las métricas de riesgo inherente pueden servir de base para clasificar y categorizar a los proveedores. Esto le permite evaluar a sus proveedores en función del riesgo que representan para su negocio.
2) Salga de la cárcel de las hojas de cálculo
Una solución de gestión de riesgos de proveedores debería ayudarle a salir de la «cárcel de las hojas de cálculo». Las capacidades de evaluación automatizadas permitirán a sus equipos colaborar con los proveedores y recopilar información sobre sus controles de seguridad. La solución VRM adecuada reducirá en gran medida la cantidad de comunicaciones de ida y vuelta a lo largo del ciclo de vida del proveedor.
3) Toma decisiones más inteligentes.
Una solución sólida le permitirá validar las respuestas de la evaluación con puntuaciones externas de ciberseguridad e inteligencia de riesgos empresariales. Lo ideal es contar con una solución que combine la inteligencia de riesgos obtenida a partir de la supervisión continua con los datos de evaluación de los proveedores en un único registro de riesgos. Esto proporciona calificaciones de seguridad más holísticas y facilita la toma de decisiones más informadas.
4) Arregla lo que es importante.
Al complementar los datos de evaluación con información continua sobre amenazas, estará en mejores condiciones para priorizar y remediar los riesgos de terceros. Para ello, necesitará sólidas capacidades de generación de informes, así como automatización para activar los flujos de trabajo de remediación.
5) Continuo, inteligente y automatizado
En esta categoría, evalúa la capacidad de una solución VRM para proporcionar información continua que sirva de base para sus iniciativas de gestión de riesgos en curso. En última instancia, lo que busca es una solución que le ayude a crear un programa de gestión de riesgos de terceros más predecible y proactivo.
Próximos pasos para evaluar las soluciones de gestión de riesgos de proveedores
¿Está listo para dar el siguiente paso en la evaluación de soluciones de gestión de riesgos de proveedores? Descargue nuestro kit de herramientas para solicitudes de propuestas, que incluye una evaluación que abarca:
- Alcance, objetivos y resultados del proyecto
- Indicadores clave de rendimiento (KPI) y plazos del proyecto
- Requisitos de la solución y casos de uso
- Criterios detallados de respuesta del proveedor
También obtendrá acceso instantáneo a una hoja de cálculo detallada para comparar proveedores externos de gestión de riesgos y puntuar automáticamente los resultados. ¡Comience su evaluación hoy mismo!
[1] «Cuadrante mágico para herramientas de gestión de riesgos de proveedores de TI». Gartner. 24 de agosto de 2020. Joanne Spencer y Edward Weinstein.
Lista de verificación para una solución de gestión de riesgos de proveedores
Utilice esta tabla para evaluar su programa VRM actual, comparar proveedores de soluciones y determinar qué carencias debe subsanar. La tabla clasifica los criterios de selección en las cinco categorías mencionadas anteriormente.
Gestiona todos los proveedores en un solo lugar
¿En qué medida le permite la solución incorporar proveedores y comprender su riesgo inherente?
| Criterios | ¿Se cumplen los criterios? |
|---|---|
| 1) API y conectores para soluciones comunes que automatizan la incorporación. | |
| 2) Plantilla automatizada para programar la incorporación de proveedores. | |
| 3) Evaluación de perfiles y niveles y lógica integrada para implementar una metodología repetible para evaluar a los proveedores. | |
| 4) Puntuación y seguimiento de riesgos inherentes y residuales para identificar claramente qué proveedores presentan los riesgos más impactantes para el negocio. | |
| 5) Servicios para incorporar y evaluar nuevos proveedores para equipos con pocos recursos. |
Salga de la cárcel de las hojas de cálculo
¿En qué medida la solución automatiza el proceso del cuestionario de evaluación de riesgos de los proveedores?
