Publicado: 24 de enero de 2024
Colaboradores: Matthew Finio, Amanda Downie
La gestión de riesgos de terceros (TPRM) identifica, evalúa y mitiga los riesgos asociados con las tareas de externalización a proveedores de servicios o proveedores de servicios de terceros.
En un mundo cada vez más interconectado y subcontratado, la gestión de riesgos de terceros (TPRM) es una estrategia de negocios esencial. La TPRM identifica y mitiga los riesgos que enfrentan las organizaciones al interactuar con proveedores externos o proveedores de servicios. Estos terceros pueden estar involucrados en diversas funciones comerciales, desde servicios de TI y desarrollo de software hasta gestión de la cadena de suministro y atención al cliente.
La necesidad de la TPRM surge de las vulnerabilidades inherentes a las relaciones con terceros. La externalización de tareas puede aportar beneficios, como el ahorro de costos, la escalabilidad y el acceso a conocimientos especializados, pero también expone a las organizaciones a posibles problemas. El TPRM tiene como objetivo proporcionar a las organizaciones una comprensión integral de sus relaciones comerciales con terceros y las salvaguardias que emplean estos proveedores. Esto ayuda a prevenir problemas, como interrupciones operativas, brechas de seguridad y fallas de cumplimiento.
La TPRM es sinónimo de términos como gestión de riesgos de proveedores (VRM) o gestión de riesgos de la cadena de suministro, y forma un enfoque integral para abordar los riesgos en diversos compromisos con terceros. Implica principios universales, como la debida diligencia, la evaluación de riesgos de terceros, la corrección y el monitoreo continuo para garantizar que los terceros cumplan con las regulaciones, protejan los datos confidenciales, mantengan la resiliencia operativa y cumplan con los criterios ambientales, sociales y de gobernanza (ESG).
Los riesgos digitales, un subconjunto de TPRM, abarcan preocupaciones financieras, de reputación, ambientales y de seguridad. El acceso del proveedor a la propiedad intelectual, los datos confidenciales y la información personal identificable (PII) subraya la importancia de la TPRM dentro de los marcos de ciberseguridad y las estrategias de gestión de riesgo cibernético.
Ningún departamento posee universalmente la gestión de riesgos de terceros (TPRM); varía según las organizaciones. Las empresas pueden tener equipos de TPRM dedicados o distribuir estas responsabilidades entre varios roles. Los departamentos y cargos comunes involucrados en la TPRM incluyen director de Seguridad de la Información (CISO), director de Adquisiciones (CPO), director de sistemas de información (CIO), director de Privacidad (CPO), tecnología de la Información (TI), gerente de Cadena de Suministro y otros.
La TPRM eficaz protege a las organizaciones de los riesgos de externalización y crea asociaciones más sólidas y resilientes. La integración de TPRM en sus operaciones principales permite a las empresas aprovechar la experiencia externa, al tiempo que mantiene la seguridad, el cumplimiento y la integridad operacional. Esto transforma las vulnerabilidades en riesgos gestionados, lo que permite un crecimiento seguro y conforme a las normas.
Descubra por qué IBM® Security Trusteer es líder en KuppingerCole FRIP Leadership Compass 2023.
La gestión de riesgos de terceros (TPRM) es esencial debido a los importantes riesgos asociados a los vendedores y proveedores de servicios externos. Las relaciones con terceros a menudo implican el acceso a información privilegiada, como datos de clientes y sistemas internos, lo que las convierte en posibles puntos de entrada para ciberataques. El riesgo se extiende a las cuartas partes interesadas, que son subcontratistas o proveedores de servicios adicionales contratados por los terceros.
Las organizaciones que se enfocan únicamente en sus medidas internas de ciberseguridad sin extender estas protecciones a terceras y cuartas partes interesadas se vuelven vulnerables a filtraciones y otros incidentes de seguridad.
La TPRM es crucial por varias razones:
Lograr el cumplimiento normativo. Las regulaciones de privacidad y protección de datos, como el RGPD y la CCPA, requieren que las organizaciones regulen el cumplimiento de terceros. Las filtraciones de terceros pueden dar lugar a cuantiosas multas y daños a la reputación de la organización principal, incluso si esa organización no es directamente responsable de la filtración.
Impulsar la resiliencia operativa. Las interrupciones de terceros pueden provocar retrasos, defectos y desafíos operativos. Una TPRM eficaz garantiza la continuidad del negocio al identificar y mitigar estas vulnerabilidades. Esto es especialmente crucial para las industrias que dependen de las cadenas de suministro, donde la TPRM ayuda a mantener las operaciones sin problemas y a conservar los estándares de calidad.
