Una empresa emergente del sector biomédico que depende en gran medida de proveedores de servicios externos quería asegurarse de contar con un programa de gestión de riesgos de terceros escalable mientras aún era pequeña y ágil. Con la plataforma de gestión de riesgos de terceros de Mitratech, la empresa implementó un flujo de trabajo de evaluación de riesgos de proveedores totalmente automatizado y una supervisión continua de sus proveedores y vendedores críticos para detectar nuevos problemas sin necesidad de procesos manuales que requieren mucha mano de obra.
El desafío
El director de seguridad de la información de una pequeña empresa emergente biomédica necesitaba una solución de gestión de riesgos de terceros escalable que pudiera crecer a medida que se desarrollara el negocio. Anteriormente había trabajado en organizaciones mucho más grandes con soluciones heredadas de gobernanza, riesgo y cumplimiento (GRC), que sabía que eran demasiado difíciles de manejar para su pequeña empresa.
La empresa recurre en gran medida a proveedores externos en todas sus operaciones. Por ejemplo, utiliza software basado en la nube para sus necesidades internas y recurre a organizaciones de investigación clínica (CRO) para gestionar sus ensayos clínicos. Cualquier proveedor que necesite acceder a datos confidenciales se somete a una evaluación de su postura de seguridad y a un examen de los riesgos para la privacidad de los datos.
Cuando el director de seguridad de la información comenzó a trabajar en la empresa, el proceso era manual y ad hoc. Sabía que esto tenía que cambiar, por lo que buscó una solución que ampliara el TPRM y, al mismo tiempo, mejorara la colaboración entre los departamentos internos.
«Para mí era muy importante saber qué equipos habían asumido más riesgos en toda la empresa. Comprender dónde se encontraban los mayores riesgos en la empresa me permitía asesorar a los líderes que habían asumido más riesgos sobre cómo mitigar esos problemas y limitar el impacto potencial en la organización», afirmó el director.
La solución
La startup biomédica eligió la plataforma de gestión de riesgos de terceros Mitratech para la evaluación de riesgos de proveedores y la supervisión continua. Con la plataforma TPRM de autoservicio de Mitratech, la empresa pudo estandarizar las evaluaciones de riesgos de proveedores en toda la organización, al tiempo que obtuvo una visibilidad continua de los riesgos emergentes en materia de tecnología y privacidad de datos entre las evaluaciones periódicas.
Antes de implementar Mitratech TPRM, los equipos individuales de la empresa enviaban y gestionaban sus propias encuestas de evaluación de riesgos. Ahora, la empresa accede a una biblioteca centralizada de preguntas estandarizadas seleccionadas por Mitratech TPRM. Esto les ha permitido realizar evaluaciones coherentes de los proveedores y comprender mucho mejor los riesgos inherentes.
Mitratech TPRM está integrado en el proceso de diligencia debida de los proveedores de la startup. Cada nuevo proveedor recibe una evaluación de riesgos cuando necesita acceder a datos confidenciales, y el director de seguridad de la información puede clasificar fácilmente los problemas tecnológicos o de privacidad de los datos en toda la empresa.
Los resultados
La capacidad de disponer de una fuente unificada de información sobre los riesgos de los proveedores ha permitido al director de seguridad de la información comunicar con claridad los riesgos de seguridad y privacidad de las tecnologías de la información en toda la organización. También significa que puede ver qué departamentos tienen una tolerancia al riesgo menor que otros y trabajar para mitigar esos riesgos de forma más sistemática.
«Puedo utilizar Mitratech TPRM para informar a cualquier persona que aún no haya sufrido una violación de seguridad sobre los riesgos que presenta cada proveedor, al tiempo que garantizo la protección de la información confidencial de la empresa durante todo el ciclo de vida del proveedor», afirmó el director.
Mitratech ha logrado que el proceso de gestión de riesgos de proveedores externos de esta empresa biomédica sea más coherente y eficiente que su anterior enfoque manual. Al mismo tiempo, ahora cuentan con un programa de TPRM que puede adaptarse fácilmente a medida que la empresa se expande a nuevas zonas geográficas y se ve sujeta a nuevos regímenes normativos.
Gestión de riesgos de terceros 
