Gestión de riesgos de proveedores: 8 claves para el éxito

¿Qué es la gestión de riesgos de proveedores?

La gestión de riesgos de proveedores (VRM) es el proceso de identificar, evaluar y mitigar los riesgos asociados con la contratación de proveedores o suministradores externos que proporcionan bienes o servicios a una organización. La VRM es un aspecto importante de la gestión de riesgos empresariales, ya que los proveedores pueden introducir riesgos que pueden afectar negativamente a las operaciones, la reputación o la postura de cumplimiento de una organización. Las actividades de VRM deben llevarse a cabo en todas las etapas del ciclo de vida del proveedor, incluyendo la búsqueda y selección, la incorporación y la evaluación de riesgos inherentes, la evaluación y corrección de riesgos, la supervisión continua de riesgos, la gestión del rendimiento y los acuerdos de nivel de servicio, y la salida y rescisión.

¿Por qué es importante la gestión del riesgo de los proveedores?

La gestión del riesgo de los proveedores es importante por varias razones, entre ellas:

Dependencia de los proveedores

Muchas organizaciones dependen de proveedores externos para servicios, productos o componentes críticos. Cualquier interrupción o fallo en las operaciones del proveedor puede afectar directamente a la capacidad de la organización para suministrar sus propios productos o servicios. La gestión de riesgos de los proveedores ayuda a identificar y mitigar los riesgos potenciales asociados a estas dependencias.

Seguridad y privacidad de los datos

Los proveedores suelen tener acceso a datos o sistemas confidenciales de la organización. Las medidas de seguridad inadecuadas o las violaciones de datos por parte del proveedor pueden comprometer información valiosa, incluidos los datos de los clientes. La gestión de riesgos de los proveedores ayuda a evaluar las prácticas de seguridad de los proveedores, garantizando que cuenten con medidas sólidas para proteger los datos.

Cumplimiento normativo

Las organizaciones están sujetas a diversos requisitos normativos, como las leyes de protección de datos o las normativas específicas del sector. Los proveedores que manejan datos o procesos regulados también deben cumplir estos requisitos. Una gestión eficaz del riesgo de los proveedores garantiza que estos cumplan con las normativas pertinentes, lo que reduce la exposición de la organización a incumplimientos normativos y las sanciones asociadas.

Continuidad del negocio y resiliencia

Los proveedores desempeñan un papel crucial en el mantenimiento de la continuidad del negocio. Si un proveedor sufre interrupciones, como desastres naturales, inestabilidad financiera o fallos operativos, esto puede afectar a las operaciones de la organización. La gestión de riesgos de los proveedores ayuda a identificar posibles vulnerabilidades y a establecer planes de contingencia para mitigar el impacto de las interrupciones relacionadas con los proveedores.

Protección de la reputación y la marca

Las acciones o fallos de un proveedor pueden tener un impacto significativo en la reputación y la imagen de marca de una organización. Por ejemplo, si un proveedor se ve involucrado en prácticas poco éticas, infracciones medioambientales o controversias públicas, esto puede afectar negativamente a la organización que se ha asociado con él. La gestión del riesgo de los proveedores ayuda a evaluar la reputación del proveedor, garantizando la alineación con los valores de la organización y protegiendo su marca.

Optimización de costes y rendimiento

Una gestión eficaz del riesgo de los proveedores permite a las organizaciones evaluar la estabilidad financiera y el rendimiento de los proveedores. Al evaluar las capacidades de los proveedores, las organizaciones pueden tomar decisiones informadas sobre con qué proveedores trabajar, negociar condiciones favorables y evitar posibles pérdidas financieras o un rendimiento insuficiente.

En general, la gestión de riesgos de proveedores permite a las organizaciones identificar y abordar de forma proactiva los riesgos asociados a las relaciones con los proveedores, protegiendo sus operaciones, su reputación, sus datos y el cumplimiento normativo, al tiempo que optimizan los costes y garantizan la continuidad del negocio.

¿Cuáles son los tipos de riesgos asociados a los proveedores externos?