Gestión de las relaciones con los proveedores. Las relaciones con terceros varían en sus estándares de seguridad. La TPRM implica una debida diligencia exhaustiva, evaluaciones de riesgos y monitoreo continuo para garantizar que los proveedores se adhieran a altos estándares éticos y de seguridad.
Mitigar los riesgos de ciberseguridad. Los terceros suelen tener acceso a datos confidenciales y sistemas internos, lo que los convierte en posibles puntos de entrada para los ciberataques. Una TPRM robusta extiende las medidas de ciberseguridad a estas entidades externas e incluye seguridad de datos para protegerse contra filtraciones y fugas de datos.
Preservar la reputación. Las acciones de terceros pueden afectar directamente la reputación de una organización. Al gestionar los riesgos de terceros, las empresas pueden prevenir prácticas poco éticas y conductas indebidas que podrían dañar su marca y la confianza de los clientes.
Proteger el impacto empresarial. Sin una adecuada TPRM, las relaciones con terceros pueden dejar a las empresas expuestas a riesgos que pueden tener repercusiones duraderas en su cuenta de resultados. La TPRM ayuda a las organizaciones a evitar pérdidas financieras asociadas a fallas de terceros, como los costos de gestión de una filtración de datos, los honorarios legales por incumplimiento y las pérdidas por tiempo de inactividad operativa.
Reducir la complejidad y la superficie de ataque. Cada tercero se suma a la superficie de ataque de la organización. La TPRM reduce la complejidad gestionando las vulnerabilidades potenciales introducidas por numerosas conexiones de terceros.
Al gestionar eficazmente los riesgos de terceros, las empresas pueden proteger sus operaciones y prosperar en un entorno interconectado y subcontratado.
Las organizaciones identifican a terceros mediante la consolidación de la información de los proveedores existentes, la integración con las tecnologías existentes y las evaluaciones o entrevistas con los propietarios internos de las empresas. Esta fase incluye la creación de un inventario del ecosistema de terceros y la clasificación de proveedores externos en función de los riesgos inherentes que representan para la organización.
Las organizaciones revisan las RFP y seleccionan nuevos proveedores en función de las necesidades y criterios específicos del negocio. Esto implica evaluar la exposición al riesgo, y puede requerir cuestionarios y evaluaciones in situ para verificar la precisión y eficacia de sus medidas internas de seguridad y seguridad de la información. Los factores clave considerados incluyen las calificaciones y la postura de seguridad del proveedor, el cumplimiento de los estándares de la industria y la adecuación general con los requisitos de la organización.
Las organizaciones llevan a cabo evaluaciones de riesgos exhaustivas de proveedores seleccionados mediante varios estándares (por ejemplo, ISO 27001, NIST SP 800-53) para comprender los riesgos potenciales. Algunas emplean intercambios de riesgos de terceros para acceder a evaluaciones previamente completadas, mientras que otras utilizan software de automatización de evaluaciones u hojas de cálculo.
Después de evaluar los riesgos, las organizaciones llevan a cabo la mitigación de riesgos. Esto implica marcar y puntuar los riesgos, determinar si los niveles de riesgo son aceptables dentro del apetito de riesgo de la organización e implementar los controles requeridos para reducir los riesgos a niveles aceptables. El monitoreo continuo se utiliza para identificar eventos que pueden alterar el perfil de riesgo, como filtraciones de datos o cambios normativos.
Esta fase puede superponerse con la mitigación de riesgos e implica negociar y finalizar contratos con los proveedores. Los aspectos clave incluyen cerciorarse de que los contratos incluyan disposiciones críticas, como cláusulas de confidencialidad, NDA, acuerdos de protección de datos y acuerdos de nivel de servicio (SLA). Los contratos deben estar estructurados para abordar las preocupaciones clave de gestión de riesgos y los requisitos de cumplimiento. Los proveedores se incorporan integrándolos en los sistemas y procesos de la organización.
Las organizaciones mantienen registros detallados de todas las interacciones con terceros y actividades de gestión de riesgos. La implementación del software de TPRM puede facilitar el mantenimiento de registros integrales y auditables, lo que permite mejores presentaciones de informes y cumplimiento.
La supervisión continua de los proveedores externos es crucial, ya que proporciona insights continuos sobre su postura de seguridad y sus niveles de riesgo. Entre los acontecimientos clave que hay que vigilar figuran los cambios normativos, la viabilidad financiera y cualquier noticia negativa que pueda afectar el perfil de riesgo del vendedor.
Al terminar las relaciones con los proveedores, las organizaciones deben asegurarse de que todos los datos y activos se devuelvan o desechen de manera segura y que se mantengan registros detallados del proceso de terminación para fines de cumplimiento. Una lista de control de terminación puede ayudar a garantizar que se tomen todas las medidas necesarias.
