Inicio
Think
Temas
Gestión de riesgos de terceros
Publicado: 24 de enero de 2024
Colaboradores: Matthew Finio, Amanda Downie
La gestión de riesgos de terceros (TPRM) identifica, evalúa y mitiga los riesgos asociados con la externalización de tareas a proveedores externos o proveedores de servicios.
En un mundo cada vez más interconectado y externalizado, la gestión de riesgos de terceros (TPRM) es una estrategia empresarial esencial. La TPRM identifica y mitiga los riesgos a los que se enfrentan las organizaciones al relacionarse con proveedores externos o proveedores de servicios. Estos terceros pueden estar involucrados en diversas funciones comerciales, que van desde servicios de TI y desarrollo de software hasta gestión de la cadena de suministro y atención al cliente.
La necesidad de la TPRM surge de las vulnerabilidades inherentes a las relaciones con terceros. La externalización de tareas puede aportar ventajas como el ahorro de costes, la escalabilidad y el acceso a conocimientos especializados, pero también expone a las organizaciones a posibles problemas. El objetivo de la GTPR es proporcionar a las organizaciones un conocimiento exhaustivo de sus relaciones comerciales con terceros y de las medidas de protección que emplean estos proveedores. Esto ayuda a prevenir problemas como interrupciones operativas, violaciones de seguridad y fallas de cumplimiento.
TPRM es sinónimo de términos como gestión de riesgos de proveedores (VRM) o gestión de riesgos de la cadena de suministro, formando un enfoque global para abordar los riesgos a través de diversos compromisos con terceros. Implica principios universales como la debida diligencia, la evaluación de riesgos de terceros, la corrección y la monitorización continua para garantizar que los terceros cumplan con las regulaciones, protejan los datos confidenciales, mantengan la resiliencia operativa y cumplan con los criterios ambientales, sociales y de gobierno (ESG).
Los riesgos digitales, un subconjunto de la GTPRM, abarcan preocupaciones financieras, de reputación, medioambientales y de seguridad. El acceso de los proveedores a la propiedad intelectual, los datos confidenciales y la información de identificación personal (PII) subraya la importancia de la TPRM dentro de los marcos de ciberseguridad y las estrategias de gestión de riesgos cibernéticos.
Ningún departamento es el único responsable de la gestión de riesgos de terceros (TPRM ); varía de una organización a otra. Las empresas pueden tener equipos dedicados a la TPRM o distribuir estas responsabilidades entre varios roles. Los departamentos y puestos comunes que intervienen en la TPRM son el director de seguridad de la información (CISO), el director de adquisiciones (CPO), el director de sistemas de información (CIO), el director de privacidad (CPO), el gestor de tecnología de la información (TI), el gestor de la cadena de suministro y otros.
Una TPRM eficaz protege a las organizaciones de los riesgos de externalización y crea asociaciones más sólidas y resilientes. La integración de TPRM en sus operaciones principales permite a las empresas aprovechar la experiencia externa, al tiempo que mantienen la seguridad, el cumplimiento y la integridad operativa. Esto transforma las vulnerabilidades en riesgos gestionados, lo que permite un crecimiento seguro y conforme.
Descubra por qué IBM Security Trusteer es líder en la KuppingerCole Leadership Compass de 2023.
La gestión de riesgos de terceros (TPRM) es esencial debido a los riesgos significativos asociados con los proveedores de servicios y proveedores externos. Las relaciones con terceros a menudo implican acceso a información privilegiada, como datos de clientes y sistemas internos, lo que los convierte en posibles puntos de entrada para ataques cibernéticos. El riesgo se extiende a las cuartas partes, que son subcontratistas o proveedores de servicios adicionales contratados por las terceras partes.
Las organizaciones que se centran únicamente en sus medidas internas de ciberseguridad sin ampliar estas protecciones a terceros y cuartos se dejan a sí mismas vulnerables a violaciones y otros incidentes de seguridad.
La TPRM es crucial por varias razones:
Lograr el cumplimiento normativo: las regulaciones de privacidad y protección de datos como GDPR y CCPA requieren que las organizaciones regulen el cumplimiento de terceros. Las infracciones por parte de terceros pueden dar lugar a graves multas y daños a la reputación de la organización principal, incluso si esa organización no es directamente responsable de la infracción.
Impulsar la resiliencia operativa: las interrupciones de terceros pueden provocar retrasos, defectos y desafíos operativos. Una TPRM eficaz garantiza la continuidad de las actividades mediante la identificación y mitigación de estas vulnerabilidades. Esto es especialmente crucial para las industrias que dependen de las cadenas de suministro, donde la TPRM ayuda a mantener operaciones fluidas y mantener los estándares de calidad.
Gestionar las relaciones con los proveedores: las relaciones con terceros varían en cuanto a sus estándares de seguridad. TPRM implica una diligencia debida exhaustiva, evaluaciones de riesgos y un seguimiento continuo para garantizar que los proveedores cumplan con altos estándares éticos y de seguridad.
Mitigar los riesgos de ciberseguridad: los terceros suelen tener acceso a datos confidenciales y sistemas internos, lo que los convierte en posibles puntos de entrada para ciberataques. Una TPRM robusta extiende las medidas de ciberseguridad a estas entidades externas e incluye la seguridad de los datos para protegerse contra violaciones de seguridad y filtraciones de datos.
Preservar la reputación: las acciones de terceros pueden afectar directamente a la reputación de una organización. Al gestionar los riesgos de terceros, las empresas pueden evitar prácticas poco éticas y conductas indebidas que podrían dañar su marca y la confianza de los clientes.