Un programa de gestión de riesgos de proveedores puede permitir a su organización hacer frente a una amplia gama de amenazas y riesgos:

Ciberriesgos

La ciberseguridad
es fundamental en las evaluaciones de proveedores. El ransomware, los ataques distribuidos de denegación de servicio y otros ataques pueden paralizar su organización, imposibilitando que su empresa cumpla con sus obligaciones comerciales. Según la última investigación de IBM, casi el 25 % de todas las violaciones de datos fueron causadas por ransomware o ciberataques maliciosos que dejaron los sistemas de la organización inoperativos.

Riesgo de cumplimiento

La mayoría de las organizaciones operan bajo una gran variedad de requisitos normativos en constante evolución relacionados con la protección de datos y sistemas confidenciales. Muchas de estas normativas, entre las que se incluyen la HIPAA, la Ley de Privacidad del Consumidor de California (CCPA), la Ley SHIELD de Nueva York y el Reglamento General de Protección de Datos (RGPD) de Europa, exigen a las organizaciones que protejan la información privada de sus consumidores, clientes y empleados. Otras normativas se refieren a la protección de la información financiera no pública. Las infracciones pueden dar lugar a multas y daños a la reputación.

Riesgo financiero

Los equipos de compras deben tener visibilidad sobre la estabilidad financiera de sus proveedores externos, incluidas las deudas que estos tienen y el crédito que conceden a los clientes. Una declaración de quiebra puede provocar la pérdida de negocios y la interrupción de la cadena de suministro.

Riesgos ESG

Las preocupaciones de los inversores en torno a las prácticas ambientales, sociales y de gobernanza (ESG) siguen aumentando. Por ejemplo, tras la invasión de Ucrania por parte de Rusia, muchas empresas consideraron inaceptable hacer negocios con empresas afiliadas al Gobierno ruso. Las organizaciones también necesitan protegerse contra las acusaciones de que su cadena de suministro está involucrada en violaciones de los derechos humanos, emplea mano de obra infantil o causa daños medioambientales.

Riesgo para la reputación

La cobertura mediática adversa o las noticias negativas sobre un proveedor pueden dañar la reputación de sus clientes. Esto puede ocurrir cuando el proveedor se ve involucrado en prácticas de contratación poco éticas, problemas de calidad con sus productos, actividades delictivas o desastres medioambientales.

4. Solucione lo que es importante con las correcciones recomendadas y los informes.

Ahora viene la parte difícil: ¡remediar los riesgos! Las consideraciones clave en esta etapa incluyen:

• ¿Tu equipo tiene la experiencia necesaria para recomendar soluciones para los controles fallidos? ¿Sería útil activar automáticamente soluciones predefinidas cuando las evaluaciones señalen riesgos específicos?

• ¿Cómo planea proyectar el riesgo futuro (por ejemplo, el riesgo residual) a lo largo del tiempo tras la aplicación o ejecución de las medidas correctivas? Esto será importante en los informes a nivel directivo.

• ¿Cómo demostrará el cumplimiento de un proveedor con un marco normativo o sectorial específico? (Pista: busque soluciones que proporcionen métricas de «porcentaje de cumplimiento» con respecto a múltiples normativas).

• ¿Cómo mitigará las amenazas ocultas que no se revelan en las respuestas de la evaluación? (Asegúrese de preguntar si su solución VRM incluye aprendizaje automático para analizar datos y revelar tendencias ocultas).

5. Adopte un enfoque continuo, inteligente y automatizado para la gestión de riesgos de proveedores.

El último paso para avanzar hacia un VRM más proactivo es incorporar la automatización continua e inteligente en su programa a largo plazo. Esto incluye aprovechar soluciones que puedan evaluar, supervisar y eliminar de forma proactiva y continua el riesgo de los proveedores. Pero, ¿cómo es eso de «continuo, inteligente y automatizado»?

Evaluaciones continuas

Una forma de lograr un modelo de evaluación más continuo y menos reactivo es habilitar la inteligencia de supervisión cibernética y empresarial en tiempo real para informar su calendario de evaluaciones. Con las reglas adecuadas, puede correlacionar las vulnerabilidades, las infracciones o las credenciales filtradas de un proveedor en la web oscura con las respuestas de la evaluación que revelan prácticas deficientes de gestión de contraseñas o de parches. A continuación, puede utilizar estos hallazgos para activar evaluaciones. Este nivel de automatización cierra realmente el círculo en lo que respecta al riesgo de terceros y transforma las evaluaciones puntuales en una supervisión continua del riesgo de los proveedores.