| Criterios | ¿Se cumplen los criterios? |
|---|---|
| 1) Biblioteca con cientos de miles de perfiles verificados de proveedores para permitir una incorporación más rápida y eficiente de los proveedores y una evaluación más eficaz de los riesgos. | |
| 2) Gran cantidad de plantillas de evaluación listas para usar que se pueden personalizar para abordar mandatos o marcos específicos. | |
| 3) Asistente para la creación de evaluaciones personalizadas que ofrece flexibilidad para evaluar a los proveedores en función de requisitos únicos. | |
| 4) Flujos de trabajo y tareas automatizados para acelerar el proceso de evaluación y proporcionar una ruta clara hacia los siguientes pasos. | |
| 5) Documentos, contratos, acuerdos y pruebas centralizados que proporcionan un repositorio para múltiples equipos. | |
| 6) Informes listos para usar que cumplen con múltiples requisitos de cumplimiento y marcos normativos utilizando un único cuestionario para introducir las respuestas, lo que ahorra tiempo. | |
| 7) Opciones para externalizar el diseño del cuestionario y la recopilación y el análisis de pruebas a expertos para paliar la escasez de recursos. |
Sé más inteligente
¿La solución proporciona inteligencia de riesgos externos para validar las respuestas de las evaluaciones y cubrir las lagunas entre las evaluaciones periódicas?
| Criterios | ¿Se cumplen los criterios? |
|---|---|
| 1) Vigilancia cibernética desde la web profunda/oscura para obtener información en tiempo real sobre los riesgos. | |
| 2) Supervisión empresarial a partir de cientos de miles de fuentes que proporcionan información sobre cuestiones empresariales, normativas o legales. API RESTful para permitir conexiones con otros sistemas. |
|
| 3) Registro de riesgos unificado que correlaciona los eventos de riesgo cibernético y empresarial con los resultados de la evaluación para validar los datos de control comunicados por los proveedores. | |
| 4) Transforme los datos entrantes sobre ciberataques y eventos empresariales de los proveedores en riesgos procesables, lo que le proporcionará visibilidad de los riesgos en tiempo real. Active acciones como el envío de notificaciones, la creación de tareas o alertas, o el aumento de las puntuaciones de riesgo, acelerando así el proceso de mitigación de riesgos. |
|
| 5) Ponderaciones de riesgo flexibles que definen de forma detallada la importancia de riesgos específicos para el negocio. | |
| 6) Señalización y categorización, ya sea automática o manual, para escalar un riesgo y derivarlo al contacto adecuado para su resolución. | |
| 7) Una matriz que permite realizar análisis de riesgos de forma dinámica basándose en la probabilidad de que se produzca un incidente y su posible impacto en el negocio. |
Arregla lo que es importante
¿Qué tan sólidas son las capacidades de generación de informes de la solución y qué tan bien ayuda con la corrección?
| Criterios | ¿Se cumplen los criterios? |
|---|---|
| 1) Guía de remediación integrada con recomendaciones para acelerar el proceso de mitigación de riesgos. | |
| 2) Un marco de informes unificado que le permite asignar las respuestas del cuestionario a cualquier marco, directriz o metodología reglamentaria o estándar del sector. | |
| 3) Cumplimiento normativo, marco y presentación de informes sobre directrices para CMMC, ISO 27001, NIST, RGPD, CoBiT 5, SSAE 18, SIG, SIG Lite, NYDFS, etc. | |
| 4) Capacidad para mostrar el «porcentaje de cumplimiento» con el fin de demostrar el progreso en las iniciativas de mitigación de riesgos. | |
| 5) Informes detallados para cada proveedor y para todos los proveedores. | |
| 6) Proyección de la puntuación de riesgo a lo largo del tiempo después de que se hayan llevado a cabo las medidas correctivas y se hayan mitigado los riesgos. | |
| 7) Flujos de trabajo y gestión de tickets para automatizar las comunicaciones. | |
| 8) Informes sobre múltiples normativas de seguridad, cumplimiento y privacidad con plantillas de informes y estado integrados. | |
| 9) Paneles ejecutivos y operativos | |
| 10) Servicios para gestionar el proceso de remediación para equipos con limitaciones. |
Sé proactivo y constante.
¿La solución proporciona información continua para respaldar sus iniciativas de gestión de riesgos en curso?
| Criterios | ¿Se cumplen los criterios? |
|---|---|
| 1) Evaluaciones proactivas y graduales basadas en los conocimientos y conclusiones obtenidos a partir de un seguimiento continuo. | |
| 2) Actualizaciones proactivas e incrementales y notificaciones de eventos. | |
| 3) Supervisión cibernética continua, puntuación y alertas | |
| 4) Habilitación de acciones: guías automatizadas | |
| 5) Biblioteca de reglas y acciones de inteligencia | |
| 6) Análisis y detección del comportamiento con análisis multidimensional. |
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