Proteger el impacto empresarial: sin una TPRM adecuada, las relaciones con terceros pueden dejar a las empresas expuestas a riesgos que pueden tener impactos duraderos en sus resultados. TPRM ayuda a las organizaciones a evitar pérdidas financieras asociadas con fallos de terceros, como los costos de gestionar una vulneración de datos, honorarios legales por incumplimiento y pérdidas por tiempo de inactividad operativa.
Reducir la complejidad y la superficie de ataque: cada tercero aumenta la superficie de ataque de la organización. TPRM reduce la complejidad gestionando las vulnerabilidades potenciales introducidas por numerosas conexiones de terceros.
Al gestionar eficazmente los riesgos de terceros, las empresas pueden proteger sus operaciones y prosperar en un entorno interconectado y subcontratado.
Las organizaciones identifican a terceros mediante la consolidación de la información existente sobre proveedores, la integración con las tecnologías existentes y la realización de evaluaciones o entrevistas con los propietarios internos de las empresas. Esta fase incluye la creación de un inventario del ecosistema de terceros y la clasificación de los proveedores externos en función de los riesgos inherentes que suponen para la organización.
Las organizaciones revisan las RFP y seleccionan nuevos proveedores basándose en necesidades y criterios empresariales específicos. Esto implica evaluar la exposición al riesgo y puede requerir cuestionarios y evaluaciones in situ para verificar la exactitud y eficacia de sus medidas de seguridad interna y de seguridad de la información . Entre los factores clave que se tienen en cuenta están las calificaciones y la posición de seguridad del proveedor, el cumplimiento de las normas del sector y la adecuación general a los requisitos de la organización.
Las organizaciones realizan evaluaciones de riesgos exhaustivas de proveedores seleccionados utilizando varios estándares (por ejemplo, ISO 27001, NIST SP 800-53) para comprender los riesgos potenciales. Algunos utilizan intercambios de riesgos de terceros para acceder a evaluaciones precompletadas, mientras que otros emplean software u hojas de cálculo de automatización de evaluaciones.
Después de evaluar los riesgos, las organizaciones realizan la mitigación de riesgos. Esto implica señalar y puntuar los riesgos, determinar si los niveles de riesgo son aceptables dentro del apetito de riesgo de la organización y aplicar los controles necesarios para reducir los riesgos a niveles aceptables. La monitorización continua se utiliza para identificar eventos que pueden alterar el perfil de riesgo, como vulneraciones de datos o cambios normativos.
Esta fase puede coincidir con la mitigación de riesgos e implica la negociación y finalización de contratos con los proveedores. Los aspectos clave incluyen asegurarse de que los contratos incluyen disposiciones cruciales como cláusulas de confidencialidad, acuerdos de confidencialidad, acuerdos de protección de datos y acuerdos de nivel de servicio (SLA). Los contratos deben estructurarse para abordar las principales preocupaciones de gestión de riesgos y los requisitos de cumplimiento. Los proveedores se incorporan integrándolos en los sistemas y procesos de la organización.
Las organizaciones mantienen registros detallados de todas las interacciones de terceros y actividades de gestión de riesgos. La implementación del software TPRM puede facilitar el mantenimiento de registros exhaustivos y auditables, lo que permite una mejor presentación de informes y cumplimiento.
La monitorización continua de los proveedores externos es crucial, ya que proporciona información continua sobre su posición de seguridad y sus niveles de riesgo. Los eventos clave a monitorizar incluyen cambios regulatorios, viabilidad financiera y cualquier noticia negativa que pueda afectar el perfil de riesgo del proveedor.
Al finalizar las relaciones con los proveedores, las organizaciones deben asegurarse de que todos los datos y activos se devuelvan o eliminen de forma segura y de que se mantengan registros detallados del proceso de baja con fines de cumplimiento. Disponer de una lista de comprobación puede ayudar a garantizar que se siguen todos los pasos necesarios.
Las organizaciones pueden adoptar varias prácticas recomendadas para una TPRM eficaz. Estas son algunas estrategias clave:
Definir los objetivos de la organización
Obtener la aceptación de las partes interesadas
Establecer un programa de TPRM
Mantener un inventario preciso de los proveedores
Priorizar a los proveedores
Evaluar la seguridad durante el proceso de contratación
Mirar más allá de la ciberseguridad
Automatice los procesos mediante el software TPRM
Implemente la monitorización continua:
Mejore el rendimiento empresarial y gestione eficazmente sus compromisos con proveedores con este módulo IBM TPRM.
Gestione los riesgos derivados de las condiciones cambiantes del mercado, la evolución de las regulaciones o las operaciones gravadas y, al mismo tiempo, aumente la eficacia y la eficiencia.
Transforme su empresa y gestione los riesgos con un líder de la industria mundial mundial en consultoría de ciberseguridad, cloud y servicios de seguridad gestionados.
Explore la UX de OpenPages con este recorrido interactivo y siga al equipo mientras identifica riesgos, revisa los últimos requisitos normativos, comienza a gestionar evaluaciones de riesgos y gestiona flujos de trabajo.
Descubra cómo la solución IBM OpenPages le ayuda a tomar decisiones conscientes de los riesgos para el cumplimiento y la mejora del rendimiento empresarial en todas las líneas.
Confíe en su seguridad con inteligencia de amenazas.
Descubra cómo Los Ángeles se asoció con IBM Security para crear el primer grupo de intercambio de ciberamenazas.
Descubra cómo Centripetal puso en práctica la inteligencia de amenazas para actuar contra las ciberamenazas en tiempo real.
Lea cómo las empresas pueden reducir de forma proactiva sus vulnerabilidades a una serie de ciberataques.