Inteligencia desde todos los rincones

Tomar decisiones acertadas basadas en el riesgo implica consumir y normalizar datos procedentes de varias fuentes. Consulte nuestra guía de buenas prácticas para ver un diagrama que ilustra los datos que suelen ser necesarios para tomar decisiones basadas en el riesgo. Estos son solo algunos ejemplos:

• Las fuentes públicas y privadas, la inteligencia sobre riesgos de los proveedores y las integraciones tecnológicas pueden proporcionar información cuantitativa y cualitativa sobre los riesgos de seguridad informática, los problemas financieros y otros indicadores de la salud cibernética y empresarial de un proveedor.

• La comunidad de proveedores, las evaluaciones completadas y las asociaciones industriales también desempeñan un papel importante. Proporcionan documentación e información aportada por los miembros o obtenida mediante crowdsourcing que puede ofrecer una visión previa de los riesgos que plantean los proveedores en sectores específicos.

• La supervisión normativa proporciona información sobre los fallos de control en los sectores regulados y puede ayudar a anticipar las medidas correctivas necesarias para reducir el riesgo residual de un proveedor.

Guías de automatización para optimizar la respuesta ante riesgos

Una forma de lograr un programa más automatizado es aprovechar las capacidades para activar acciones de respuesta al riesgo basadas en criterios «Si esto, entonces aquello» para entidades y riesgos específicos. Las reglas deben automatizar una amplia gama de tareas de incorporación, evaluación y revisión. Estas pueden incluir la actualización de los perfiles de los proveedores y los atributos de riesgo, el envío de notificaciones y/o la activación de flujos de trabajo. También deben ejecutarse de forma permanente para actualizar el entorno VRM a medida que surgen nuevos eventos y riesgos.

6. Tenga en cuenta la geopolítica en su plan de VRM.

La situación geopolítica cada vez más tensa también puede suponer riesgos importantes para los programas de gestión de riesgos de los proveedores. Evalúe a sus proveedores en función de dónde operan. Los proveedores con una fuerte concentración de negocios en países con un historial deficiente en materia de derechos humanos y ESG pueden estar poniendo en riesgo tanto a sí mismos como a los servicios que prestan a su organización. La imposición repentina de aranceles o un embargo podrían reducir drásticamente los ingresos y dar lugar a riesgos en el rendimiento de los proveedores o incluso a su quiebra.

Del mismo modo, las organizaciones que realizan negocios importantes o alojan datos en países sin leyes explícitas sobre la privacidad de los datos pueden poner en riesgo los datos de su organización al compartirla obligatoriamente con entidades gubernamentales del país anfitrión. A continuación, se incluyen algunas preguntas que vale la pena plantear a los proveedores actuales, así como a los posibles proveedores futuros, durante el proceso de selección y contratación:

• ¿El proveedor tiene operaciones comerciales importantes o aloja datos en países sin leyes y regulaciones claras sobre cómo se comparten los datos entre entidades gubernamentales y del sector privado?

• ¿Opera el proveedor en países con un historial deficiente en materia de derechos humanos, libertad política o degradación medioambiental? En caso afirmativo, ¿son sus operaciones lo suficientemente importantes como para causar trastornos si se impusiera un embargo a ese país?

• ¿El proveedor tiene su sede en un país con territorios en disputa o en el que existe una insurgencia violenta activa?

7. Incorporar los informes de cumplimiento desde cero

Dado que la gestión de riesgos de terceros es un aspecto crucial del control en la mayoría de los regímenes normativos y marcos sectoriales, los auditores, tanto externos como internos, deben demostrar los avances realizados para cumplir con dichos requisitos. Sin embargo, muchas herramientas de gestión de riesgos hacen que la elaboración de informes de cumplimiento sea excesivamente compleja y requiera mucho tiempo. La incorporación de funciones de generación de informes para normativas estándar y marcos sectoriales es fundamental para agilizar y simplificar el proceso de cumplimiento.