Las organizaciones pueden adoptar varias prácticas recomendadas para una TPRM eficaz. Estas son algunas estrategias clave:
Definir los objetivos de la organización
- Alinear la TPRM con la estrategia general de gestión de riesgos de la organización
- Crear un inventario sólido que diferencie a terceros e identifique las acciones de protección necesarias
- Establecer un mapeo de riesgos que abarque múltiples áreas (riesgo financiero, riesgo operacional, riesgo de cumplimiento, riesgo estratégico, riesgo reputacional y otros)
Obtener la aceptación de los stakeholders
- Involucrar a los stakeholders desde el principio del proceso para diseñar e implementar el programa de TPRM de manera efectiva
- Cerciorarse de que el equipo ejecutivo conozca todos los riesgos de terceros y se alinee con ellos
- Garantizar la cooperación de todas las partes pertinentes (equipos de riesgos y cumplimiento, adquisiciones, seguridad y comercial)
- Evitar los enfoques en silos mediante una estrategia global que incluya las aportaciones de todos los departamentos pertinentes.
Establecer un programa de TPRM
- Desarrolle un enfoque programático con una estructura de gobernanza para procesos de gestión de riesgos coherentes y repetibles. Los seminarios sitio web periódicos, por ejemplo, pueden mantener a las partes involucradas informadas y actualizadas.
- Adaptar el programa de gestión de riesgos de terceros a los requisitos normativos, de protección de datos y de tolerancia al riesgo específicos de la organización.
Mantener un inventario preciso de proveedores
- Implementar estrategias para mantener un inventario actualizado de todos los terceros
- Garantizar una visibilidad integral del ámbito de terceros para gestionar los riesgos de seguridad de manera eficaz
Priorizar proveedores
- Segmentar el inventario de proveedores en niveles en función de su riesgo y criticidad
- Centrar los recursos en proveedores de alto riesgo para una debida diligencia más estricta y un monitoreo continuo
Evaluar la seguridad durante el proceso de contratación
- Realizar evaluaciones de seguridad de proveedores externos durante la adquisición, no solo al final de las negociaciones
- Integrar los requisitos de seguridad en los contratos con anticipación para garantizar el cumplimiento y mitigar los riesgos antes de que se finalicen los acuerdos
Mirar más allá de la ciberseguridad
- Abordar varios tipos de riesgos, no solo la ciberseguridad
- Considerar los riesgos de reputación, geográficos, geopolíticos, estratégicos, financieros, operativos, de privacidad, de cumplimiento, éticos, de continuidad del negocio, de rendimiento y ambientales
- Comprender todos los riesgos relevantes para crear un programa de TPRM integral
Automatizar procesos mediante el uso del software de TPRM
- Automatice los procesos repetitivos de TPRM para mejorar la eficiencia. El software de TPRM puede optimizar procesos, tales como:
- Incorporación de proveedores y evaluación de riesgos
- Asignación de tareas de mitigación y evaluaciones del rendimiento
- Envío de notificaciones y generación de informes
Implementar una supervisión continua:
- Habilitar una supervisión continua para evaluar los riesgos de terceros en tiempo real
- Emplear herramientas automatizadas para detectar con prontitud los problemas de seguridad y cumplimiento
- Mantener una visión constante del ámbito de riesgos de terceros para abordar los cambios de manera proactiva
Mejore el rendimiento empresarial y gestione eficientemente sus compromisos con proveedores con este módulo de IBM® TPRM.
Gestione los riesgos inherentes a los cambios en las condiciones del mercado, la evolución de las regulaciones o las operaciones obstaculizadas, al tiempo que aumenta la eficacia y la eficiencia.
Transforme su negocio y gestione el riesgo con un líder global del sector en servicios de consultoría de ciberseguridad, en la nube y de seguridad gestionada.
Explore la experiencia de usuario de OpenPages con este recorrido interactivo y siga al equipo mientras identifican riesgos, revisan los requisitos normativos más recientes, comienzan a gestionar las evaluaciones de riesgos y gestionan los flujos de trabajo.
Descubra cómo la solución IBM OpenPages le ayuda a tomar decisiones conscientes de los riesgos para el cumplimiento y mejorar el rendimiento empresarial en todos los frentes.
Confíe en su seguridad con inteligencia de amenazas.
Lea sobre cómo Los Angeles se asoció con IBM® Security para crear un grupo de intercambio de amenazas cibernéticas único en su tipo.
Descubra cómo Centripetal puso en práctica la inteligencia de amenazas para actuar contra las ciberamenazas en tiempo real.
Lea cómo las empresas pueden reducir de forma proactiva sus vulnerabilidades a una variedad de ataques cibernéticos.