Una forma de acelerar la presentación de informes de cumplimiento es obtener visibilidad sobre el nivel de cumplimiento de cada proveedor. Comience por establecer un umbral porcentual de «aprobado» en materia de cumplimiento para cada categoría de riesgo (por ejemplo, un X % de cumplimiento con respecto a un marco o directriz concretos). Todos los informes se vincularán a esa calificación de porcentaje de cumplimiento, y su equipo podrá centrarse en las áreas en las que las tasas de cumplimiento son bajas. Esto también debe llevarse a cabo a nivel macro en todos los proveedores, no solo a nivel de proveedor. Los informes a nivel macro serán necesarios para que la junta directiva determine el grado de cumplimiento de la organización con respecto a la normativa «de moda».

Consejo adicional: el cumplimiento de los criterios ESG por parte de los proveedores es cada vez más importante.

Las normativas ESG, desde la Ley de Transparencia de la Cadena de Suministro de California hasta el proyecto de directiva de la UE, están aumentando la presión sobre las empresas para que erradiquen las malas prácticas ESG de sus cadenas de suministro. Esta tendencia parece que va a continuar a lo largo de la década de 2020. Aunque muchas organizaciones consideran que las cuestiones ESG son principalmente una preocupación para los proveedores, los proveedores de TI también pueden plantear riesgos ESG que van desde malas prácticas laborales en las fábricas hasta sobornos y otras formas de corrupción. Examine detenidamente los requisitos de cumplimiento de ESG que pueden afectar a su organización y asegúrese de estructurar los informes de cumplimiento para tenerlos en cuenta.

8. Garantizar que la salida de los proveedores sea fluida, eficiente y verificada.

Cuando finaliza una relación con un proveedor, el riesgo puede persistir. Un proveedor que posea datos confidenciales debe devolverlos y destruirlos de forma segura; las obligaciones de asistencia pueden prolongarse más allá del acuerdo de compra, y las organizaciones deben asegurarse de que se cancele cualquier acceso de terceros a los sistemas internos. Aunque esto es fácil de entender, una investigación de Prevalent reveló que el 60 % de las empresas no evalúan activamente los riesgos de terceros durante la salida. Esto supone riesgos continuos para el negocio, la seguridad y la propiedad intelectual.

Aquí hay algunas preguntas críticas sobre su enfoque actual para la salida de proveedores.

• ¿Disponemos de métodos de verificación para impedir que los proveedores que han dejado de trabajar con nosotros accedan a toda la infraestructura y las aplicaciones informáticas?

• ¿Auditamos periódicamente los sistemas para verificar que los proveedores hayan sido dados de baja correctamente?

• ¿Nuestro enfoque de salida de proveedores incorpora disposiciones fundamentales de los requisitos de cumplimiento aplicables?

• ¿Exigimos a los proveedores que confirmen por escrito que todos los datos confidenciales han sido destruidos tras la finalización del proceso de salida?

• ¿Incluimos los requisitos de salida en los contratos y acuerdos de nivel de servicio con los proveedores?

Desafíos de la gestión de riesgos de proveedores

Crear un programa eficaz de gestión de riesgos de proveedores puede ser un proceso complejo que requiere una planificación y ejecución minuciosas. A continuación se enumeran nueve retos a los que puede enfrentarse su organización al crear un programa de VRM:

Identificación de proveedores externos

Uno de los principales retos es identificar a los proveedores externos con los que trabaja su organización, ya que estos proveedores pueden estar repartidos por distintos departamentos y funciones.

Evaluación de los riesgos de los proveedores

Una vez identificados los proveedores, evaluar su riesgo puede resultar complejo y llevar mucho tiempo, especialmente si su organización utiliza hojas de cálculo u otros métodos manuales para recopilar y realizar un seguimiento de las respuestas.

Definición de tolerancia al riesgo

Para tomar decisiones más informadas sobre la mitigación de riesgos, es importante definir los niveles de tolerancia al riesgo de su organización y establecer umbrales para la exposición al riesgo de terceros. En este sentido, es esencial adoptar un enfoque estructurado para la clasificación y categorización de proveedores.

Establecimiento de procedimientos de diligencia debida

Asegúrese de contar con procedimientos sólidos de diligencia debida para proveedores. Estos deben abordar una serie de temas, como la estabilidad financiera, el cumplimiento normativo y la ciberseguridad.

Garantizar el cumplimiento del contrato

Es importante asegurarse de que los proveedores cumplan con los términos de sus contratos, especialmente en lo que respecta a los requisitos de seguridad y cumplimiento normativo.

Supervisión del rendimiento de los proveedores

Asegúrese de supervisar continuamente el rendimiento de los proveedores y los acuerdos de nivel de servicio (SLA) para garantizar que se cumplan los niveles de servicio e identificar cualquier problema que pueda surgir.

Mantenerse al día con los cambios normativos

Mantenerse al día con los cambios en los requisitos normativos puede resultar complicado, ya que la gestión de riesgos de los proveedores es un factor clave en muchos marcos de ciberseguridad, directrices del sector, leyes de privacidad de datos y normativas ESG.

Garantizar la aceptación por parte de los ejecutivos

Establecer un programa eficaz de gestión de riesgos de proveedores requiere la aceptación y el apoyo de los ejecutivos, lo que a veces puede resultar difícil de conseguir.

Alineación de los recursos internos

Los programas exitosos de gestión de riesgos de proveedores requieren la colaboración entre varios departamentos diferentes, incluidos los de seguridad informática, gestión de riesgos, adquisiciones, privacidad de datos, asuntos legales y cumplimiento normativo.

8 prácticas recomendadas para un programa eficaz de gestión de riesgos de proveedores

Estar en «modo reactivo» es agotador, ineficaz y estresante, y resulta especialmente arriesgado cuando la carga de trabajo es elevada. La gestión del riesgo de los proveedores (VRM) no es diferente: contar con un programa de VRM reactivo que responda al riesgo de los proveedores en lugar de gestionarlo de forma proactiva pone a su organización en peligro de sufrir violaciones de datos, violaciones de la privacidad e infracciones del cumplimiento normativo.

Por eso es importante contar con un proceso claro para gestionar de forma proactiva los riesgos cibernéticos de terceros y las exposiciones a la continuidad del negocio que inevitablemente surgen a lo largo del ciclo de vida de la relación con los proveedores.

En nuestros más de 15 años trabajando con miles de clientes y proveedores, hemos desarrollado 8 prácticas recomendadas para crear un programa de gestión de riesgos de proveedores (VRM) más proactivo.

A continuación, ofrecemos un adelanto de algunas de estas prácticas y de cómo pueden aliviar las dificultades de la gestión de riesgos de proveedores:

1. Incorporar, evaluar y gestionar los riesgos de los proveedores

Antes de poner en marcha un programa de gestión de riesgos de proveedores, es necesario tomar varias decisiones. Los servicios de asesoramiento de expertos pueden ayudar a definir los parámetros del programa. El siguiente paso es controlar a los proveedores externos, incorporarlos e identificar sus riesgos inherentes.

Las decisiones clave en este paso incluyen:

• ¿Cuál es el mecanismo adecuado para incorporar proveedores? ¿Utilizará un proceso manual o una plantilla de hoja de cálculo? ¿Necesitará integraciones con sistemas de gestión de compras o proveedores?
• ¿Qué factores tendrá en cuenta a la hora de tomar decisiones sobre la clasificación de proveedores? Por ejemplo, ¿qué atributos o cuestiones críticas influirán en la forma en que clasifica a proveedores específicos?
• ¿Cómo recopilará la información para evaluar el riesgo inherente? ¿Utilizará un cuestionario automatizado? ¿Qué datos se utilizarán para calcular el riesgo inherente (por ejemplo, datos operativos, legales, normativos, financieros y/o reputacionales)?

Cuando contacte por primera vez con posibles proveedores de soluciones VRM, asegúrese de que ofrecen múltiples mecanismos para incorporar a proveedores, distribuidores y otros terceros. Esto puede incluir la realización de tareas de incorporación en nombre de su equipo.

Además, asegúrese de que su metodología de clasificación de proveedores y puntuación de riesgos de proveedores incluya algo más que preguntas superficiales. Por ejemplo, es posible que desee que también incluya consideraciones financieras y de la cadena de suministro. Lea nuestra guía de mejores prácticas para obtener una descripción completa de estos atributos.

2. Automatizar aspectos clave del proceso VRM

El siguiente paso para una gestión proactiva del riesgo de los proveedores es dejar de utilizar hojas de cálculo para evaluar dicho riesgo. Por supuesto, seguirá necesitando una forma de recopilar pruebas de los controles de seguridad y realizar revisiones de diligencia debida según los estándares corporativos y los requisitos de cumplimiento. Afortunadamente, puede automatizar este proceso y eliminar las tareas de evaluación redundantes y agotadoras que a menudo dan lugar a errores y riesgos.

La recopilación y la revisión de la diligencia debida pueden adoptar muchas formas. Por ejemplo, puede gestionar el proceso de evaluación usted mismo, acceder a una biblioteca de cuestionarios completados o externalizar la recopilación a un socio. De hecho, vemos que muchas empresas gestionan con éxito los riesgos con un modelo híbrido que aprovecha diferentes enfoques para diferentes niveles de proveedores.

Las decisiones clave en este paso incluyen:

• ¿Qué cuestionario se utilizará para recopilar información sobre los controles de su proveedor? ¿Utilizará encuestas estándar del sector o encuestas propias? (Pista: depende de una combinación de dos factores: 1) a qué normativas o marcos normativos piensa aplicar las respuestas, y 2) si tiene previsto compartir los resultados con una red).
• ¿Qué método o métodos de recopilación utilizará? ¿Dispone de los recursos y la experiencia necesarios para gestionarlo internamente? ¿Aprovechará las redes de respuestas completadas de los proveedores para acelerar el proceso? ¿Externalizará la recopilación a un socio? (Ideal para equipos con pocos recursos o sin personal de apoyo).

Al igual que en el paso 1, asegúrese de que su proveedor de soluciones VRM sea flexible en cuanto a la disponibilidad de cuestionarios y los métodos de recopilación. Probablemente no le interese quedarse limitado a un único cuestionario rígido que no se pueda personalizar. Tampoco le conviene verse obligado a recopilar la información de diligencia debida por su cuenta, especialmente si cuenta con poco personal.

3. Tome decisiones más inteligentes con información continua sobre los riesgos de los proveedores.

El siguiente paso para crear su marco de gestión de riesgos de proveedores es validar las evaluaciones de terceros con inteligencia externa sobre ciberseguridad y riesgos empresariales. Si bien las evaluaciones periódicas son esenciales para comprender cómo los proveedores gestionan sus programas de seguridad de la información y privacidad de los datos en un momento dado, ¡pueden ocurrir muchas cosas en un proveedor entre una evaluación y otra! Aquí es donde la supervisión continua puede ayudar.

Muchas organizaciones se quedan cortas en este aspecto. Demasiadas adoptan una visión estrecha y cualitativa de los riesgos de los proveedores e ignoran la información más cualitativa. Cuando se combinan y correlacionan, la ciberseguridad y la supervisión empresarial proporcionan una visión más completa del riesgo de los proveedores. Esta visión «de fuera hacia dentro» le da una ventaja a la hora de comprender el impacto potencial del riesgo de los proveedores. También complementa sus evaluaciones «de dentro hacia fuera» para ofrecer una puntuación de riesgo más informada y precisa. Pero, ¿en qué tipo de información de supervisión debe centrarse?

• Fuentes de inteligencia sobre riesgos de ciberseguridad: Para comprender las debilidades que son visibles para los atacantes, lo primero es descubrir los datos comprometidos en la web oscura y catalogar las divulgaciones de violaciones de seguridad. A continuación, se recopila información sobre ciberataques confirmados, infracciones de la infraestructura y las políticas de TI, vulnerabilidades y otras exposiciones.
• Fuentes de inteligencia sobre riesgos empresariales: la información sobre los riesgos que plantean los problemas operativos, las fusiones y adquisiciones, los despidos, los cambios en la dirección, las retiradas de productos, las investigaciones normativas o legales y las notificaciones financieras y de quiebra son datos cualitativos importantes que añaden más contexto al proceso de VRM.

Lea la guía de mejores prácticas para profundizar en cada una de estas fuentes de inteligencia.

Con la información adecuada, puede ayudar a los proveedores a limpiar sus huellas de código abierto y cerrar las brechas de seguridad en sus procesos internos. El proceso es similar a pulir su informe crediticio antes de solicitar un préstamo hipotecario.

---

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.